Vor allem der Finanzsektor sollte "Dora" im Auge behalten, denn es stehen komplexe Verpflichtungen bevor
© Yuichiro Chino / Moment / Getty Images
Mit dem Digital Operational Resilience Act, kurz Dora, schafft die EU neue Verpflichtungen für das Management von Risiken bei Cybersicherheit sowie Informations- und Kommunikationstechnologien (ITK) im Finanzsektor. Betroffen sind nicht nur nahezu alle Finanzunternehmen, sondern auch ITK-Dienstleister.
(aktualisiert am 16. Januar 2025)
In Kraft getreten ist Dora (nachzulesen unter eur-lex.europa.eu) bereits im Januar 2023. National umgesetzt wurde die Dora-Verordnung mit dem Finanzmarktdigitalisierungsgesetz (FinmadiG), das am 27. Dezember 2024 im Bundesgesetzblatt verkündet worden ist. Dora findet ab dem 17. Januar 2025 Anwendung. Umfangreiche und aktuelle Informationen zu Dora bietet die Bundesanstalt für Finanzdienstleistungsaufsicht unter www.bafin.de.
Auch Versicherungsvermittler und -berater müssen die neuen Vorschriften beachten. Allerdings nur, wenn sie 250 oder mehr Personen beschäftigen und einen Jahresumsatz von mehr als 50 Millionen Euro oder eine Jahresbilanzsumme von mehr als 43 Millionen Euro aufweisen. Bei der Anwendung der Schwellenwerte ist ausschließlich auf die Umsätze aus Tätigkeiten, die der Dora-Verordnung (EU) 2022/2554 unterliegen, abzustellen.
Zentrales Element von Dora ist die regelmäßige Evaluierung der Abwehrbereitschaft gegen Cyberrisiken. Mithilfe von Schwachstellenbewertungen und -scans, Penetrationstests, Netzsicherheitsbewertungen, Open-Source-Analysen, Überprüfungen der physischen Sicherheit, Scans von Softwareprodukten, wenn möglich Quellcodeüberprüfungen, Kompatibilitäts- und Leistungstests sowie End-to-End-Tests müssen kritische ITK-Systeme künftig mindestens einmal jährlich auf Einfallstore für Cyberangriffe überprüft werden.
Vornehmen sollen die Prüfungen externe Dienstleister, die im Bereich Penetrationstests besonders akkreditiert und zertifiziert werden, über technische und organisatorische Fähigkeiten verfügen und spezifische Fachkenntnisse in den Bereichen Bedrohungsanalyse, Penetrationstests und Red-Team-Tests nachweisen können. Lediglich im Ausnahmefall und nur wenn spezifische Bedingungen eingehalten werden, können interne Tester zum Einsatz kommen. Diese müssen aber durch die Aufsichtsbehörden zugelassen werden. Es gilt dabei auch Interessenkonflikte durch Design und Ausführung der Tests auszuschließen. Die für den Test erforderlichen Bedrohungsinformationen müssen darüber hinaus von einem unabhängigen dritten Unternehmen stammen.
Zudem vereinheitlicht Dora die Meldepflichten bei schwerwiegenden ITK-Vorfällen und weitet diese auf den gesamten Finanzsektor aus. So werden Finanzunternehmen verpflichtet, einen Managementprozess zur Überwachung und Protokollierung ITK-bezogener Sicherheitsvorfälle einzurichten. Schwerwiegende Vorfälle müssen den Finanzaufsichtsbehörden gemeldet werden. Zusätzlich können Finanzinstitute sich bei erkannten Cyberbedrohungen freiwillig an die Aufsicht wenden.
Grundsätzlich gilt Dora für alle Banken und Kreditinstitute, Versicherungs- und Rückversicherungsunternehmen, Investmentfirmen, Zentralverwahrer, Dienstleister für Krypto-Assets, Zahlungsdienstleister und elektronische Zahlungsanbieter, Kreditratingunternehmen, Kapitalverwaltungsunternehmen, Dienstleister im Bereich des Crowdfunding, Entwickler von Banking-Apps, Hersteller von Geldautomaten sowie für weitere Unternehmen wie Transaktions- und Verbriefungsregister, Handelsplätze und Datenbereitstellungsdienste – in der Summe als "Finanzunternehmen" definiert.
Ausgenommen sind einzelne Unternehmensgruppen wie Verwalter alternativer Investmentfonds und Einrichtungen der betrieblichen Altersversorgung, Versicherungsvermittler in Nebentätigkeit sowie kleine Versicherungsvermittler und Rückversicherungsvermittler und kleine Unternehmen mit kumulativ weniger als zehn Mitarbeitern beziehungsweise unter zehn Millionen Euro Bilanzsumme.
Des Weiteren gilt Dora nicht für Hardwarehersteller, allgemeine oder elektronische Kommunikationsdienste, wohl aber für externe ITK-Anbieter, die digitale Dienste und Datendienste erbringen, einschließlich Anbietern von Cloud-Computing-Diensten, Software, Datenanalysediensten und Rechenzentren. Finanzinstitute sind mit der neuen Verordnung verpflichtet, ein Verzeichnis ihrer ITK-Verträge mit Dritten zu führen und den Aufsichtsbehörden auf Verlangen vorzulegen. Außerdem müssen sie die ITK-Dienstleister vor Vertragsabschluss sorgfältig prüfen.
Gemäß Dora müssen die Drittanbieter zudem bestimmte IT-Sicherheitsstandards einhalten – und die Verträge haben Kündigungsmöglichkeiten für bestimmte Szenarien zu enthalten. Werden kritische oder wichtige Funktionen von den Finanzinstituten outgesourct, kommen zusätzliche Pflichten hinzu. Die Aufsichtsbehörden werden ermächtigt, weitere Vorgaben einschließlich technischer Standards für solche Verträge zu definieren.
