Digital Operational Resilienec Act (DORA): Unterschied zwischen den Versionen
| Zeile 19: | Zeile 19: | ||
|- | |- | ||
| | | | ||
| | |IKT-Dienstleister | ||
|Prüfung digitaler Betriebsstbilität | |Prüfung digitaler Betriebsstbilität | ||
| | |DSGVO | ||
|Geldstrafe von bis zu 1 % des durchschnittlichen täglichen weltweiten Umsatzes | |Geldstrafe von bis zu 1 % des durchschnittlichen täglichen weltweiten Umsatzes | ||
|- | |- | ||
| Zeile 38: | Zeile 38: | ||
== Einführung == | == Einführung == | ||
Gleichzeitig mit DORA wurde die Richtlinie 2022/ | Gleichzeitig mit DORA wurde die Richtlinie 2022/2554 hinsichtlich der digitalen operationalen Resilienz im Finanzsektor („DORA-RL“) sowie Richtlinie (EU) 2022/2557 über die Resilienz kritischer Einrichtungen welche einzelne Anpassungen von mehreren Richtlinien, vorsieht. Die ab dem 17.1.2025 anwendbare DORA-RL muss von den EU-Mitgliedstaaten in nationales Recht umgesetzt werden. Die Delegierte Verordnung (EU) 2024/1774 vom 13. März 2024 ergänzt die DORA zusätzlich. | ||
== Anwendungsbereich == | == Anwendungsbereich == | ||
| Zeile 54: | Zeile 54: | ||
==== Territorialer Anwendungsbereich ==== | ==== Territorialer Anwendungsbereich ==== | ||
DORA | Der territoriale Anwendungsbereich der Digital Operational Resilience Act (DORA) umfasst primär alle Finanzunternehmen und relevante IKT-Dienstleister, die in der Europäischen Union tätig sind. Zusätzlich zu den in der EU ansässigen Finanzunternehmen und IKT-Dienstleistern betrifft DORA auch Niederlassungen und Tochtergesellschaften von EU-Finanzunternehmen, die sich außerhalb der Union befinden, sofern diese Niederlassungen und Tochtergesellschaften Dienstleistungen in die EU erbringen. So soll die operationelle Resilienz des Finanzsektors in der gesamten Union sichergestellt werden, auch bei Abhängigkeiten von globalen Anbietern oder internationalen Tochtergesellschaften. | ||
== Management von IKT - Risiken und Vorfällen == | == Management von IKT - Risiken und Vorfällen == | ||
Nach der Digital Operational Resilience Act (DORA) sind Finanzunternehmen verpflichtet, einen umfassenden internen Governance- und Kontrollrahmen für das Management von Informations- und Kommunikationstechnologie-Risiken (IKT-Risiken) zu etablieren. Dieser Rahmen muss regelmäßig überprüft und dokumentiert werden, wobei für Kleinstunternehmen lediglich eine regelmäßige Überprüfung ausreicht. Ziel ist es, IKT-Risiken wirksam zu begegnen. Die spezifischen Anforderungen an das IKT-Risikomanagement sind in Art. 5 Abs. 2 DORA festgelegt. Die Verantwortung für die Definition, Genehmigung und Überwachung des IKT-Risikomanagements liegt beim Leitungsorgan des jeweiligen Finanzunternehmens, das auch für die Umsetzung der Maßnahmen verantwortlich ist. Finanzunternehmen, die nicht als Kleinstunternehmen eingestuft sind, haben zusätzlich eine unabhängige Kontrollfunktion einzurichten, um die Überwachung und das Management von IKT-Risiken sicherzustellen. | |||
Darüber hinaus müssen Finanzunternehmen Prozesse etablieren, die sicherstellen, dass IKT-bezogene Vorfälle frühzeitig erkannt, behandelt, klassifiziert und gemeldet werden. Besonders schwerwiegende IKT-Vorfälle, die nach den Kriterien des Art. 18 Abs. 1 DORA als solche einzustufen sind, müssen den zuständigen Aufsichtsbehörden in einem dreistufigen Verfahren gemeldet werden. In Fällen, in denen schwerwiegende IKT-Vorfälle die finanziellen Interessen der Kunden betreffen, müssen die Finanzunternehmen ihre Kunden unverzüglich nach Kenntnis des Vorfalls informieren. Cyberbedrohungen, die gemäß Art. 18 Abs. 2 DORA als erheblich einzustufen sind, müssen ebenfalls erfasst werden. Eine Meldung dieser Vorfälle an die Aufsichtsbehörden ist jedoch freiwillig. | |||
Zur Unterstützung der Finanzunternehmen bei der Umsetzung dieser Anforderungen haben die Europäischen Aufsichtsbehörden (ESA) mehrere technische Regulierungsstandards (RTS) veröffentlicht. Diese umfassen u. a. Vorgaben zur Festlegung der Tools, Methoden, Prozesse und Richtlinien für das IKT-Risikomanagement sowie vereinfachte Risikomanagement-Rahmen für Kleinstunternehmen. Weitere RTS spezifizieren die Kriterien für die Klassifizierung von IKT-Vorfällen und Cyberbedrohungen, sowie die Wesentlichkeitsschwellen und Anforderungen an die Meldungen schwerwiegender Vorfälle. Für die praktische Durchführung der Meldepflichten existieren außerdem standardisierte Formulare und Vorlagen, die in den von den ESA veröffentlichten technischen Durchführungsstandards (ITS) näher beschrieben sind. | |||
== Prüfung digitaler Betriebsstbilität == | == Prüfung digitaler Betriebsstbilität == | ||
Version vom 16. Oktober 2024, 15:03 Uhr
Kurztitel:Digital Operational Resilienec Act (DORA)
Kurzübersicht
| Ziele | Anwendungsbereich | Inhalt | Synergie | Konsequenzen |
|---|---|---|---|---|
| Operationale Resilienz im Finanzsektor stärken | Finanzunternehmen | Management von IKT- Risiken und Vorfällen | NIS II-RL | Geldstrafe von bis zu 2 % des gesamten jährlichen weltweiten Umsatzes |
| IKT-Dienstleister | Prüfung digitaler Betriebsstbilität | DSGVO | Geldstrafe von bis zu 1 % des durchschnittlichen täglichen weltweiten Umsatzes | |
| Lieferkettenmanagement | Veröffentlichung von Strafen | |||
| Informationsaustausch |
Einführung
Gleichzeitig mit DORA wurde die Richtlinie 2022/2554 hinsichtlich der digitalen operationalen Resilienz im Finanzsektor („DORA-RL“) sowie Richtlinie (EU) 2022/2557 über die Resilienz kritischer Einrichtungen welche einzelne Anpassungen von mehreren Richtlinien, vorsieht. Die ab dem 17.1.2025 anwendbare DORA-RL muss von den EU-Mitgliedstaaten in nationales Recht umgesetzt werden. Die Delegierte Verordnung (EU) 2024/1774 vom 13. März 2024 ergänzt die DORA zusätzlich.
Anwendungsbereich
Persönlicher / Sachlicher Anwendungsbereich
DORA ist auf in Art. 2 Abs. 1 lit. a bis t DORA angeführte Tätigkeitsbereiche (sog. „Finanzunternehmen“) anwendbar. Hierzu zählen (a) Kreditinstitute, (b) Zahlungsinstitute, einschließlich gemäß der Richtlinie (EU) 2015/2366 ausgenommene Zahlungsinstitute, (c) Kontoinformationsdienstleister, (d) E-Geld-Institute, einschließlich gemäß der Richtlinie 2009/110/EG ausgenommene E-Geld-Institute, (e) Wertpapierfirmen, (f) Anbieter von Krypto-Dienstleistungen, die gemäß der sogenannten „Verordnung über Märkte von Krypto-Werten“ zugelassen sind, und Emittenten wertreferenzierter Token, (g) Zentralverwahrer, (h) zentrale Gegenparteien, (i) Handelsplätze, (j) Transaktionsregister, (k) Verwalter alternativer Investmentfonds, (l) Verwaltungsgesellschaften, (m) Datenbereitstellungsdienste, (n) Versicherungs- und Rückversicherungsunternehmen, (o) Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit, (p) Einrichtungen der betrieblichen Altersversorgung, (q) Ratingagenturen, (r) Administratoren kritischer Referenzwerte, (s) Schwarmfinanzierungsdienstleister und (t) Verbriefungsregister.
Darüber hinaus sind Unternehmen erfasst, die IT-Leistungen an Finanzunternehmen erbringen (sog. „IKT-Drittdienstleister“), wie etwa Cloud-Anbieter.
Ausnahmen
Außerhalb des Anwendungsbereichs stehen zudem gemäß Art. 2 Abs. 3 (a) Verwalter alternativer Investmentfonds im Sinne von Art. 3 Abs. 2 der Richtlinie 2011/61/EU, (b) Versicherungs- und Rückversicherungsunternehmen im Sinne von Art. 4 der Richtlinie 2009/138/EG, (c) Einrichtungen der betrieblichen Altersversorgung, die Altersversorgungssysteme mit insgesamt weniger als 15 Versorgungsanwärtern betreiben, (d) gemäß den Artikeln 2 und 3 der Richtlinie 2014/65/EU ausgenommene natürliche oder juristische Personen, (e) Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit, bei denen es sich um Kleinstunternehmen oder kleine oder mittlere Unternehmen handelt, sowie (f) Postgiroämter im Sinne von Art. 2 Abs. 5 Nr. 3 der Richtlinie 2013/36/EU.
Weitreichende Ausnahmen von den Verpflichtungen bestehen für Kleinstunternehmen (d.h. Finanzunternehmen, die weniger als zehn Personen beschäftigen und deren Jahresumsatz bzw. -bilanzsumme 2 Mio. EUR nicht überschreitet).
Territorialer Anwendungsbereich
Der territoriale Anwendungsbereich der Digital Operational Resilience Act (DORA) umfasst primär alle Finanzunternehmen und relevante IKT-Dienstleister, die in der Europäischen Union tätig sind. Zusätzlich zu den in der EU ansässigen Finanzunternehmen und IKT-Dienstleistern betrifft DORA auch Niederlassungen und Tochtergesellschaften von EU-Finanzunternehmen, die sich außerhalb der Union befinden, sofern diese Niederlassungen und Tochtergesellschaften Dienstleistungen in die EU erbringen. So soll die operationelle Resilienz des Finanzsektors in der gesamten Union sichergestellt werden, auch bei Abhängigkeiten von globalen Anbietern oder internationalen Tochtergesellschaften.
Management von IKT - Risiken und Vorfällen
Nach der Digital Operational Resilience Act (DORA) sind Finanzunternehmen verpflichtet, einen umfassenden internen Governance- und Kontrollrahmen für das Management von Informations- und Kommunikationstechnologie-Risiken (IKT-Risiken) zu etablieren. Dieser Rahmen muss regelmäßig überprüft und dokumentiert werden, wobei für Kleinstunternehmen lediglich eine regelmäßige Überprüfung ausreicht. Ziel ist es, IKT-Risiken wirksam zu begegnen. Die spezifischen Anforderungen an das IKT-Risikomanagement sind in Art. 5 Abs. 2 DORA festgelegt. Die Verantwortung für die Definition, Genehmigung und Überwachung des IKT-Risikomanagements liegt beim Leitungsorgan des jeweiligen Finanzunternehmens, das auch für die Umsetzung der Maßnahmen verantwortlich ist. Finanzunternehmen, die nicht als Kleinstunternehmen eingestuft sind, haben zusätzlich eine unabhängige Kontrollfunktion einzurichten, um die Überwachung und das Management von IKT-Risiken sicherzustellen.
Darüber hinaus müssen Finanzunternehmen Prozesse etablieren, die sicherstellen, dass IKT-bezogene Vorfälle frühzeitig erkannt, behandelt, klassifiziert und gemeldet werden. Besonders schwerwiegende IKT-Vorfälle, die nach den Kriterien des Art. 18 Abs. 1 DORA als solche einzustufen sind, müssen den zuständigen Aufsichtsbehörden in einem dreistufigen Verfahren gemeldet werden. In Fällen, in denen schwerwiegende IKT-Vorfälle die finanziellen Interessen der Kunden betreffen, müssen die Finanzunternehmen ihre Kunden unverzüglich nach Kenntnis des Vorfalls informieren. Cyberbedrohungen, die gemäß Art. 18 Abs. 2 DORA als erheblich einzustufen sind, müssen ebenfalls erfasst werden. Eine Meldung dieser Vorfälle an die Aufsichtsbehörden ist jedoch freiwillig.
Zur Unterstützung der Finanzunternehmen bei der Umsetzung dieser Anforderungen haben die Europäischen Aufsichtsbehörden (ESA) mehrere technische Regulierungsstandards (RTS) veröffentlicht. Diese umfassen u. a. Vorgaben zur Festlegung der Tools, Methoden, Prozesse und Richtlinien für das IKT-Risikomanagement sowie vereinfachte Risikomanagement-Rahmen für Kleinstunternehmen. Weitere RTS spezifizieren die Kriterien für die Klassifizierung von IKT-Vorfällen und Cyberbedrohungen, sowie die Wesentlichkeitsschwellen und Anforderungen an die Meldungen schwerwiegender Vorfälle. Für die praktische Durchführung der Meldepflichten existieren außerdem standardisierte Formulare und Vorlagen, die in den von den ESA veröffentlichten technischen Durchführungsstandards (ITS) näher beschrieben sind.
Prüfung digitaler Betriebsstbilität
Lieferkettenmanagement
Informationsaustausch
Fallbeispiele
Synergien
Konsequenzen/Strafen
Weiterführende Literatur
- Škorjanc, Digital Operational Resilience Act, ÖBA 2023, 658
- Siglmüller, Cyber Resilience Act und Digital Operational Resilience Act - Lässt sich IT-Sicherheit rechtlich erzwingen?, ZfPC 2023, 221
