Die DORA-Verordnung – Digital Operational Resilience Act

30. September 2024 | Reading Time: 2 Min

Die EU-Verordnung 2554/2022 über die digitale operationale Resilienz im Finanzsektor, kurz „DORA“ genannt, wurde Ende 2022 formalisiert und soll ab 17. Januar 2025 in Kraft treten.

Beispielsweise kommt die DORA -Verordnung bei Kreditinstituten, Zahlungsinstituten, Kontoinformationsdienstleistern, E-Geld-Instituten und Wertpapierfirmen zur Anwendung.

Um ein hohes gemeinsames Niveau an digitaler operationeller Resilienz bzw. digitaler operativen Belastbarkeit zu erreichen, legt die DORA-Verordnung einheitliche Anforderungen an die Sicherheit von Netzen und Informationssystemen, die die operationellen Prozesse von Finanzunternehmen unterstützen, wie folgt fest:

  1. Für Finanzunternehmen geltende Anforderungen in Bezug auf:
  • Risikomanagement im Bereich der Informations- und Kommunikationstechnologie (IKT);
  • Meldung schwerwiegender IKT-bezogener Vorfälle und – auf freiwilliger Basis – erheblicher Cyberbedrohungen an die zuständigen Behörden;
  • Meldung schwerwiegender zahlungsbezogener Betriebs- oder Sicherheitsvorfälle durch Kreditinstitute, Zahlungsinstitute, Kontoinformationsdienstleister und E-Geld-Institute an die zuständigen Behörden;
  • Tests der digitalen operationalen Resilienz bzw. Prüfung der digitalen operativen Belastbarkeit;
  • Austausch von Informationen und Erkenntnissen in Bezug auf Cyberbedrohungen und Schwachstellen;
  • Maßnahmen für das solide Management des IKT-Drittparteienrisiko.
  1. Anforderungen in Bezug auf vertragliche Vereinbarungen zwischen IKT-Drittdienstleistern und Finanzunternehme.
  2. Vorschriften über die Einrichtung und Ausführung des Überwachungsrahmens für kritische IKT-Drittdienstleister bei der Erbringung von Dienstleistungen für Finanzunternehmen.
  3. Vorschriften über die Zusammenarbeit zwischen zuständigen Behörden und Vorschriften über die Beaufsichtigung und Durchsetzung aller von der DORA-Verordnung erfassten Sachverhalte durch zuständige Behörden.

Quelle: Verordnung (EU) Nr. 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011

Newsletter Steuern & Recht - September 2024
Ihre Ansprechpersonen