Seit dem 17. Januar 2025 findet der Digital Operational Resilience Act (DORA) nach einer zweijährigen Übergangszeit Anwendung. DORA ist eine wegweisende europäische Regulierung zur Stärkung der digitalen Betriebssicherheit im Finanzsektor. Sie gilt für eine Vielzahl von Finanzakteuren, darunter Kreditinstitute, Zahlungs- und Kontoinformationsdienstleister, Wertpapierfirmen, Versicherungsunternehmen, Krypto-Dienstleister, Handelsplattformen und zentrale Gegenparteien.

DORA entfaltet darüber hinaus auch eine besondere Bedeutung für Unternehmen, die für Finanzakteure digitale Dienste und Datendienste über Informations- und Kommunikationssysteme erbringen. Hierunter fällt, ähnlich wie bei den Finanzakteuren, ein breites Spektrum an Dienstleistern, allen voran Cloud-Dienstleister. Aber auch Abonnementen der Dienste von Datenanbietern sowie Leistungen in den IKT-Bereichen Projektmanagement, Entwicklung und Sicherheitsmanagement können betroffen sein.

Auch wenn hinter den betroffenen Unternehmen eine zweijährige Übergangsfrist liegt, die dazu dienen sollte, sie auf die Anforderungen vorzubereiten, ist davon auszugehen, dass die Umsetzung noch nicht bei allen vollständig erfolgt ist. Die Umsetzung und Einhaltung von DORA stellt viele, insbesondere kleine und mittlere Unternehmen, vor erhebliche Herausforderungen.

Die Anforderungen, die zum Teil durch delegierte Rechtsakte und Durchführungsstandards auf EU-Ebene sowie gemeinsame Leitlinien zuständigen europäischen Aufsichtsbehörden konkretisiert werden, sind teilweise sehr komplex und ihre Umsetzung erfordert erhebliche Investitionen in Technologie und Personal. Auch sind neue Vertrags- und Risikomanagementstrategien gefordert.

Selbst wenn diese Anforderungen den Akteuren teils aus Outsourcing-Sachverhalten bekannt sein dürften, erfordern sie neue Prüfungen und eine Abstimmung mit vergleichbaren Regelungen und Maßnahmen, die gegebenenfalls in anderen Zusammenhängen getroffen wurden.

Die Folgen bei Nichtbeachtung können für die Unternehmen erheblich sein. Für die Erfüllung ihrer Aufgaben verfügen die zuständigen Behörden über Aufsichts-, Untersuchungs- und Sanktionsbefugnisse. Dies umfasst den Zugriff auf Unterlagen oder Daten jeglicher Form, die Durchführung von Inspektionen vor Ort, die Forderung von Korrektur- und Abhilfemaßnahmen sowie die Verhängung von Geldbußen. Primäres Ziel von DORA ist es, einheitliche Standards für die digitale Betriebssicherheit in der EU zu etablieren und regulatorische Unterschiede zu beseitigen. Darüber hinaus soll DORA zur Verbesserung der Widerstandsfähigkeit der Finanzinstitute in Bezug auf operative technische Störungen und Cyberbedrohungen beitragen und durch verbesserte Sicherheitsmaßnahmen und Transparenz das Vertrauen von Kunden und Investoren in den Finanzsektor stärken.

Ferner ist bezweckt, die Abhängigkeit von IKT-Drittdienstleistern und die damit verbundenen Risiken besser zu steuern und zu kontrollieren. Schließlich wird auf ein effizientes Aufsichts- und Durchsetzungssystem abgezielt, in dem nationale Behörden mit EU-Institutionen zusammenarbeiten.

Diesen Zielen liegen fünf Maßnahmenpakete zugrunde. Finanzinstitute sind verpflichtet, robuste Systeme und Prozesse für das Management digitaler Risiken einzurichten. Die Anforderungen umfassen die Entwicklung und Implementierung eines umfassenden IT-Risikomanagements, die regelmäßige Bewertung von Risiken im Zusammenhang mit IKT sowie die Umsetzung von Sicherheitsmaßnahmen zur Minimierung potenzieller Schwachstellen.

Darüber hinaus werden Sicherheitsvorfälle und Berichterstattung künftig strenger gehandhabt. DORA enthält Vorgaben zur unverzüglichen Meldung wesentlicher Sicherheitsvorfälle an die zuständigen Aufsichtsbehörden sowie die Einrichtung eines standardisierten Meldeverfahrens, um die Analyse und Reaktion auf Vorfälle zu erleichtern.

Eine weitere zentrale Komponente ist die Durchführung regelmäßiger Tests zur Bewertung der digitalen Resilienz. Diese umfassen grundlegende Tests zur Überprüfung der Widerstandsfähigkeit gegenüber allgemeinen Bedrohungen sowie Tests mit erweiterten Bedrohungssimulationen. Große Finanzinstitute müssen realistische Angriffe simulieren, um ihre Systeme zu prüfen. Weiterer Schwerpunkt ist die Steuerung und Kontrolle von Drittanbieter-Risiken. So verlangt DORA strenge Vertragsvorgaben für IKT-Dienstleister sowie die Überwachung und Bewertung deren Leistung und Sicherheit. Von den europäischen Aufsichtsbehörden kritisch eingestufte IKT-Dienstleister unterliegen künftig direkt deren Aufsicht. Weiterhin wird der Austausch von Informationen über Cyberbedrohungen und Vorfälle zwischen Finanzinstituten, um ein besseres Verständnis von Angriffsmustern zu ermöglichen, gefördert.

Für Finanzinstitute ist DORA Herausforderung und Chance zugleich. Durch die Umsetzung der Vorschriften können sie nicht nur regulatorische Risiken minimieren, sondern auch ihre Wettbewerbsfähigkeit und Sicherheit verbessern.

Der Erfolg wird maßgeblich davon abhängen, wie effektiv die Branche und die Aufsichtsbehörden zusammenarbeiten, um die künftigen digitalen Bedrohungen zu bewältigen.