Digital Operational Resilienec Act (DORA)
Kurztitel:Digital Operational Resilienec Act (DORA)
Kurzübersicht
| Ziele | Anwendungsbereich | Inhalt | Synergie | Konsequenzen |
|---|---|---|---|---|
| Operationale Resilienz im Finanzsektor stärken | Finanzunternehmen | Management von IKT- Risiken und Vorfällen | NIS II-RL | Geldstrafe von bis zu 2 % des gesamten jährlichen weltweiten Umsatzes |
| Prüfung digitaler Betriebsstbilität | Geldstrafe von bis zu 1 % des durchschnittlichen täglichen weltweiten Umsatzes | |||
| Lieferkettenmanagement | Veröffentlichung von Strafen | |||
| Informationsaustausch |
Einführung
Gleichzeitig mit DORA wurde die Richtlinie 2022/2556 hinsichtlich der digitalen operationalen Resilienz im Finanzsektor („DORA-RL“) sowie Richtlinie (EU) 2022/2557 über die Resilienz kritischer Einrichtungen welche einzelne Anpassungen von mehreren Richtlinien, worsieht. Die ab dem 17.1.2025 anwendbare DORA-RL muss von den EU-Mitgliedstaaten in nationales Recht umgesetzt werden.
Anwendungsbereich
Persönlicher / Sachlicher Anwendungsbereich
DORA ist auf in Art. 2 Abs. 1 lit. a bis t DORA angeführte Tätigkeitsbereiche (sog. „Finanzunternehmen“) anwendbar. Hierzu zählen (a) Kreditinstitute, (b) Zahlungsinstitute, einschließlich gemäß der Richtlinie (EU) 2015/2366 ausgenommene Zahlungsinstitute, (c) Kontoinformationsdienstleister, (d) E-Geld-Institute, einschließlich gemäß der Richtlinie 2009/110/EG ausgenommene E-Geld-Institute, (e) Wertpapierfirmen, (f) Anbieter von Krypto-Dienstleistungen, die gemäß der sogenannten „Verordnung über Märkte von Krypto-Werten“ zugelassen sind, und Emittenten wertreferenzierter Token, (g) Zentralverwahrer, (h) zentrale Gegenparteien, (i) Handelsplätze, (j) Transaktionsregister, (k) Verwalter alternativer Investmentfonds, (l) Verwaltungsgesellschaften, (m) Datenbereitstellungsdienste, (n) Versicherungs- und Rückversicherungsunternehmen, (o) Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit, (p) Einrichtungen der betrieblichen Altersversorgung, (q) Ratingagenturen, (r) Administratoren kritischer Referenzwerte, (s) Schwarmfinanzierungsdienstleister und (t) Verbriefungsregister.
Darüber hinaus sind Unternehmen erfasst, die IT-Leistungen an Finanzunternehmen erbringen (sog. „IKT-Drittdienstleister“), wie etwa Cloud-Anbieter.
Ausnahmen
Außerhalb des Anwendungsbereichs stehen zudem gemäß Art. 2 Abs. 3 (a) Verwalter alternativer Investmentfonds im Sinne von Art. 3 Abs. 2 der Richtlinie 2011/61/EU, (b) Versicherungs- und Rückversicherungsunternehmen im Sinne von Art. 4 der Richtlinie 2009/138/EG, (c) Einrichtungen der betrieblichen Altersversorgung, die Altersversorgungssysteme mit insgesamt weniger als 15 Versorgungsanwärtern betreiben, (d) gemäß den Artikeln 2 und 3 der Richtlinie 2014/65/EU ausgenommene natürliche oder juristische Personen, (e) Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit, bei denen es sich um Kleinstunternehmen oder kleine oder mittlere Unternehmen handelt, sowie (f) Postgiroämter im Sinne von Art. 2 Abs. 5 Nr. 3 der Richtlinie 2013/36/EU.
Weitreichende Ausnahmen von den Verpflichtungen bestehen für Kleinstunternehmen (d.h. Finanzunternehmen, die weniger als zehn Personen beschäftigen und deren Jahresumsatz bzw. -bilanzsumme 2 Mio. EUR nicht überschreitet).
Territorialer Anwendungsbereich
DORA ist auf im EU-Finanz- und Versicherungssektor tätige
Management von IKT - Risiken und Vorfällen
Prüfung digitaler Betriebsstbilität
Lieferkettenmanagement
Informationsaustausch
Fallbeispiele
Synergien
Konsequenzen/Strafen
Weiterführende Literatur
- Škorjanc, Digital Operational Resilience Act, ÖBA 2023, 658
- Siglmüller, Cyber Resilience Act und Digital Operational Resilience Act - Lässt sich IT-Sicherheit rechtlich erzwingen?, ZfPC 2023, 221
