Eine für alle(s)

So gut wie alle beaufsichtigten Institute und Unternehmen des europäischen Finanzsektors fallen unter DORA. Außerdem führt DORA verschiedene Anforderungen an die Institute und Unternehmen in puncto Cybersicherheit, IKT-Risiken und digitale operationale Resilienz zusammen.

Auch die BaFin und die Deutsche Bundesbank bereiten sich auf DORA vor - insbesondere durch Anpassung der Aufsichts- und Verwaltungspraxis und Implementierung von IT-Prozessen und -Systemen im Rahmen von DORA. So wird beispielsweise die Finanzaufsicht BaFin in Deutschland zum nationalen Melde-Hub für IKT-Vorfälle im Finanzsektor. Außerdem nimmt die BaFin Anzeigen im Rahmen des IKT-Drittparteimanagements entgegen, zu denen die Institute und Unternehmen verpflichtet sind, und analysiert sie mit Blick auf potenzielle Risiken für den Finanzsektor.

Die BaFin unterstützt beaufsichtigte Unternehmen bei der Umsetzung von DORA – beispielsweise mit Veranstaltungen, Gesprächen mit Expertinnen und Experten und dieser Info-Seite. Hier stellt sie die wichtigsten Informationen zu DORA und der Umsetzung des Regelwerks zusammen. Die Website wird laufend aktualisiert und erweitert werden.

Regelungsinhalt

DORA soll die digitale operationale Resilienz des gesamten europäischen Finanzsektors in diesen sechs wesentlichen Bereichen stärken:

• IKT-Risikomanagement (Kapitel II, Artikel 5 bis 16)
• Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle (Kapitel III, Artikel 17 bis 23)
• Testen der digitalen operationellen Resilienz einschließlich Threat-led Penetration Testing (TLPT) (Kapitel IV, Artikel 24 bis 27)
• Management des IKT-Drittparteirisikos (Kapitel V, Abschnitt I, Artikel 28 bis 30)
• Überwachungsrahmen für kritische IKT-Drittdienstleister (Kapitel V, Abschnitt II, Artikel 31 bis 44)
• Vereinbarungen über den Austausch von Informationen sowie Cyberkrisen- und Notfallübungen (Kapitel VI, Artikel 44 und Artikel Kapitel VII, Artikel 49)

Weitere Einzelheiten zu den entsprechenden sechs wesentlichen Bereichen von DORA finden Sie auf den oben verlinkten thematischen Unterseiten.

DORA findet ab dem 17. Januar 2025 Anwendung.

Die drei Europäischen Aufsichtsbehörden – die EU-Wertpapieraufsichtsbehörde (European Securities and Markets Authority – ESMA), die EU-Bankenaufsichtsbehörde (European Banking Authority – EBA) und die EU-Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (European Insurance and Occupational Pensions Authority – EIOPA), erarbeiten gemeinsam dazu technische Regulierungsstandards, Implementierungsstandards und Leitlinien, die die Anwendung von DORA in allen Sektoren weiter konkretisieren.

Neben DORA wurde zeitgleich eine DORA-Änderungsrichtlinie mit dem Ziel veröffentlicht, sektorale europäische Richtlinien konsistent mit den Anforderungen von DORA zu halten. So wurden beispielsweise TLPT unter DORA in den SREP-Prozess der Eigenkapitalrichtlinie (Capital Requirements Directive – CRD) aufgenommen. Die DORA-Änderungsrichtlinie ändert die europäischen Richtlinien 2009/65/EG (OGAW-Richtlinie), 2009/138/EG (Solvency II), 2011/61/EU (AIFM-Richtlinie), 2013/36/EU (Eigenkapitalrichtlinie; CRD), 2014/59/EU (Abwicklungsrichtlinie), 2014/65/EU (MiFID II), (EU) 2015/2366 (PSD II) und (EU) 2016/2341 (EbAV-II-Richtlinie).

Umsetzung in Deutschland

Das Gesetz über die Digitalisierung des Finanzmarktes soll die Europäische Verordnung MiCA (Markets in Crypto Assets, Verordnung (EU) 2023/1114), die Neufassung der EU-Geldtransferverordnung (Transfer of Funds Regulation, Verordnung (EU) 2023/1113) sowie das europäische DORA-Paket (Digital Operational Resilience Act, Verordnung (EU) 2022/2554 und Richtlinie (EU) 2022/2556) zusammengefasst in einem Finanzmarktdigitalisierungsgesetz (FinmadiG) durchführen bzw. umsetzen.

Das Bundesministerium der Finanzen hat den Regierungsentwurf des Gesetzes über die Digitalisierung des Finanzmarktes (Finanzmarktdigitalisierungsgesetz - FinmadiG), sowie die Beschlussempfehlung und den Bericht des Finanzausschusses hier veröffentlicht.

Zum Hintergrund

Das Europäische Parlament und der Europäische Rat haben am 14. Dezember 2022 DORA, die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act), beschlossen. Die Verordnung wurde am 27. Dezember 2022 im Amtsblatt der europäischen Union veröffentlicht und ist am 17. Januar 2023 in Kraft getreten. Ab dem 17. Januar 2025 wird sie angewendet.

Die Europäische Kommission hatte den Legislativvorschlag zu DORA am 24. September 2020 als Teil des Pakets zur Digitalisierung des Finanzsektors vorgelegt. Dieses Paket umfasst auch einen Rechtsakt über Märkte für Kryptowerte (Markets in Crypto-Assets Regulation – MiCAR), einen Vorschlag über eine Pilotregelung für auf Distributed-Ledger-Technologie (DLT) basierende Marktinfrastrukturen sowie eine Strategie für ein digitales Finanzwesen.

Übrigens: Der deutsche Finanzsektor und die Aufsicht sind grundsätzlich in einer guten Startposition für die Anwendbarkeit von DORA ab 2025. Denn einzelnen Instrumente, die die BaFin in der Vergangenheit bereits geschaffen hat, um die IKT-Sicherheit des deutschen Finanzsektors zu erhöhen, finden sich in DORA wieder: harmonisierte Anforderungen an das IKT-Risikomanagement für die einzelnen Finanzsektoren (BAIT, ZAIT, VAIT, KAIT), vereinheitlichte Auslagerungsanzeigen, Überwachungsrahmen für IT-Mehrmandantendienstleister und vereinheitlichte Strukturen für das Meldewesen von IKT-bezogenen Vorfällen.

Die EU-Kommission hat erste delegierte Rechtsakte und Durchführungsstandards zu DORA angenommen

Die drei ESAs (EBA, EIOPA und ESMA) haben am 17.01.2024 die ersten finalen Entwürfe der technischen Regulierungs- (RTS) und Implementierungsstandards (ITS) zu DORA hier veröffentlicht. Die Europäische Kommission hat die Entwürfe am 13. März angenommen und sie befinden sich aktuell in der 3-monatigen Prüfungsphase, bevor sie veröffentlicht werden.

Sie zielen darauf ab, die digitale operationelle Resilienz des EU-Finanzsektors durch die Stärkung der Informations- und Kommunikationstechnologie (IKT) der Finanzunternehmen sowie des Drittparteirisikomanagements und der Berichterstattung über IKT-Vorfälle zu verbessern.

Die technischen Regulierungs- und Durchführungsstandards umfassen:

• RTS zum IKT-Risikomanagementrahmen (Art. 15) und zum vereinfachten IKT-Risikomanagementrahmen (Art. 16 Abs. 3)
• RTS zu Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen (Art. 18 Abs. 3)
• RTS zur Leitlinie in Bezug auf die Nutzung von IKT-Dienstleistungen von kritischen oder wichtigen Funktionen (Art. 28 Abs. 10) und

• ITS zur Erstellung einer Standardvorlage für das Informationsregister (Art. 28 Abs. 9).

Auch die delegierten Verordnungen zu den Gebühren des europäischen Überwachungsrahmenwerks für kritische IKT-Drittdienstleister (Art. 43 Abs. 2) sowie zu den Kriterien für die Auswahl von IKT-Drittdienstleistern, die unter das europäische Überwachungsrahmenwerk fallen werden (Art. 31 Abs. 6), hat die Kommission bereits angenommen.

Die finalen Fassungen werden in den kommenden Monaten von der Europäische Kommission im Amtsblatt der EU veröffentlicht.

Die Konsultationsphase der zweiten Tranche der RTS- und ITS-Entwürfe ist erfolgreich beendet

Vom 08.12.2023 bis zum 04.03.2024 fand die öffentliche Konsultation der der Europäischen Aufsichtsbehörden EBA, ESMA und EIOPA zu den nachfolgenden Entwürfen statt:

• Konsultation des RTS zu Threat Led Penetration Testing (Art. 26 Abs.11)
• Konsultation des RTS zur Spezifizierung von Elementen bei der Untervergabe von kritischen oder wichtigen Funktionen (Art. 30 Abs. 5)
• Konsultation des RTS zur Festlegung der Meldung schwerwiegender IKT-Vorfälle (Art. 20.a)
• Konsultation des ITS zur Festlegung der Einzelheiten der Berichterstattung über größere IKT-bezogene Vorfälle (Art. 20.b)
• Konsultation der GL für die Zusammenarbeit zwischen den ESA und dem CAs hinsichtlich der Struktur der Überwachung (Art. 32 Abs. 7)
• Konsultation des RTS zur Harmonisierung der Voraussetzungen für die Durchführung der Überwachungstätigkeiten (Art. 41)

Die Rückmeldungen zu den Entwürfen werden nun von den europäischen Arbeitsgruppen ausgewertet, mit dem Ziel bis zum 17. Juli 2024 die finalen Entwürfe ebenfalls an die europäische Kommission zu senden.

DORA: Veröffentlichungen der BaFin

• „Machen Sie sich jetzt startklar für DORA“
• Auslagerungen im Finanzsektor: Mehr Transparenz schafft Sicherheit
• DORA: Der Countdown läuft
• „Doch, die BaFin erlaubt das!“
• DORA bietet große Chancen
• „Der regulatorische Druck kann die Digitalisierung der Finanzindustrie vorantreiben“
• Grenzüberschreitende Probleme? Grenzüberschreitende Lösungen – durch DORA
• MiCA und DORA: BaFin zu Fortschritten bei den Trilogverhandlungen

DORA: Was müssen Sie wissen?

Sollten Sie Fragen rund um das Thema DORA haben, wenden Sie sich bitte an unser zentrales Funktionspostfach:

Außerdem vermittelt der Fragenkatalog zu DORA, ohne Anspruch auf Vollständigkeit, einen ersten Überblick über die wichtigsten Fragestellungen zu DORA und deren Umsetzung. Dieser Fragenkatalog wird fortlaufend aktualisiert. Themenspezifische Fragen finden Sie auf den jeweiligen Unterseiten.

Resultate 21 bis 30 von insgesamt 33