logo_klein
Digital Operational Resilience Act (DORA): Ein Überblick
Digital Operational Resilience Act (DORA): Ein Überblick
Dr. Klara Geuer und Dr. Ermano Geuer
Oktober 7, 2024
10:02 am

Mit dem Digital Operational Resilience Act (DORA) hat die Europäische Union einen neuen, einheitlichen Aufsichtsrahmen geschaffen, der die digitale Resilienz von Finanzunternehmen in Europa stärken soll. Angesichts der zunehmenden Abhängigkeit des Finanzsektors von Informations- und Kommunikationstechnologien (IKT) und der Einbindung von Drittanbietern, ist eine solche Regelung auf EU-Ebene essenziell, um Risiken im Bereich der IT-Sicherheit und Cyberangriffe zu minimieren. DORA trat am 16. Jänner 2023 in Kraft und wird ab dem 17. Jänner 2025 verbindlich.

Warum DORA einen Paradigmenwechsel bedeutet

Erstmals werden dabei auch IKT-Drittdienstleister reguliert, die als kritisch eingestuft werden, zB große Cloud-Anbieter. Dieser Ansatz markiert einen Paradigmenwechsel in der IT-Aufsicht und verschärft die Anforderungen an die IT-Compliance in der Finanzbranche. Insbesondere im Bereich des IKT-Risikomanagements, der Meldung von IKT-Vorfällen und der Kontrolle von Risiken, die durch Drittdienstleister entstehen, legt DORA klare Richtlinien fest.

Digital Operational Resilience

DORA zielt darauf ab, ein hohes Maß an digitaler operationeller Resilienz zu gewährleisten. Dies bedeutet, dass Finanzunternehmen die Integrität und Zuverlässigkeit ihrer IT-gestützten Betriebsprozesse aufrechterhalten können sollen, selbst wenn sie auf Dienstleistungen von Drittanbietern zurückgreifen. Durch proaktive Maßnahmen sollen Finanzunternehmen widerstandsfähig gegen alle Arten von IKT-bezogenen Störungen und Bedrohungen werden, um die Sicherheit ihrer IT-Betriebe langfristig zu wahren.

Wer ist von DORA betroffen?

DORA betrifft nicht nur Finanzunternehmen, sondern auch IKT-Drittdienstleister, die Vertragsbeziehungen mit diesen Unternehmen führen (Art 2 Abs 1 DORA).

Die Definition von IKT-Drittdienstleistern (Art 3 Z 21 DORA) umfasst Unternehmer, die einem oder mehreren Nutzern digitale Dienste und Datendienste über IKT-Systeme dauerhaft zur Verfügung stellen. Damit gilt die Verordnung auch für Cloud-Service-Provider, Softwareanbieter, Datenanalysedienste und Rechenzentren. Mithin sind insbesondere FinTechs ebenfalls von der Verordnung betroffen.

Finanzunternehmen müssen in ihren Verträgen mit solchen IKT-Drittanbietern auch spezifische vertragliche Bestimmungen vorsehen.

Kernbereiche

Im Wesentlichen enthält die Verordnung die folgenden vier Regelungsschwerpunkte.

  • IKT-Risikomanagement (Art 5 – 16 DORA):

Finanzunternehmen haben die Pflicht, über einen internen Governance- sowie über einen IKT-Risikomanagementrahmen zur Gewährleistung des Risikomanagements zu verfügen.

  • Umgang mit IKT-bezogenen Vorfällen (Art 17 – 23 DORA):

DORA legt fest, wie IKT-bezogene Vorfälle zu behandeln, zu klassifizieren und zu melden sind. Finanzunternehmen sind gemäß Art 19 DORA verpflichtet, schwerwiegende IKT-bezogene Vorfälle der zuständigen Behörde zu melden.

  • Testen der digitalen operationalen Resilienz (Art 24 – 27 DORA):

Ferner werden Finanzunternehmen verpflichtet, Tests zur Überprüfung der digitalen operationalen Resilienz zu betreiben. Dadurch sollen Schwächen, Lücken und Mängel in Bezug auf die digitale operationale Resilienz erkannt und erforderliche Korrekturmaßnahmen eingeleitet werden (Art 24 Abs 1 DORA).

  • Management des IKT-Drittparteienrisikos (Art 28 – 44 DORA):

DORA adressiert auch die Risiken, die für Finanzunternehmen durch die Nutzung von Dienstleistungen externer IKT-Anbieter entstehen können. Wichtige Prinzipien sind dabei die Entwicklung einer Strategie zur Risikobewertung und -kontrolle von IKT-Drittparteien (Art 28 Abs 2 DORA). Darüber hinaus müssen Unternehmer ein aktuelles Informationsregister führen, das alle Vertragsbeziehungen mit IKT-Drittdienstleistern dokumentiert (Art 28 Abs 3 DORA). Zudem müssen diese Verträge spezifische (in Art 30 DORA verankerte) Mindestanforderungen beinhalten.

Fazit

DORA stellt einen wichtigen Schritt zur Sicherung der digitalen Infrastruktur im Finanzsektor dar. Unternehmen, die frühzeitig Maßnahmen zur Umsetzung der DORA-Vorgaben ergreifen, können nicht nur regulatorische Risiken minimieren, sondern auch ihre eigene Sicherheitslage erheblich verbessern.

Sie haben weitere Fragen zum Digital Operational Resilience Act?

Sie haben weitere Fragen zu diesem Thema oder wollen sich in anderen Bereichen des Wirtschaftsrechts durch einen Rechtsanwalt beraten lassen? Unser Team bietet umfassende Beratungsleistungen zur DORA-Umsetzung für Finanzunternehmen und IT-Dienstleister.  Melden Sie sich gerne bei unserer Kanzlei unter office@geuer.at oder telefonisch unter +43-1-4380072. Wir freuen uns auf Ihre Anfrage.

Category : Bank- und Kapitalmarktrecht IT-Recht Wirtschaftsrecht
Scroll to Top