Operative Digitale Resilienz

DORA – gemeint ist nicht die Zeichentrickserie, bei der ein kleines Mädchen die Welt entdeckt, sondern die Verordnung zur Digitalen Operativen Resilienz.  Wie der Titel des Rechtsakts schon anklingen lässt, befasst er sich mit der Stärkung der digitalen Resilienz von Unternehmen. Die EU sah vor dem Hintergrund der zunehmenden Bedeutung von Systemen zur Informations- und Kommunikationstechnologie (im Folgenden: IKT) und der Digitalisierung, sowie der daraus entstehenden wachsenden Vernetzung untereinander und Abhängigkeit voneinander Handlungsbedarf.

Als Verordnung wird DORA in den Mitgliedstaaten unmittelbar mit Geltungsbeginn im Januar 2025 gelten und ist gegenüber dem national bereits geltenden Recht vorrangig anwendbar. Die Bundesanstalt für Finanzdienstleistungsaufsicht kündigte bereits an, dass Änderungen an den Mindestanforderungen an das Risikomanagement (MaRisk) erst nach der Veröffentlichung delegierter Rechtsakte der EU vorgesehen sind. Wie sich die Verordnung auf andere, bereits geltende Gesetze und Verordnungen im deutschen Rechtsraum auswirken wird, bleibt abzusehen. Sie ist als lex specialis auch vorrangig zur zeitgleich veröffentlichten Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau (Richtlinie (EU) 2022/2555, NIS2-Richtlinie) der EU anwendbar.

Regulierungsumfang

DORA reguliert neben wenigen Ausnahmen Finanzunternehmen, aber auch IKT-Drittdienstleister und soll im Januar 2025 in Kraft treten. Er ist dann in allen EU-Mitgliedstaaten anwendbar. Bis dahin haben die regulierten Institute und Dienstleister noch einiges zu tun. Neben aufsichtsrechtlichen Befugnissen regelt die Verordnung insbesondere Folgendes:

Was ist neu?

Einige dieser Themen sind nicht ganz neu, beispielweise die Anforderungen an Verträge sind größtenteils schon in anderer Regulierung rund um Outsourcing enthalten. Ebenso sollten Wiederherstellungs- und Geschäftsfortführungspläne nichts fundamental Neues für bereits regulierte Institute sein.

Andere Themen, wie z.B. die erweiterten Tests, die diversen Auskunftspflichten sowie die direkte Regulierung kritischer IKT-Drittdienstleister sind hingegen mit höheren Aufwänden verbunden.

Unsere Empfehlung

Setzen Sie sich möglichst zeitnah mit den Themen des DORA auseinander und prüfen Sie, welche Vorgaben bei Ihnen Umsetzungsaufwände verursachen. Wir von ADWEKO unterstützen Sie gerne bei der Analyse Ihrer Umsetzungsbedarfe und -aufwände sowie bei der Implementierung der Vorgaben.

Sie wollen sich einen ersten Überblick zu den Themen der DORA verschaffen? Gerne stellen wir Ihnen im März 2023 eine kostenlose Checkliste zur Verfügung.

Melden Sie sich gerne hier an!

Pia Streicher
Senior Consultant