@AdobeStock_Kittiphat_269686664
Stand:geändert am 16.08.2024 DORA - Digital Operational Resilience Act
Inhalt
Mit DORA, der Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act), hat die Europäische Union eine finanzsektorweite Regulierung für die Themen Cybersicherheit, IKT-Risiken und digitale operationale Resilienz geschaffen. Diese Verordnung trägt wesentlich dazu bei, den europäischen Finanzmarkt gegenüber Cyberrisiken und Vorfällen der Informations- und Kommunikationstechnologie (IKT) zu stärken.
Aktualisierungsübersicht
| Datum | Aktualisierung |
|---|---|
| 02.07.2024 | Erste delegierte Rechtsakte zur Ergänzung von DORA von der Kommission veröffentlicht |
| 22.05.2024 | Aktualisierung der Linkliste "Veröffentlichungen der BaFin" |
| 29.04.2024 | Hinweis auf Delegierte Rechtsakte und Durchführungsstandards zu DORA, die sich in der Prüfung der KOM befinden, sowie Kontaktdaten für Fragen ergänzt |
Eine für alle(s)
So gut wie alle beaufsichtigten Institute und Unternehmen des europäischen Finanzsektors fallen unter DORA. Außerdem führt DORA verschiedene Anforderungen an die Institute und Unternehmen in puncto Cybersicherheit, IKT-Risiken und digitale operationale Resilienz zusammen.
Auch die BaFin und die Deutsche Bundesbank bereiten sich auf DORA vor - insbesondere durch Anpassung der Aufsichts- und Verwaltungspraxis und Implementierung von IT-Prozessen und -Systemen im Rahmen von DORA. So wird beispielsweise die Finanzaufsicht BaFin in Deutschland zum nationalen Melde-Hub für IKT-Vorfälle im Finanzsektor. Außerdem nimmt die BaFin Anzeigen im Rahmen des IKT-Drittparteienmanagements entgegen, zu denen die Institute und Unternehmen verpflichtet sind, und analysiert sie mit Blick auf potenzielle Risiken für den Finanzsektor.
Die BaFin unterstützt beaufsichtigte Unternehmen bei der Umsetzung von DORA – beispielsweise mit Veranstaltungen, Gesprächen mit Expertinnen und Experten und dieser Info-Seite. Hier stellt sie die wichtigsten Informationen zu DORA und der Umsetzung des Regelwerks zusammen. Die Website wird laufend aktualisiert und erweitert werden.
Veranstaltungshinweis:IT-Aufsicht im Finanzsektor: Was bedeutet DORA in der Praxis?
Am 26. September 2024 findet die zehnte BaFin-Veranstaltung „IT-Aufsicht im Finanzsektor“ als digitale Konferenz statt.
In der Veranstaltung informiert die BaFin die Unternehmen über die konkreten Anforderungen aus DORA an das IKT-Drittparteienrisikomanagement, das Überwachungsrahmenwerk, das IKT-Vorfallsmeldewesen und das Informationsregister. Die Teilnehmenden haben die Möglichkeit, Fragen rund um diese Themen bei der Anmeldung einzureichen.
Die Veranstaltung richtet sich an IT-Führungskräfte und IT-Expertinnen und Experten der beaufsichtigten Unternehmen aus dem gesamten Finanzsektor.
Nähere Informationen zum digitalen Veranstaltungsformat, zum Programm und zur Anmeldung finden Sie hier.
Regelungsinhalt
DORA soll die digitale operationale Resilienz des gesamten europäischen Finanzsektors in diesen sechs wesentlichen Bereichen stärken:
- IKT-Risikomanagement (Kapitel II, Artikel 5 bis 16)
- Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle (Kapitel III, Artikel 17 bis 23)
- Testen der digitalen operationellen Resilienz einschließlich Threat-led Penetration Testing (TLPT) (Kapitel IV, Artikel 24 bis 27)
- Management des IKT-Drittparteienrisikos (Kapitel V, Abschnitt I, Artikel 28 bis 30)
- Überwachungsrahmen für kritische IKT-Drittdienstleister (Kapitel V, Abschnitt II, Artikel 31 bis 44)
- Vereinbarungen über den Austausch von Informationen sowie Cyberkrisen- und Notfallübungen (Kapitel VI, Artikel 44 und Artikel Kapitel VII, Artikel 49)
Weitere Einzelheiten zu den entsprechenden sechs wesentlichen Bereichen von DORA finden Sie auf den oben verlinkten thematischen Unterseiten.
DORA findet ab dem 17. Januar 2025 Anwendung.
Die drei Europäischen Aufsichtsbehörden – die EU-Wertpapieraufsichtsbehörde (European Securities and Markets Authority – ESMA), die EU-Bankenaufsichtsbehörde (European Banking Authority – EBA) und die EU-Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (European Insurance and Occupational Pensions Authority – EIOPA), erarbeiten gemeinsam dazu technische Regulierungsstandards, Implementierungsstandards und Leitlinien, die die Anwendung von DORA in allen Sektoren weiter konkretisieren.
Neben DORA wurde zeitgleich eine DORA-Änderungsrichtlinie mit dem Ziel veröffentlicht, sektorale europäische Richtlinien konsistent mit den Anforderungen von DORA zu halten. So wurden beispielsweise TLPT unter DORA in den SREP-Prozess der Eigenkapitalrichtlinie (Capital Requirements Directive – CRD) aufgenommen. Die DORA-Änderungsrichtlinie ändert die europäischen Richtlinien 2009/65/EG (OGAW-Richtlinie), 2009/138/EG (Solvency II), 2011/61/EU (AIFM-Richtlinie), 2013/36/EU (Eigenkapitalrichtlinie; CRD), 2014/59/EU (Abwicklungsrichtlinie), 2014/65/EU (MiFID II), (EU) 2015/2366 (PSD II) und (EU) 2016/2341 (EbAV-II-Richtlinie).
Zum Hintergrund
Das Europäische Parlament und der Europäische Rat haben am 14. Dezember 2022 DORA, die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act), beschlossen. Die Verordnung wurde am 27. Dezember 2022 im Amtsblatt der europäischen Union veröffentlicht und ist am 17. Januar 2023 in Kraft getreten. Ab dem 17. Januar 2025 wird sie angewendet.
Die Europäische Kommission hatte den Legislativvorschlag zu DORA am 24. September 2020 als Teil des Pakets zur Digitalisierung des Finanzsektors vorgelegt. Dieses Paket umfasst auch einen Rechtsakt über Märkte für Kryptowerte (Markets in Crypto-Assets Regulation – MiCAR), einen Vorschlag über eine Pilotregelung für auf Distributed-Ledger-Technologie (DLT) basierende Marktinfrastrukturen sowie eine Strategie für ein digitales Finanzwesen.
Übrigens: Der deutsche Finanzsektor und die Aufsicht sind grundsätzlich in einer guten Startposition für die Anwendbarkeit von DORA ab 2025. Denn einzelne Instrumente, die die BaFin in der Vergangenheit bereits geschaffen hat, um die IKT-Sicherheit des deutschen Finanzsektors zu erhöhen, finden sich in DORA wieder: harmonisierte Anforderungen an das IKT-Risikomanagement für die einzelnen Finanzsektoren (BAIT, ZAIT, VAIT, KAIT), vereinheitlichte Auslagerungsanzeigen, Überwachungsrahmen für IT-Mehrmandantendienstleister und vereinheitlichte Strukturen für das Meldewesen von IKT-bezogenen Vorfällen.
Umsetzung in Deutschland
Das Gesetz über die Digitalisierung des Finanzmarktes soll die Europäische Verordnung MiCA (Markets in Crypto Assets, Verordnung (EU) 2023/1114), die Neufassung der EU-Geldtransferverordnung (Transfer of Funds Regulation, Verordnung (EU) 2023/1113) sowie das europäische DORA-Paket (Digital Operational Resilience Act, Verordnung (EU) 2022/2554 und Richtlinie (EU) 2022/2556) zusammengefasst in einem Finanzmarktdigitalisierungsgesetz (FinmadiG) durchführen bzw. umsetzen.
Das Bundesministerium der Finanzen hat den Regierungsentwurf des Gesetzes über die Digitalisierung des Finanzmarktes (Finanzmarktdigitalisierungsgesetz - FinmadiG), sowie die Beschlussempfehlung und den Bericht des Finanzausschusses hier veröffentlicht.
Mehr zum Thema:Die BaFin informiert mit einer Aufsichtsmitteilung zur Umsetzung von DORA im IKT-Risikomanagement und IKT-Drittparteienrisikomanagement
Die Aufsichtsmitteilung ist eine nicht verpflichtende Hilfestellung. Sie soll die Unternehmen dabei unterstützen, die Anforderungen aus DORA an das reguläre IKT-Risikomanagement (Artt. 5 - 15 DORA) und das IKT-Drittparteienrisikomanagement (Artt. 28 - 30 DORA) umzusetzen. Dabei berücksichtigt sie auch die einschlägigen technischen Regulierungsstandards. Die Umsetzungshinweise enthalten auch eine Übersicht der Mindestvertragsinhalte, die beaufsichtigte Unternehmen mit IKT-Drittdienstleistern vereinbaren müssen.
Die Umsetzungshinweise nehmen nur auf die BAIT und die VAIT Bezug. Die betrachteten Anforderungen sind jedoch häufig vergleichbar mit den aufsichtlichen Anforderungen an die Kapitalverwaltungsgesellschaften (KAIT) und an die Zahlungs- und E-Geld-Institute (ZAIT). Die Ergebnisse lassen sich also in der Regel übertragen.
Delegierte Rechtsakte und Durchführungsstandards zu DORA sowie gemeinsame Leitlinien (Level 2 und 3)
Die DORA-Verordnung bildet entsprechend dem im Finanzsektor üblichen Lamfalussy-Verfahren den Basisrechtsakt (Level 1), der weitergehende Ermächtigungen für delegierte Rechtsakte und Durchführungsstandards (Level 2) sowie gemeinsame Leitlinien der drei ESAs (EBA, EIOPA und ESMA) (Level 3) enthält und grundlegende Anforderungen festlegt.
Die verschiedenen delegierten Rechtsakte und Durchführungsstandards sowie gemeinsame Leitlinien (Level 2 und 3) konkretisieren die Anforderungen der DORA-Verordnung.
| Kurztitel | Status | Link |
|---|---|---|
| RTS zur Festlegung der Tools, Methoden, Prozesse und Richtlinien für das IKT-Risikomanagement und des vereinfachten IKT-Risikomanagementrahmens (Art. 15 und Art. 16 Abs. 3) | Im Amtsblatt der EU veröffentlicht | Amtsblatt der EU zur delegierten Verordnung (EU) 2024/1774 |
| RTS zu Threat Led Penetration Testing (Art. 26 Abs.11) | Entwurf der ESAs an die EU KOM versandt | Mitteilung der ESAs |
| RTS zur Spezifizierung des detaillierten Inhalts der Leitlinie für vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen, die von IKT-Drittdienstleistern bereitgestellt werden (Art. 28 Abs. 10) | Im Amtsblatt der EU veröffentlicht | Amtsblatt der EU zur delegierten Verordnung (EU) 2024/1773 |
| RTS zur Spezifizierung der Elemente, die ein Finanzunternehmen bestimmen und bewerten muss, wenn es IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen untervergeben hat (Art. 30 Abs. 5) | Entwurf der ESAs an die EU KOM versandt | Mitteilung der ESAs |
| RTS zur Festlegung der Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen, der Wesentlichkeitsschwellen und der Einzelheiten von Meldungen schwerwiegender Vorfälle (Art. 18 Abs. 4) | Im Amtsblatt der EU veröffentlicht | Amtsblatt der EU zur delegierten Verordnung (EU) 2024/1772 |
| RTS zur Festlegung des Inhalts der Meldung schwerwiegender IKT-Vorfälle und erheblicher Cyberbedrohungen sowie zur Bestimmung der Fristen der Meldung von schwerwiegenden Vorfällen (Art. 20.a) | Entwurf der ESAs an die EU KOM versandt | Mitteilung der ESAs |
| ITS zur Festlegung von Standardformularen, Vorlagen und Verfahren für Finanzunternehmen zur Meldung eines schwerwiegenden IKT-bezogenen Vorfalls oder einer erheblichen Cyberbedrohung (Art. 20.b) | Entwurf der ESAs an die EU-KOM versandt | Mitteilung der ESAs |
| GL zu den geschätzten Kosten und Verlusten durch schwerwiegende IKT-bezogene Vorfälle (Art. 11 Abs. 12) | Finaler Entwurf der ESAs | Mitteilung der ESAs |
| ITS zur Erstellung einer Standardvorlage für das Informationsregister (Art. 28 Abs.9) | Entwurf der ESAs an die EU-KOM versandt | |
| GL für die Zusammenarbeit bei der Überwachung und den Informationsaustausch zwischen den ESAs und den zuständigen Behörden (Art. 32 Abs. 7) | Finaler Entwurf der ESAs | Mitteilung der ESAs |
| RTS zur Harmonisierung der Voraussetzungen für die Durchführung der Überwachungstätigkeiten (Art. 41) | Entwurf der ESAs an die EU-KOM versandt | Mitteilung der ESAs |
| RTS zu der Zusammensetzung der JETs (Art. 41 Abs. 1 lit. c) | Entwurf der ESAs an die EU-KOM versandt | Mitteilung der ESAs |
| Delegierte Verordnung zu den Kriterien zur Festlegung der Kriterien für die Einstufung von IKT-Drittdienstleistern als für Finanzunternehmen (Art. 31 Abs. 6) | Im Amtsblatt der EU veröffentlicht | Amtsblatt der EU zur delegierten Verordnung (EU) 2024/1502 |
| Delegierte Verordnung zur Festlegung der Höhe der von der federführenden Überwachungsbehörde bei kritischen IKT-Drittdienstleistern zu erhebenden Überwachungsgebühren und der Art und Weise der Entrichtung dieser Gebühren (Art. 43 Abs. 2) | Im Amtsblatt der EU veröffentlicht | Amtsblatt der EU zur delegierten Verordnung (EU) 2024/1505 |
In der dargestellten Tabelle werden der übersichthalber die folgenden Arten von Rechtstexten unterschieden:
- Delegierte Verordnung
- Technischer Regulierungsstandard (auf Englisch regulatory technical standard; RTS)
- Durchführungsstandard (auf Englisch implementing technical standard; ITS)
- Leitlinien (auf Englisch Guidelines; GL)
Aufgrund des finanzsektorübergreifenden Charakters der DORA sind alle drei ESAs gemeinsam beauftragt worden Entwürfe für die technischen Regulierungs- und Durchführungsstandards der EU-Kommission vorzulegen.
RTS und ITS, die bisher als finale Berichte der Entwürfe durch die ESAs vorliegen, werden im weiteren Prozess von der Europäischen Kommission noch angenommen und geprüft bevor sie im Amtsblatt der EU veröffentlicht werden.
Auf den thematischen Unterseiten dieser Informationsseite finden Sie teilweise weitergehende Informationen zu den einzelnen Rechtstexten.
DORA: Veröffentlichungen der BaFin
- „Von Altbewährtem lösen“ (08.07.2024)
- Transparenz dank Meldepflicht (18.06.2024)
- „Machen Sie sich jetzt startklar für DORA“ (08.05.2024)
- Auslagerungen im Finanzsektor: Mehr Transparenz schafft Sicherheit (11.04.2024)
- DORA: Der Countdown läuft (27.02.2024)
- „Doch, die BaFin erlaubt das!“ (22.02.2024)
- DORA bietet große Chancen (05.12.2023)
- „Der regulatorische Druck kann die Digitalisierung der Finanzindustrie vorantreiben“ (25.07.2023)
- Grenzüberschreitende Probleme? Grenzüberschreitende Lösungen – durch DORA (22.09.2022)
- MiCA und DORA: BaFin zu Fortschritten bei den Trilogverhandlungen (20.07.2022)
DORA: Was müssen Sie wissen?
Sollten Sie Fragen rund um das Thema DORA haben, wenden Sie sich bitte an unser zentrales Funktionspostfach:
Kontakt:Fragen rund um DORA
E-Mail: DORA@bafin.de
Außerdem vermittelt der Fragenkatalog zu DORA, ohne Anspruch auf Vollständigkeit, einen ersten Überblick über die wichtigsten Fragestellungen zu DORA und deren Umsetzung. Dieser Fragenkatalog wird fortlaufend aktualisiert. Themenspezifische Fragen finden Sie auf den jeweiligen Unterseiten.
