Guten Tag, auch Ihnen vielen Dank, dass Sie uns die Gelegenheit geben, über dieses im Finanzsektor so wichtige Thema für die Cyberresilienz einen ersten Überblick zu geben.

DORA, der „Digital Operational Resilience Act”, ist eine EU-Verordnung, die den Finanzsektor besser gegen Cyberrisiken absichern soll. Hauptziele sind die Einführung europaweit einheitlicher Regeln für das Risikomanagement der Informations- und Kommunikationstechnologe (IKT), die Verbesserung der Meldepflichten bei IKT-Vorfällen sowie die Überwachung kritischer Drittanbieter. Damit sollen Finanzunternehmen widerstandsfähiger gegen Cyberbedrohungen werden und ihre Dienstleistungen auch in Krisensituationen zuverlässig bereitstellen können.

Dies regelt Artikel 2 der DORA-Verordnung. Dies sind vor allem Kreditinstitute, Zahlungsinstitute und Kontoinformationsdienstleister, also zum Beispiel Anbieter von Finanz- oder Buchhaltungssoftware mit einer Schnittstelle für Bankkundendaten. Ferner werden auch Versicherungs- und Rückversicherungsunternehmen, aber auch Einrichtungen der betrieblichen Altersversorgung von der DORA-Verordnung erfasst. Eine besondere Stellung nehmen in der DORA kritische IKT-Drittdienstleister, also Unternehmen, die essenzielle IT- und Kommunikationsdienstleistungen für den Finanzsektor bereitstellen, ein.

Indirekt sind natürlich auch alle Anbieter und Dienstleister betroffen, die für diese Gruppe von Unternehmen tätig sind. So ist es auch für diese schlau, sich rechtzeitig einen Überblick über die Anforderungen zu verschaffen.

Der „Digital Operational Resilience Act”, bzw. dessen offizielle Bezeichnung als „Verordnung (EU) 2022/2554” ist, wie der Name schon sagt, eine Verordnung und damit anders als eine Richtlinie ab dem Zeitpunkt des Inkrafttretens unmittelbar geltendes Gesetz in der Bunderepublik Deutschland (sowie auch in allen anderen EU-Mitgliedsstaaten).

Derzeit auch intensiv diskutiert werden die neuen Vorgaben im Zusammenhang mit der zweiten Network Information and Security Directive (NIS-2-Richtlinie). Unter anderem erweitert diese den Anwendungsbereich der derzeitigen Vorgaben für Unternehmen der kritischen Infrastruktur erheblich. Inhaltlich ergeben sich eine Vielzahl von Überschneidungen. In diesem Verhältnis geht die DORA-Verordnung jedoch als das speziellere Gesetz den (kommenden) Anforderungen der NIS-2-Richtlinie vor.

Ebenso sind auf nationaler Ebene die Anforderungen aus Kreditwesengesetz (KWG), den Mindestanforderungen an das Risikomanagement (MaRisk) sowie den Bankaufsichtlichen Anforderungen an die IT (BAIT) zu beachten.

Die Verordnung ist bereits am 17. Januar 2023 in Kraft getreten und wird nach Artikel 64 DORA am 17. Januar 2025 vollumfänglich angewendet.

Für die fristgerechte Umsetzung der DORA-Anforderungen ist es essenziell, dass Unternehmen eine gründliche Bestandsaufnahme ihrer aktuellen IKT-Risiko-Managementsysteme durchführen und eine Strategie zur Anpassung an die neuen Vorschriften entwickeln. Die Bildung funktionsübergreifender Teams und die Zuweisung entsprechender Ressourcen helfen dabei, sicherzustellen, dass alle Anforderungen bis Januar 2025 erfüllt werden.

Das ist schwierig zu beantworten. Fest steht in jedem Fall, dass die Verordnung ab dem 17. Januar 2025 gilt und somit auch verwaltungsrechtlich durchgesetzt werden kann. Ähnlich wie bei der Einführung der Datenschutzgrundverordnung (DSGVO) gab es auch bei der DORA-Verordnung eine zweijährige Vorlaufzeit zwischen dem Inkrafttreten und der eigentlichen Anwendung der Verordnung. Bei der Umsetzung der DSGVO-Vorgaben sind viele Unternehmen erst sehr spät vor Ende der finalen Anwendungsfrist der DSGVO tätig geworden, manche auch erst danach. Die einzelnen Aufsichtsbehörden der Bundesländer sind damit sehr unterschiedlich umgegangen. Teilweise blieb die nicht fristgerechte Umsetzung der DSGVO sanktionslos oder es wurden lediglich Verwarnungen ausgesprochen. In manchen Fällen wurden auch Bußgelder verhängt.

Bei der DORA-Verordnung hängt es von den jeweiligen Branchen ab, welche Behörden als zuständige Behörden die Umsetzung der DORA-Vorgaben übernehmen werden. Insofern lassen sich Behördenreaktionen auf eventuelle Versäumnisse bei der Umsetzung der DORA-Vorgaben schwer einschätzen. Beispielsweise wird die BaFin in Deutschland zur nationalen Meldestelle für Vorfälle der Informations- und Kommunikationstechnologie (IKT) im Finanzsektor. Entscheidend wird das jeweilige Branchenumfeld sein. Wenn sich ein Unternehmen in einem Branchenumfeld bewegt, das sich möglicherweise schon sehr früh, also zum Beispiel unmittelbar nach Inkrafttreten der DORA-Verordnung, mit deren Compliance beschäftigt hat, wird es natürlich gegenüber einer Aufsichtsbehörde argumentativ schwer haben, zu begründen, warum es dem Branchenstandard hinterherhinkt.

Anders als die DSGVO sieht die DORA keine expliziten Geldbußen oder andere strafrechtliche Sanktionen für die Nichteinhaltung der Verordnung vor. Den Mitgliedstaaten der Europäischen Union steht es jedoch frei, in ihrem nationalen Recht strafrechtliche Sanktionen für Verstöße gegen die DORA vorzusehen. Allerdings heißt das nicht, dass die Non-Compliance mit der DORA-Verordnung für die jeweiligen Unternehmen völlig folgenlos bleibt. Vielmehr sieht Art. 50 DORA vor, dass die zuständigen Behörden über alle Aufsichts-, Untersuchungs- und Sanktionsbefugnisse verfügen, die zur Erfüllung ihrer Aufgaben im Rahmen der DORA-Verordnung erforderlich sind. Zu treffende Sanktionen und Maßnahmen müssen wirksam, verhältnismäßig und abschreckend sein. Daher kann jedem betroffenen Unternehmen nur dringend angeraten werden, sich bis zum Stichtag organisatorisch DORA-konform aufzustellen.

Eine gründliche Risikoanalyse im Zusammenhang mit kritischen Dienstleistern ist ein zentrales Element der DORA-Umsetzung. Unternehmen müssen klare interne Richtlinien für die Überwachung von Dienstleistern festlegen, insbesondere in Bezug auf die Abhängigkeiten bei kritischen Funktionen. Das Management sollte dafür Sorge tragen, dass der Ausstieg aus einer Zusammenarbeit stets reibungslos erfolgen kann. Wichtige Schlagwörter sind hier „Vendor Lock-In Effekt” oder „Exit-Strategien”.

Die Standardisierung der Berichts- und Meldepflichten unter DORA wird wahrscheinlich zu einer Zunahme der gemeldeten IKT-Vorfälle führen, da Unternehmen nun klare Kriterien an der Hand haben. Es ist wichtig, dass die IT- und Compliance-Abteilungen eng zusammenarbeiten, um Vorfälle gemäß den neuen Standards zu klassifizieren und korrekt zu melden. Auch sollten Prozesse etabliert werden, die eine unverzügliche und umfassende Meldung ermöglichen. Hierzu empfiehlt sich, die bereits bestehenden Meldepflichten aus anderen (gesetzlichen) Anforderungen zu analysieren und, sofern möglich, mit den Vorgaben der DORA zu harmonisieren.