Die DORA-Verordnung – Digital Operational Resilience Act
Die EU-Verordnung 2554/2022 über die digitale operationale Resilienz im Finanzsektor, kurz „DORA“ genannt, wurde Ende 2022 formalisiert und soll ab 17. Januar 2025 in Kraft treten.
Beispielsweise kommt die DORA -Verordnung bei Kreditinstituten, Zahlungsinstituten, Kontoinformationsdienstleistern, E-Geld-Instituten und Wertpapierfirmen zur Anwendung.
Um ein hohes gemeinsames Niveau an digitaler operationeller Resilienz bzw. digitaler operativen Belastbarkeit zu erreichen, legt die DORA-Verordnung einheitliche Anforderungen an die Sicherheit von Netzen und Informationssystemen, die die operationellen Prozesse von Finanzunternehmen unterstützen, wie folgt fest:
- Für Finanzunternehmen geltende Anforderungen in Bezug auf:
- Risikomanagement im Bereich der Informations- und Kommunikationstechnologie (IKT);
- Meldung schwerwiegender IKT-bezogener Vorfälle und – auf freiwilliger Basis – erheblicher Cyberbedrohungen an die zuständigen Behörden;
- Meldung schwerwiegender zahlungsbezogener Betriebs- oder Sicherheitsvorfälle durch Kreditinstitute, Zahlungsinstitute, Kontoinformationsdienstleister und E-Geld-Institute an die zuständigen Behörden;
- Tests der digitalen operationalen Resilienz bzw. Prüfung der digitalen operativen Belastbarkeit;
- Austausch von Informationen und Erkenntnissen in Bezug auf Cyberbedrohungen und Schwachstellen;
- Maßnahmen für das solide Management des IKT-Drittparteienrisiko.
- Anforderungen in Bezug auf vertragliche Vereinbarungen zwischen IKT-Drittdienstleistern und Finanzunternehme.
- Vorschriften über die Einrichtung und Ausführung des Überwachungsrahmens für kritische IKT-Drittdienstleister bei der Erbringung von Dienstleistungen für Finanzunternehmen.
- Vorschriften über die Zusammenarbeit zwischen zuständigen Behörden und Vorschriften über die Beaufsichtigung und Durchsetzung aller von der DORA-Verordnung erfassten Sachverhalte durch zuständige Behörden.
Quelle: Verordnung (EU) Nr. 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011
