DORA (Digital Operational Resilience Act)

Die Verordnung (EU) 2022/2554 Digital Operational Resilience Act über die digitale operationale Resilienz im Finanzsektor – kurz DORA – ist ein Meilenstein im europäischen Regelwerk zur Stärkung der Cybersicherheit und digitalen Widerstandsfähigkeit von Finanzunternehmen. Sie wurde am 14. Dezember 2022 vom Europäischen Parlament und Rat beschlossen und trat in Kraft, um das IKT-Risikomanagement im gesamten europäischen Finanzsystem zu harmonisieren und zu verbessern.

Hintergrund und Zielsetzung

Digitale Technologien und Informations- und Kommunikationstechnologien (IKT) sind zu einem unverzichtbaren Bestandteil der Finanzdienstleistungen geworden. Zahlungsdienste, Börsenhandel, Kreditvergabe, Versicherungen und viele andere Funktionen basieren zunehmend auf digitalen Infrastrukturen. Diese starke Abhängigkeit vom Digitalen birgt aber erhebliche Risiken: Cyberangriffe, Systemausfälle oder Schwachstellen in IKT-Systemen können nicht nur einzelne Unternehmen, sondern die gesamte Finanzstabilität der EU gefährden.

Vor diesem Hintergrund zielt DORA darauf ab, einheitliche Regeln für das Management von IKT-Risiken in der gesamten EU zu schaffen. Die Verordnung ergänzt bestehende Regelungen, harmonisiert bisher uneinheitliche nationale Vorschriften und bringt Ordnung in eine Vielzahl von aufsichtsrechtlichen Anforderungen.

Anwendungsbereich und Grundprinzipien

DORA gilt für ein breites Spektrum an Finanzunternehmen, darunter Banken, Versicherungen, Zahlungsdienstleister, Wertpapierfirmen, aber auch kritische IKT-Drittdienstleister wie Cloud-Anbieter. Besonders wichtig ist der Grundsatz der Verhältnismäßigkeit: Die Anforderungen orientieren sich an der Größe, dem Risikoprofil und der Komplexität der jeweiligen Organisation.

Ein zentrales Element von DORA ist die Verpflichtung aller betroffenen Unternehmen, ein wirksames IKT-Risikomanagementsystem einzuführen. Dieses soll Gefahren erkennen, verhindern, abwehren und die Widerherstellung der Betriebsfähigkeit sicherstellen. Neben technischen Aspekten wird auch der Mensch in den Fokus gerückt: Die Leitungsebene eines Unternehmens bleibt verantwortlich für die Cyber-Resilienz und muss ausreichend Ressourcen für IKT-Sicherheit bereitstellen.

Meldung und Reaktion auf IKT-Vorfälle

Ein weiteres Kernstück der Verordnung ist die verpflichtende Meldung von schwerwiegenden IKT-Vorfällen an die zuständigen Behörden. Ziel ist es, die Transparenz zu erhöhen, schnell auf Bedrohungen reagieren zu können und systemische Risiken frühzeitig zu erkennen. Dafür werden Schwellenwerte und einheitliche Klassifikationen festgelegt. Die Europäische Bankenaufsichtsbehörde (EBA), die Versicherungsaufsicht (EIOPA) und die Wertpapieraufsicht (ESMA) sollen technische Standards definieren und die Umsetzung koordinieren.

IKT-Tests und Resilienz-Strategien

Um die digitale Widerstandsfähigkeit regelmäßig zu überprüfen, verlangt DORA auch regelmäßige Tests – von einfachen Schwachstellenanalysen bis hin zu sogenannten Threat-Led Penetration Tests (TLPT), also bedrohungsorientierten Stresstests. Letztere sind allerdings nur für besonders große oder kritische Unternehmen verpflichtend.

Zusätzlich wird die Wiederherstellungsfähigkeit betont: Unternehmen sollen in der Lage sein, nach einem Vorfall schnell wieder betriebsfähig zu sein. Dabei müssen sie sogenannte Recovery Time Objectives (RTO) und Recovery Point Objectives (RPO) festlegen, also Vorgaben zur Wiederanlaufzeit und zur Datenwiederherstellung.

IKT-Drittdienstleister unter Aufsicht

Ein besonders innovativer Aspekt der DORA-Verordnung ist die Einbindung von externen IKT-Dienstleistern wie Cloud-Anbietern in den Aufsichtsrahmen. Diese sogenannten kritischen IKT-Drittdienstleister unterliegen einer direkten Überwachung durch eine europäische Aufsichtsbehörde. Ziel ist es, Konzentrationsrisiken zu begrenzen und sicherzustellen, dass Auslagerungen nicht zu neuen Schwachstellen führen.