BaFin - Navigation & Service

Springe direkt zu:

IT-Aufsicht @AdobeStock_Kittiphat_269686664

Stand:geändert am 22.05.2024 DORA - Digital Operational Resilience Act

Inhalt

Mit DORA, der Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act), hat die Europäische Union eine finanzsektorweite Regulierung für die Themen Cybersicherheit, IKT-Risiken und digitale operationale Resilienz geschaffen. Diese Verordnung trägt wesentlich dazu bei, den europäischen Finanzmarkt gegenüber Cyberrisiken und Vorfällen der Informations- und Kommunikationstechnologie (IKT) zu stärken.

Aktualisierungsübersicht

DatumAktualisierung
22.05.2024Aktualisierung der Linkliste "Veröffentlichungen der BaFin"
29.04.2024Hinweis auf Delegierte Rechtsakte und Durchführungsstandards zu DORA, die sich in der Prüfung der KOM befinden, sowie Kontaktdaten für Fragen ergänzt
06.02.2024Diverse Überarbeitungen sowie Neueinrichtung der thematischen Unterseiten zu den Regelungsinhalten von DORA
17.01.2024Die drei ESAs (EBA, EIOPA und ESMA) haben die ersten finalen Entwürfe der technischen Regulierungs- und Implementierungsstandards zu DORA veröffentlicht.

Eine für alle(s)

So gut wie alle beaufsichtigten Institute und Unternehmen des europäischen Finanzsektors fallen unter DORA. Außerdem führt DORA verschiedene Anforderungen an die Institute und Unternehmen in puncto Cybersicherheit, IKT-Risiken und digitale operationale Resilienz zusammen.

Auch die BaFin und die Deutsche Bundesbank bereiten sich auf DORA vor - insbesondere durch Anpassung der Aufsichts- und Verwaltungspraxis und Implementierung von IT-Prozessen und -Systemen im Rahmen von DORA. So wird beispielsweise die Finanzaufsicht BaFin in Deutschland zum nationalen Melde-Hub für IKT-Vorfälle im Finanzsektor. Außerdem nimmt die BaFin Anzeigen im Rahmen des IKT-Drittparteimanagements entgegen, zu denen die Institute und Unternehmen verpflichtet sind, und analysiert sie mit Blick auf potenzielle Risiken für den Finanzsektor.

Die BaFin unterstützt beaufsichtigte Unternehmen bei der Umsetzung von DORA – beispielsweise mit Veranstaltungen, Gesprächen mit Expertinnen und Experten und dieser Info-Seite. Hier stellt sie die wichtigsten Informationen zu DORA und der Umsetzung des Regelwerks zusammen. Die Website wird laufend aktualisiert und erweitert werden.

Veranstaltungshinweis:IT-Aufsicht im Finanzsektor: Was bedeutet DORA in der Praxis?

DORA: BaFin-Workshops zu Informationsregistern

Am 20. und 21. Juni 2024 informiert die Finanzaufsicht BaFin Finanzunternehmen über die Anforderungen an ein Informationsregister.

Nähere Informationen zum digitalen Veranstaltungsformat, zum Programm und zur Anmeldung finden Sie an dieser Stelle.

Am 26. September 2024 findet die zehnte BaFin-Veranstaltung „IT-Aufsicht im Finanzsektor“ als digitale Konferenz statt.


In der Veranstaltung informiert die BaFin die Unternehmen über die konkreten Anforderungen aus DORA an das IKT-Drittparteirisikomanagement, das Überwachungsrahmenwerk, das IKT-Vorfallsmeldewesen und das Informationsregister. Die Teilnehmenden haben die Möglichkeit, Fragen rund um diese Themen bei der Anmeldung einzureichen.


Die Veranstaltung richtet sich an IT-Führungskräfte und IT-Expertinnen und Experten der beaufsichtigten Unternehmen aus dem gesamten Finanzsektor.


Nähere Informationen zum digitalen Veranstaltungsformat, zum Programm und zur Anmeldung veröffentlicht die BaFin voraussichtlich Mitte Juli an dieser Stelle.


Anmeldungen sind ab Mitte Juli möglich. Die Teilnahme ist kostenlos. Obwohl es sich um eine digitale Veranstaltung handelt, kann nur eine begrenzte Zahl an Personen teilnehmen. Eine Vormerkung ist nicht möglich.

Regelungsinhalt

DORA soll die digitale operationale Resilienz des gesamten europäischen Finanzsektors in diesen sechs wesentlichen Bereichen stärken:

Weitere Einzelheiten zu den entsprechenden sechs wesentlichen Bereichen von DORA finden Sie auf den oben verlinkten thematischen Unterseiten.

DORA findet ab dem 17. Januar 2025 Anwendung.

Die drei Europäischen Aufsichtsbehörden – die EU-Wertpapieraufsichtsbehörde (European Securities and Markets AuthorityESMA), die EU-Bankenaufsichtsbehörde (European Banking AuthorityEBA) und die EU-Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (European Insurance and Occupational Pensions AuthorityEIOPA), erarbeiten gemeinsam dazu technische Regulierungsstandards, Implementierungsstandards und Leitlinien, die die Anwendung von DORA in allen Sektoren weiter konkretisieren.

Neben DORA wurde zeitgleich eine DORA-Änderungsrichtlinie mit dem Ziel veröffentlicht, sektorale europäische Richtlinien konsistent mit den Anforderungen von DORA zu halten. So wurden beispielsweise TLPT unter DORA in den SREP-Prozess der Eigenkapitalrichtlinie (Capital Requirements DirectiveCRD) aufgenommen. Die DORA-Änderungsrichtlinie ändert die europäischen Richtlinien 2009/65/EG (OGAW-Richtlinie), 2009/138/EG (Solvency II), 2011/61/EU (AIFM-Richtlinie), 2013/36/EU (Eigenkapitalrichtlinie; CRD), 2014/59/EU (Abwicklungsrichtlinie), 2014/65/EU (MiFID II), (EU) 2015/2366 (PSD II) und (EU) 2016/2341 (EbAV-II-Richtlinie).

Umsetzung in Deutschland

Das Gesetz über die Digitalisierung des Finanzmarktes soll die Europäische Verordnung MiCA (Markets in Crypto Assets, Verordnung (EU) 2023/1114), die Neufassung der EU-Geldtransferverordnung (Transfer of Funds Regulation, Verordnung (EU) 2023/1113) sowie das europäische DORA-Paket (Digital Operational Resilience Act, Verordnung (EU) 2022/2554 und Richtlinie (EU) 2022/2556) zusammengefasst in einem Finanzmarktdigitalisierungsgesetz (FinmadiG) durchführen bzw. umsetzen.

Das Bundesministerium der Finanzen hat den Regierungsentwurf des Gesetzes über die Digitalisierung des Finanzmarktes (Finanzmarktdigitalisierungsgesetz - FinmadiG), sowie die Beschlussempfehlung und den Bericht des Finanzausschusses hier veröffentlicht.

Zum Hintergrund

Das Europäische Parlament und der Europäische Rat haben am 14. Dezember 2022 DORA, die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act), beschlossen. Die Verordnung wurde am 27. Dezember 2022 im Amtsblatt der europäischen Union veröffentlicht und ist am 17. Januar 2023 in Kraft getreten. Ab dem 17. Januar 2025 wird sie angewendet.

Die Europäische Kommission hatte den Legislativvorschlag zu DORA am 24. September 2020 als Teil des Pakets zur Digitalisierung des Finanzsektors vorgelegt. Dieses Paket umfasst auch einen Rechtsakt über Märkte für Kryptowerte (Markets in Crypto-Assets Regulation – MiCAR), einen Vorschlag über eine Pilotregelung für auf Distributed-Ledger-Technologie (DLT) basierende Marktinfrastrukturen sowie eine Strategie für ein digitales Finanzwesen.

Übrigens: Der deutsche Finanzsektor und die Aufsicht sind grundsätzlich in einer guten Startposition für die Anwendbarkeit von DORA ab 2025. Denn einzelnen Instrumente, die die BaFin in der Vergangenheit bereits geschaffen hat, um die IKT-Sicherheit des deutschen Finanzsektors zu erhöhen, finden sich in DORA wieder: harmonisierte Anforderungen an das IKT-Risikomanagement für die einzelnen Finanzsektoren (BAIT, ZAIT, VAIT, KAIT), vereinheitlichte Auslagerungsanzeigen, Überwachungsrahmen für IT-Mehrmandantendienstleister und vereinheitlichte Strukturen für das Meldewesen von IKT-bezogenen Vorfällen.

Die EU-Kommission hat erste delegierte Rechtsakte und Durchführungsstandards zu DORA angenommen

Die drei ESAs (EBA, EIOPA und ESMA) haben am 17.01.2024 die ersten finalen Entwürfe der technischen Regulierungs- (RTS) und Implementierungsstandards (ITS) zu DORA hier veröffentlicht. Die Europäische Kommission hat die Entwürfe am 13. März angenommen und sie befinden sich aktuell in der 3-monatigen Prüfungsphase, bevor sie veröffentlicht werden.

Sie zielen darauf ab, die digitale operationelle Resilienz des EU-Finanzsektors durch die Stärkung der Informations- und Kommunikationstechnologie (IKT) der Finanzunternehmen sowie des Drittparteirisikomanagements und der Berichterstattung über IKT-Vorfälle zu verbessern.

Die technischen Regulierungs- und Durchführungsstandards umfassen:

Auch die delegierten Verordnungen zu den Gebühren des europäischen Überwachungsrahmenwerks für kritische IKT-Drittdienstleister (Art. 43 Abs. 2) sowie zu den Kriterien für die Auswahl von IKT-Drittdienstleistern, die unter das europäische Überwachungsrahmenwerk fallen werden (Art. 31 Abs. 6), hat die Kommission bereits angenommen.

Die finalen Fassungen werden in den kommenden Monaten von der Europäische Kommission im Amtsblatt der EU veröffentlicht.

Die Konsultationsphase der zweiten Tranche der RTS- und ITS-Entwürfe ist erfolgreich beendet

Vom 08.12.2023 bis zum 04.03.2024 fand die öffentliche Konsultation der der Europäischen Aufsichtsbehörden EBA, ESMA und EIOPA zu den nachfolgenden Entwürfen statt:

  • Konsultation des RTS zu Threat Led Penetration Testing (Art. 26 Abs.11)
  • Konsultation des RTS zur Spezifizierung von Elementen bei der Untervergabe von kritischen oder wichtigen Funktionen (Art. 30 Abs. 5)
  • Konsultation des RTS zur Festlegung der Meldung schwerwiegender IKT-Vorfälle (Art. 20.a)
  • Konsultation des ITS zur Festlegung der Einzelheiten der Berichterstattung über größere IKT-bezogene Vorfälle (Art. 20.b)
  • Konsultation der GL für die Zusammenarbeit zwischen den ESA und dem CAs hinsichtlich der Struktur der Überwachung (Art. 32 Abs. 7)
  • Konsultation des RTS zur Harmonisierung der Voraussetzungen für die Durchführung der Überwachungstätigkeiten (Art. 41)

Die Rückmeldungen zu den Entwürfen werden nun von den europäischen Arbeitsgruppen ausgewertet, mit dem Ziel bis zum 17. Juli 2024 die finalen Entwürfe ebenfalls an die europäische Kommission zu senden.

DORA: Veröffentlichungen der BaFin

DORA: Was müssen Sie wissen?

Sollten Sie Fragen rund um das Thema DORA haben, wenden Sie sich bitte an unser zentrales Funktionspostfach:

Kontakt:Fra­gen rund um DO­RA

E-Mail: DORA@bafin.de

Außerdem vermittelt der Fragenkatalog zu DORA, ohne Anspruch auf Vollständigkeit, einen ersten Überblick über die wichtigsten Fragestellungen zu DORA und deren Umsetzung. Dieser Fragenkatalog wird fortlaufend aktualisiert. Themenspezifische Fragen finden Sie auf den jeweiligen Unterseiten.

Resultate 31 bis 33 von insgesamt 33

Müssen auch Cyberbedrohungen gemeldet werden?

Gemäß Artikel 19 Absatz 2 DORA ist die Meldung von Cyberbedrohungen freiwillig. Finanzunternehmen können auf freiwilliger Basis erhebliche Cyberbedrohungen melden, wenn sie der Auffassung sind, dass die Bedrohung für das Finanzsystem, die Dienstnutzer oder die Kundinnen und Kunden relevant ist. Die BaFin begrüßt die Nutzung dieser freiwilligen Meldung außerordentlich und wird einen entsprechenden Meldeweg zur Verfügung stellen.

Wie werden die Anforderungen an das Threat-Led Penetration Testing (TLPT) aus Artikel 26 und 27 DORA ab 2025 in Deutschland umgesetzt?

Die wesentliche Testmethodik und die Testverfahren für TLPT sollen im Einklang mit dem TIBER-EU-Rahmenwerk erfolgen (Artikel 26 Absatz 11 DORA). Deshalb werden die operativen Aufgaben mit Bezug zu TLPT - wie bereits unter TIBER-DE - von der Deutschen Bundesbank wahrgenommen. Durch DORA werden solche Tests zu einem aufsichtlichen Instrument und Teil des IKT-Risikomanagementrahmens eines Finanzunternehmens. Daher wird die jeweils zuständige Aufsichtsbehörde (in Deutschland die BaFin bzw. für signifikante Kreditinstitute die EZB) diese Tests in die aufsichtlichen Prozesse einbinden. Dies betrifft insbesondere die Aspekte Identifikation von Finanzunternehmen, die künftig TLPT durchführen müssen, die Festlegung der Testfrequenz, die Validierung des Testumfangs und die Berücksichtigung der Testergebnisse in der laufenden Aufsicht.

Welche Institute und Unternehmen müssen die erweiterten Anforderungen an das Testen im Sinne von Threat-Led Penetration Testing (TLPT) aus Artikel 26 und 27 DORA ab 2025 in Deutschland erfüllen?

Allgemeine Anforderungen an das Testen gibt es für alle Finanzunternehmen im Anwendungsbereich von DORA (Artikel 24 und 25 DORA). Ein solides und umfassendes Programm für das Testen der digitalen operationalen Resilienz ist ein integraler Bestandteil des IKT-Risikomanagementrahmens.

Die Anforderung für erweiterte Tests auf Basis von TLPT im Sinne von Artikel 26 und 27 DORA gilt nur für ausgewählte Finanzunternehmen, die entsprechend den Kriterien in Artikel 26 Absatz 8 DORA auf Basis der folgenden Kriterien durch die zuständige Aufsichtsbehörde identifiziert werden:

  • wirkungsbezogenen Faktoren, darunter insbesondere inwieweit sich die vom Finanzunternehmen erbrachten Dienstleistungen und ausgeführten Tätigkeiten auf den Finanzsektor auswirken;
  • etwaigen Bedenken hinsichtlich der Finanzstabilität, einschließlich des systemischen Charakters des Finanzunternehmens auf Unionsebene oder auf nationaler Ebene, je nach Sachlage;
  • dem spezifischen IKT-Risikoprofil, dem IKT-Reifegrad des Finanzunternehmens oder einschlägigen technologischen Merkmalen.

Diese Kriterien werden durch einen technischen Regulierungsstandard (RTS) durch die ESAs in Zusammenarbeit mit den zuständigen Behörden spezifiziert. Die öffentliche Konsultation des RTS-Entwurfs ist von Dezember 2023 bis Februar 2024 geplant. Der finale Entwurf soll im Juli 2024 an die Europäische Kommission übermittelt werden. Die BaFin wird die von ihr beaufsichtigten Institute und Unternehmen möglichst frühzeitig über eine Identifikation informieren.

Zusatzinformationen

Mehr zum Thema

Finanzmarktdigitalisierungsgesetz

Veranstaltung: "IT-Aufsicht im Finanzsektor: Was bedeutet DORA in der Praxis?"

Veranstaltung: "DORA für IKT-Drittdienstleister"

Mehr zum Thema

    Fanden Sie den Beitrag hilfreich?

    Wir freuen uns über Ihr Feedback

    Es hilft uns, die Webseite kontinuierlich zu verbessern und aktuell zu halten. Bei Fragen, für deren Beantwortung wir Sie kontaktieren sollen, nutzen Sie bitte unser Kontaktformular. Hinweise auf tatsächliche oder mögliche Verstöße gegen aufsichtsrechtliche Vorschriften richten Sie bitte an unsere Hinweisgeberstelle.

    Wir freuen uns über Ihr Feedback