Verordnung (EU) 2022/2554 (DORA)

Stärkung der digitalen operationalen Resilienz

Mit der Verordnung (EU) 2022/2554 verpflichtet die Europäische Union Finanzunternehmen zur Stärkung ihrer digitalen operationalen Resilienz. Auch im deutschsprachigen Raum haben sich die englische Bezeichnung „Digital Operational Resilience Act“ und deren Abkürzung DORA etabliert.

Flagge der Europäischen Union

Verordnung (EU) 2022/2554

Titel: Verordnung (EU) 2022/2554 des europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011
Kurztitel: Verordnung zur digitalen operationalen Resilienz
Bezeichnung:
(nicht amtlich)
DORA, Digital Operational Resilience Act
Geltungsbereich: EWR
Rechtsmaterie: Informationstechnologie, Informationssicherheit, Digitalisierung, Cloud-Computing, Auslagerung, Finanzdienstleistungen, Finanztechnologie, Risikomanagement, digitaler Binnenmarkt
Grundlage: AEUV, insbesondere Art. 114
Datum des Rechtsakts: 14.12.2022
Veröffentlichungsdatum: 27.12.2022
Inkrafttreten: 17.01.2023
Anzuwenden ab: 17.01.2025
Fundstelle: ABl. L 333/1, 27.12.2022, S. 1–79
Volltext Konsolidierte Fassung (nicht amtlich)
Grundfassung
Regelung ist in Kraft getreten und anwendbar.
Hinweis zur geltenden Fassung von Rechtsakten der Europäischen Union

Zielsetzung

Bearbeiten

Der Rechtsakt zielt darauf ab, die digitale operationale Widerstandsfähigkeit von EU-Finanzunternehmen und ihren IKT-Drittdienstleistern zu verbessern und einen EU-weit einheitlichen Aufsichtsrahmen zu schaffen. So sollen die Anfälligkeit für Cyberbedrohungen und IKT-Störungen über die gesamte Wertschöpfungskette des Finanzsektors reduziert werden. Darüber hinaus beabsichtigt DORA, die nationalen Vorschriften für die Sicherheit von IT-Systemen im Finanzsektor zu harmonisieren. Dadurch werde der europäische Finanzmarkt als Ganzes gegenüber Cyberrisiken und Vorfällen der Informations- und Kommunikationstechnologie gestärkt.[1]

Geltungsbereich

Bearbeiten

Die Verordnung gilt für Finanzunternehmen und IKT-Drittdienstleister. Gemäß Artikel 2[2] sind Finanzunternehmen umfangreich definiert als:

In Abgrenzung dazu sind vom Geltungsbereich ausgenommen:

Grundsatz der Verhältnismäßigkeit

Bearbeiten

DORA definiert in Artikel 4[3] den Grundsatz der Verhältnismäßigkeit. Dieser resultiert für kleinere Unternehmen, die trotz ihrer Größe unter den Geltungsbereich dieses Rechtsaktes fallen, in einigen Ausnahmeregelungen. Demnach können in Einklang mit ihrem Gesamtrisikoprofil einige Vorgaben vereinfacht umgesetzt werden. Ein Beispiel hierfür ist der sogenannte vereinfachte IKT-Risikomanagementrahmen nach Artikel 16 mit einem zugehörigen technischen Regulierungsstandard (RTS).

Aufbau der Verordnung

Bearbeiten

Der Rechtsakt umfasst 64 Artikel, die in 9 Kapitel strukturiert sind:

  1. Allgemeine Bestimmungen (Art. 1 bis Art. 4)
  2. IKT-Risikomanagement (Art. 5 bis Art. 16)
  3. Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle (Art. 17 bis Art. 23)
  4. Testen der digitalen operationalen Resilienz (Art. 23 bis Art. 27)
  5. Management des IKT-Drittparteienrisikos (Art. 28 bis Art. 44)
  6. Vereinbarungen über den Austausch von Informationen (Art. 45)
  7. Zuständige Behörden (Art. 46 bis Art. 56)
  8. Delegierte Rechtsakte (Art. 57)
  9. Übergangs- und Schlussbestimmungen (Art. 58 bis Art. 64)

Ergänzend dazu erarbeiten die ESA technische Regulierungs- und Implementierungsstandards (RTS und ITS), die durch die Veröffentlichung im Amtsblatt der Europäischen Union ebenfalls Rechtscharakter besitzen[4]:

  1. RTS zum IKT-Risikomanagementrahmen (Art. 15)
  2. RTS zum vereinfachten IKT-Risikomanagementrahmen (Art. 16 Abs. 3)
  3. RTS zu Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen (Art. 18 Abs. 3)
  4. ITS zur Erstellung einer Standardvorlage für das Informationsregister (Art. 28 Abs. 9)
  5. RTS zur Leitlinie in Bezug auf die Nutzung von IKT-Dienstleistungen (Art. 28 Abs. 10)
  6. RTS zu Threat Led Penetration Testing (Art. 26.11)
  7. RTS zur Spezifizierung von Elementen bei der Untervergabe von kritischen oder wichtigen Funktionen (Art. 30.5)
  8. RTS zur Festlegung der Meldung schwerwiegender IKT-Vorfälle (Art. 20.a)
  9. ITS zur Festlegung der Einzelheiten der Berichterstattung über größere IKT-bezogene Vorfälle (Art. 20.b)
  10. GL für die Zusammenarbeit zwischen den ESA und dem CAs hinsichtlich der Struktur der Überwachung (Art. 32.7)
  11. RTS zur Harmonisierung der Voraussetzungen für die Durchführung der Überwachungstätigkeiten (Art. 41)

Siehe auch

Bearbeiten
Bearbeiten

Einzelnachweise

Bearbeiten
  1. Patrik Buchmüller, Sandra Schmolz: EU Digital Operational Resilience Act (DORA). In: haufe.de. 16. Januar 2023, abgerufen am 29. Januar 2024.
  2. Artikel 2, auf eur-lex.europa.eu
  3. Artikel 4, auf eur-lex.europa.eu
  4. DORA - Digital Operational Resilience Act. In: bafin.de. Bundesanstalt für Finanzdienstleistungsaufsicht, abgerufen am 22. Januar 2024.