DORA-Verordnung: So setzen Sie die neue Regulierung in Ihrer IT-Sicherheit um

Was ist die DORA-Verordnung?

DORA ist eine EU-Verordnung, die am 17. Januar 2023 in Kraft getreten ist. Ziel der DORA ist es, die stetig wachsenden IT-Sicherheits- und Cyberrisiken, insbesondere im Finanz- und Versicherungssektor zu bewältigen. Die EU will damit die operationelle Resilienz des europäischen Finanzsektors stärken und die bestehenden Standards harmonisieren. Zu diesem Zweck legt die Verordnung einheitliche Anforderungen an Risikomanagementsysteme und die Sicherheit der von den betroffenen Unternehmen genutzten Netz- und Informationssysteme fest.

Betroffene Finanzunternehmen sowie kritische Dienstleister im Bereich der Informations- und Kommunikationstechnologie (IKT) müssen die Anforderungen der Verordnung bis zum 17. Januar 2025 umsetzen. Trotz dieser zweijährigen Vorbereitungszeit besteht dringender Handlungsbedarf, da zahlreiche Aspekte zu berücksichtigen, umzusetzen und zu dokumentieren sind.

Die Verabschiedung von DORA ist zeitlich mit der Veröffentlichung der NIS2-Richtlinie im Amtsblatt erfolgt. Diese stellt als Richtlinie ebenfalls IT-Sicherheitsvorgaben für Kritische Infrastrukturen auf und wird in Deutschland vor allem das BSIG beeinflussen. Der DORA ist als Spezialgesetz für den Finanzsektor gegenüber der NIS 2-Richtlinie vorrangig anzuwenden.

Welche Organisationen und Unternehmen sind von der DORA-Verordnung betroffen?

DORA gilt sektorübergreifend für nahezu alle beaufsichtigten Institute und Unternehmen des Finanzsektors. Dazu gehören beispielsweise:

• Kreditinstitute
• Zahlungsinstitute
• E-Geld-Institute
• Anbieter von Krypto-Dienstleistungen
• Einrichtungen der betrieblichen Altersversorgung
• Versicherungsunternehmen.

Darüber hinaus betrifft der DORA auch IKT-Dienstleister, die als kritische Dienstleister für den Finanzsektor gelten. Dazu zählen Anbieter von Cloud-Computing-Diensten, Software, Datenanalysediensten und Rechenzentren.

Welche Anforderungen stellt die DORA-Verordnung?

Im Mittelpunkt der Anforderungen stehen die Einrichtung von IKT-Risikomanagementsystemen, Kontroll- und Überwachungsmaßnahmen sowie Meldepflichten.
Finanzunternehmen sind verpflichtet, ein umfassendes Informationssicherheitskonzept und einen IKT-Risikomanagementrahmen zu entwickeln.

Dabei wird vor allem die Unternehmensleitung in die Pflicht genommen, das Management von IKT-Risiken aktiv mitzugestalten. Pflichten im IKT-Risikomanagement umfassen insbesondere:

• Implementierung eines IKT-Risikomanagementrahmens;
• Dokumentation und Behandlung von Risiken;
• Kontinuierliche Schutz- und Präventionsmaßnahmen;
• Reaktions- und Wiederherstellungspläne;
• Weiterentwicklung der operationalen Resilienz.

Ein wesentlicher Bestandteil der Anforderungen ist das Management von Drittanbieter-Risiken. Finanzunternehmen müssen sicherstellen, dass auch externe IKT-Dienstleister angemessene Sicherheitsmaßnahmen implementieren. Verträge mit kritischen Drittanbietern müssen spezifische Resilienz- und Sicherheitsanforderungen enthalten, um regulatorische Vorgaben zu erfüllen.

Darüber hinaus können besonders relevante IKT-Dienstleister einer verstärkten Aufsicht durch EU-Behörden unterliegen.

Wichtig ist dabei auch, die Risiken kontinuierlich zu kontrollieren sowie regelmäßig mit der Geschäftsleitung zu kommunizieren und diese unter anderem bei der Risikoakzeptanz einzubeziehen.

IKT-bezogene Vorfälle müssen überwacht und dokumentiert werden, insbesondere durch die Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen und Meldung bei schwerwiegenden Vorfällen. Die operationelle Resilienz ist unter anderem durch bedrohungsorientierte Penetrationstests zu testen.

Wie müssen Unternehmen das Informationsregister gemäß DORA führen?

Ein zentrales Element der DORA ist die Führung eines Informationsregisters über IKT-Drittanbieter. Unternehmen sind verpflichtet, das von der BaFin bereitgestellte Excel-Register auszufüllen, in dem alle relevanten externen IKT-Dienstleister und deren vertragliche Beziehungen dokumentiert werden. Dieses Register enthält spezifische Vorlagencodes, die in der entsprechenden Durchführungsverordnung referenziert sind. Zudem stellt die BaFin Ausfüllhinweise zur Verfügung, die eine korrekte und vollständige Erfassung sicherstellen sollen.

Das Informationsregister umfasst unter anderem Details zu den erbrachten Dienstleistungen, bestehenden Verträgen, Risikobewertungen und den getroffenen Sicherheitsmaßnahmen. Besonders kritische IKT-Drittanbieter müssen gesondert gekennzeichnet und regelmäßig überprüft werden. Das Register dient als zentrale Grundlage für das Drittparteien-Risikomanagement und unterstützt Unternehmen dabei, regulatorische Anforderungen der DORA zu erfüllen und Transparenz gegenüber den Aufsichtsbehörden sicherzustellen.

Finanzunternehmen müssen das Informationsregister bis spätestens zum 11. April 2025 der BaFin übermitteln.

Welche Maßnahmen sollten Unternehmen jetzt einleiten, um sich auf DORA vorzubereiten?

Um den Anforderungen der DORA gerecht zu werden, sollten Unternehmen folgende Checkliste für ein effektives Risikomanagement durchgehen:

• Verfügen wir über ein strategisches Risikomanagement?
• Wird die Geschäftsleitung regelmäßig über die Risiken informiert?
• Existieren konkrete Maßnahmen, um effektiv auf realisierte Risiken zu reagieren?
• Wurden Krisen- und Notfallpläne entwickelt und getestet?
• Werden die Risiken kontinuierlich überwacht und bewertet?
• Wird das Risikomanagementsystem regelmäßig aktualisiert?
• Werden Risikobewertungen im Zusammenhang mit neuen Projekten durchgeführt?
• Werden Mitarbeiter für Risiken regelmäßig geschult und sensibilisiert?
• Sind Risiken durch Drittanbieter und externe IKT-Dienstleister identifiziert und bewertet?
• Wurden bestehende Verträge mit IKT-Dienstleistern überprüft und an die DORA-Anforderungen angepasst?
• Wurde das Informationsregister gemäß den DORA-Vorgaben vollständig ausgefüllt und fristgerecht an die BaFin übermittelt?

Wer ist im Unternehmen für die DORA-Compliance verantwortlich?

Die Hauptverantwortung für die Einhaltung der DORA-Verordnung liegt bei der Unternehmensleitung. Der DORA definiert konkrete Compliance-Pflichten der Unternehmensleitung, was die weit verbreitete Praxis einer – nahezu - vollständigen Delegation der digitalen Compliance deutlich einschränkt. Dabei ist zu beachten, dass die Mitglieder der Leitungsorgane für Verstöße gegen den DORA sogar persönlich sanktioniert werden können (Art. 50 V DORA).

Wie kann ISiCO bei DORA-Compliance unterstützen?

ISiCO ist eine auf IT-Recht spezialisierte Kanzlei und unterstützt Unternehmen umfassend bei der Umsetzung der Anforderungen der DORA. Wir helfen Ihnen dabei, regulatorische Vorgaben effizient zu erfüllen, Risiken zu minimieren und eine nachhaltige digitale Resilienz aufzubauen.

Im Rahmen von DORA bieten wir insbesondere folgende Leistungen an:

• DORA-Readiness-Audit (Gap-Analyse):
  Analyse bestehender Prozesse, Identifikation von Compliance-Lücken und Erarbeitung einer Maßnahmenstrategie
• Implementierung von DORA-Vorgaben:
  Unterstützung bei der Umsetzung von Sicherheitsmaßnahmen, internen Kontrollen und Risikomanagementprozessen
• Informationsregister:
  Erfassung, Pflege und fristgerechte Übermittlung des von der BaFin geforderten Registers zu IKT-Drittanbietern
• Bereitstellung eines IKT-Risikomanagers:
  Externe Unterstützung bei der Identifikation und Bewertung von IKT-Risiken sowie der Umsetzung von Schutzmaßnahmen
• Vertragsüberprüfung & -anpassung:
  Prüfung und Anpassung von IT-Dienstleistungsverträgen gemäß DORA-Anforderungen (in Zusammenarbeit mit unserem Schwesterunternehmen Schürmann Rosenthal Dreyer Rechtsanwälte)
• Schulungen & Sensibilisierung:
  Mitarbeiterschulungen zu IKT-Risiken und regulatorischen Pflichten sowie gezielte Trainings zu den Pflichten des Leitungsorgans im IKT-Risikomanagement
• Erstellung des DORA-Jahresberichts:
  Berichterstellung zu Risikobewertungen, Testergebnissen und Vorfällen

Welche Sanktionen drohen bei Nicht-Einhaltung der DORA-Vorgaben?

DORA sieht keine unmittelbaren Geldbußen oder strafrechtlichen Sanktionen vor. Dies unterscheidet sie von Regelungen wie der DSGVO oder der NIS2-Richtlinie. Es liegt jedoch im Ermessen der EU-Mitgliedstaaten, in ihrem nationalen Recht Sanktionen für Verstöße gegen DORA vorzusehen. Ab Januar 2025 werden die europäischen Aufsichtsbehörden das Recht haben, Informationen anzufordern, Untersuchungen durchzuführen und Empfehlungen zur IKT-Sicherheit auszusprechen.

Welche Fristen gelten für die Implementierung der DORA-Anforderungen?

Unternehmen müssen die Anforderungen der DORA-Verordnung seit dem 17. Januar 2025 vollständig umsetzen. Da die Umsetzung mit erheblichem Aufwand verbunden sein kann, sollten Unternehmen rechtzeitig mit der Planung und Umsetzung beginnen.

Wie wird die Umsetzung der DORA-Verordnung überwacht und durchgesetzt?

Da es sich um eine Verordnung handelt, gilt DORA in den Mitgliedstaaten unmittelbar ohne weitere Umsetzungsakte. Im Rahmen der Umsetzung unterliegen Finanzunternehmen primär der Aufsicht durch die nationalen Aufsichtsbehörden. In Deutschland sind dies die BaFin, die Bundesbank und auch die EZB, die mit den EU-Behörden zusammenarbeiten. Kritische IKT-Dienstleister von Drittstaaten werden direkt von der EU beaufsichtigt.

Unsere Einschätzung zur DORA-Verordnung

Mit DORA wird die digitale Resilienz im Finanzsektor erstmals einheitlichen Regeln unterworfen. Die Verordnung stellt das Risikomanagement in den Mittelpunkt und betonen die Verantwortung der Unternehmensleitung. Dies bedeutet neue Herausforderungen für Unternehmen - der individuelle Umsetzungsaufwand hängt dabei stark von individuellen Kriterien wie Unternehmensgröße, Risiken des Geschäftsmodells sowie dem aktuellen Status quo der digitalen Resilienz ab.

Langfristig bietet DORA jedoch Vorteile durch die Schaffung einheitlicher Standards und die Stärkung der operationellen Widerstandsfähigkeit des europäischen Finanzsektors.

Bei der Umsetzung empfiehlt es sich, DORA nicht isoliert, sondern im Kontext aller relevanten europarechtlichen Regelungen zu betrachten. Denn es ist denkbar, dass die Adressaten der Verordnung auch Adressaten anderer thematisch verwandter europäischer Rechtsakte sind. So kommt je nach Fallgestaltung beispielsweise auch die Anwendung der NIS 2-Richtlinie, der DSGVO, der KI-Verordnung oder des Cyber Resilience Act in Betracht.

Dora-pflichtige Unternehmen sind daher gut beraten, rechtzeitig mit der Umsetzung der erforderlichen Maßnahmen zu beginnen. Unser Team von Expert:innen bietet Ihnen dabei professionelle Unterstützung. Kontaktieren Sie uns jetzt für ein unverbindliches Erstgespräch!