DORA-Verordnung der EU: Was jetzt für Unternehmen wichtig ist

Der Digital Operational Resilience Act (DORA) ist eine neue Verordnung der Europäischen Union, die darauf abzielt, die digitale Betriebsfähigkeit von Finanzunternehmen zu stärken. Mit der zunehmenden Digitalisierung und dem steigenden Einsatz digitaler Technologien in der Finanzbranche wird eine Regulierung dieser Aspekte immer wichtiger. Deshalb hat die EU den Digital Operational Resilience Act entwickelt. So soll die Widerstandsfähigkeit von Finanzunternehmen gegenüber digitalen Risiken gewährleistet werden. Die Verordnung legt fest, dass Finanzunternehmen robuste IT-Systeme und Cybersecurity-Maßnahmen implementieren müssen, um sich vor Cyberangriffen und IT-bedingten Störungen zu schützen.

Für Finanzunternehmen bietet DORA die Möglichkeit, ihre digitale Transformation durch eine bessere IT-Sicherheitsstrategie zu beschleunigen und ihre Position auf dem Markt zu stärken. Gleichzeitig bringt die Verordnung auch Herausforderungen mit sich, da Unternehmen neue Compliance-Anforderungen erfüllen müssen.

Wir unterstützen Finanzunternehmen bei der Umsetzung des Digital Operational Resilience Acts – mit unserer Expertise, unserer Erfahrung und unserem Know-how.

Inhaltsverzeichnis

Der aktuelle Stand zur EU-DORA-Verordnung

Alles, was Finanzunternehmen wissen sollten

  • Der Digital Operational Resilience Act (DORA) ist im November 2022 verabschiedet worden und tritt im Januar 2025 in Kraft. Es gibt keine Übergangsfrist für die Umsetzung. Finanzunternehmen, die von der DORA-Verordnung betroffen sind, müssen die aufsichtsrechtlichen Anforderungen zum 17. Januar 2025 umgesetzt haben.
  • Die DORA-Verordnung wird durch technische Durchführungsstandards (sog. Level-2-Rechtsakte) konkretisiert, die von den Europäischen Finanzaufsichtsbehörden (EBA, ESMA, EIOPA) entwickelt wurden. Sie sind bei der Umsetzung der DORA-Verordnung ebenfalls zwingend zu beachten.
  • Finanzunternehmen müssen im Rahmen von DORA ihre digitalen Systeme und Prozesse nach bestimmten Risikokategorien bewerten und entsprechende Maßnahmen zur Risikominderung ergreifen. Dies umfasst u. a. einen angemessenen Schutz der Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität der verarbeiteten Informationen, Aufrechterhaltung der Betriebsfähigkeit bei IT-Störungen oder Cyberangriffen sowie das Drittparteienmanagement bei Auslagerungen von Informations- und Kommunikationstechnologie (IKT).
  • Aus der Verordnung ergeben sich Chancen, die Finanzdienstleister nutzen können – insbesondere durch die Einführung standardisierter Sicherheitsmaßnahmen. Sie stärken das Vertrauen der Kunden und können die Wettbewerbsfähigkeit erhöhen.

„Der Digital Operational Resilience Act (DORA) soll die Betriebsstabilität und IT-Sicherheit im europäischen Finanzsektor stärken. So werden Verbraucher geschützt und der Finanzstandort Europa gesichert. Wir sind starker Partner des Finanzsektors bei der Umsetzung der DORA-Verordnung.“

Frank Mandalka, Senior Manager bei Grant Thornton Deutschland 

 

Sind auch Sie von der EU-DORA-Verordnung betroffen? Finden Sie es heraus!

  • Kreditinstitute
  • Zahlungsinstitute, einschließlich gemäß der Richtlinie (EU) 2015/2366 ausgenommene Zahlungsinstitute
  • Kontoinformationsdienstleister
  • E-Geld-Institute, einschließlich gemäß der Richtlinie 2009/110/EG ausgenommene E-Geld-Institute
  • Wertpapierfirmen
  • Anbieter von Krypto-Dienstleistungen, die gemäß einer Verordnung des Europäischen Parlaments und des Rates über Märkte von Krypto-Werten und zur Änderung der Verordnungen (EU) Nr. 1093/2010 und (EU) Nr. 1095/2010 sowie der Richtlinien 2013/36/EU und (EU) 2019/1937 zugelassen sind, sowie Emittenten wertreferenzierter Tokens
  • Zentralverwahrer
  • Zentrale Gegenparteien
  • Handelsplätze
  • Transaktionsregister
  • Verwalter alternativer Investmentfonds
  • Verwaltungsgesellschaften
  • Datenbereitstellungsdienste
  • Versicherungs- und Rückversicherungsunternehmen
  • Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit
  • Einrichtungen der betrieblichen Altersversorgung
  • Ratingagenturen
  • Administratoren kritischer Referenzwerte
  • Schwarmfinanzierungsdienstleister
  • Verbriefungsregister

Im Februar 2024 wurde das Finanzmarktdigitalisierungsgesetz (FinmadiG) im Entwurf veröffentlicht. Zweck des neuen Gesetzes sind die Umsetzung der EU-Strategie für ein digitales Finanzwesen sowie die Festlegung des Geltungsbereichs für die Durchführung der EU-Vorgaben, die durch DORA, MiCAR (Markets in Crypto-Assets Regulation) und die Geldtransfer-Verordnung konkretisiert werden. 

Durch das FinmadiG wird der Anwendungskreis der DORA-Verordnung über die dort in Artikel 2 Absatz 1 aufgeführten Unternehmensgruppen hinaus auf alle bisher durch die BaFin regulierten Institute ausgeweitet. Für diese gelten die Vorgaben der DORA so, als wären sie CRR-Institute. Dies betrifft nach aktuellem Stand insbesondere auch Factoring- und Leasinggesellschaften. 

Allerdings sind hier Erleichterungen vorgesehen. So sind lediglich die Vorgaben des vereinfachten Informations- und Kommunikationstechnologie-Risikomanagementrahmen gemäß Artikel 16 der DORA-Verordnung anzuwenden. Ferner finden die Vorgaben an die Durchführung der bedrohungsgeleiteten Penetrationstests (TLPT) gemäß Artikel 26 und 27 der DORA-Verordnung sowie bei Kleinstunternehmen die Vorgaben an das IKT-Drittparteienrisikomanagement nach Artikeln 28 bis 30 der DORA-Verordnung keine Anwendung.

Wenn der Gesetzentwurf wie vorgesehen in Kraft tritt, werden von den betroffenen Instituten ab dem 17.01.2025 das Meldewesen IKT-bezogener Vorfälle gemäß Kapitel III der DORA-Verordnung und ab dem 01.01.2027 die übrigen zutreffenden DORA-Regelungen anzuwenden sein.

Finanzunternehmen dürfen gemäß Artikel 28 Absatz 5 der DORA-Verordnung nur noch vertragliche Vereinbarungen mit IT-Dienstleistern abschließen, wenn diese angemessene Standards in der Informationssicherheit einhalten. Bei der Auslagerung kritischer oder wichtiger Funktionen müssen die jeweils aktuellen und höchsten Qualitätsstandards in der Informationssicherheit durch den Dienstleister erfüllt werden. Grundsätzlich gilt darüber hinaus, dass alle ausgelagerten Prozesse und Tätigkeiten den gleichen Anforderungen genügen müssen, als würden sie durch das Finanzunternehmen selbst erbracht. Das heißt, dass die DORA-Verordnung in den Bereichen zu erfüllen ist, die durch die Auslagerung auf den IT-Dienstleister übergehen. Dies gilt auch bei gruppeninternen Auslagerungen.

Wir unterstützen Sie bei der DORA-Verordnung

Unsere Expertinnen und Experten stehen Ihnen zur EU-DORA-Verordnung zur Seite. Wir können Sie bei der Bewertung der Anwendbarkeit, der Identifizierung von Lücken in den aktuellen Prozessen sowie der Umsetzung von Maßnahmen unterstützen.

Was regelt die DORA-Verordnung der EU?

Der Digital Operational Resilience Act (DORA) gibt Finanzunternehmen klare Anforderungen und Pflichten vor: Sie müssen ihre digitale Betriebsstabilität sichern und die Risiken im Bereich Informations- und Kommunikationstechnologie minimieren. Der Schwerpunkt liegt darauf, die Resilienz gegenüber Cyberangriffen, IT-Ausfällen und anderen Störungen zu erhöhen. So sollen das Vertrauen der Verbraucher in die digitalen Dienstleistungen gestärkt und die Stabilität des Finanzsektors gewährleistet werden.

DORA soll sicherstellen, dass Finanzdienstleistungen für die Bürgerinnen und Bürger der EU sicher und zuverlässig sind. Potenzielle Bedrohungen sollen proaktiv angegangen werden. Die Verordnung schreibt vor, dass Unternehmen angemessene Maßnahmen ergreifen, um ihre IT-Systeme und Daten zu schützen. Dazu gehören die Implementierung robuster Cybersicherheitspraktiken, regelmäßige Überprüfungen und die Verbesserung von Sicherheitsprotokollen sowie die Sicherstellung der Betriebskontinuität. Dadurch werden Gefahrenquellen minimiert und mögliche Risiken überschaubar gemacht, was gleichzeitig Chancen für Finanzunternehmen bietet. Denn durch die Einhaltung dieser Vorschriften können Unternehmen nicht nur ihre Sicherheitsstandards erhöhen, sondern auch ihre Marktposition stärken.

Die Verordnung folgt einem risikobasierten Ansatz, der Unternehmen dazu verpflichtet, ihre digitalen Systeme und Prozesse nach spezifischen Risikokategorien zu bewerten. Diese reichen von minimalen Risiken, die beispielsweise bei standardisierten IT-Lösungen auftreten können, bis hin zu hohen Risiken, die bei der Verwendung von Technologien in kritischen Infrastrukturen oder sensiblen Datenmanagementsystemen entstehen. Für hochriskante Bereiche gelten besonders strenge Anforderungen. Dazu gehören eine detaillierte Dokumentation, regelmäßige Risikobewertungen und die Implementierung von Maßnahmen zur Schadensbegrenzung im Falle eines Vorfalls. Unternehmen, die diese Standards nicht einhalten, können mit erheblichen Sanktionen rechnen.

Anforderungen

Zu den spezifischen Anforderungen an Finanzunternehmen gehören u. a.:

  • die Implementierung robuster Systeme zur Risikobewertung und -minderung für die Informations- und Kommunikationstechnologie (IKT),die Sicherstellung einer hohen Qualität und Integrität der IT-Infrastrukturen und Daten,
  • eine umfassende Dokumentation, um die Nachvollziehbarkeit von Prozessen und Entscheidungen zu gewährleisten,
  • regelmäßige Tests der IT-Sicherheit sowie der getroffenen Maßnahmen zur Verbesserung der Betriebsstabilität sowie
  • ein umfangreiches IKT-Dienstleistermanagement zur Abwehr sog. Supply-Chain-Risiken.

Sanktionen

Die Sanktionen bei Verstößen gegen DORA sind in Artikel 50 geregelt. Nationale Behörden sind für deren Durchsetzung verantwortlich. Die DORA-Verordnung nennt keine konkreten Beträge, sieht aber verschiedene Maßnahmen vor. Dazu gehören Anweisungen zur Unterlassung von Verstößen, die vorübergehende oder dauerhafte Untersagung bestimmter Tätigkeiten und finanzielle Sanktionen. Bei schwerwiegenden Verstößen können hohe Geldstrafen, oder Einschränkungen im Geschäftsbetrieb die Folge sein. Abweichend davon sind für kritische IKT-Dienstleister, welche die Vorgaben der DORA-Verordnung nicht angemessen umsetzen, Zwangsgelder vorgesehen.

Inkrafttreten und Übergangsfristen der EU-DORA-Verordnung

 

 

Im November 2022 wurde der Digital Operational Resilience Act (DORA) auf EU-Ebene verabschiedet. Mit der Veröffentlichung im Amtsblatt der Europäischen Union tritt die Verordnung im Januar 2025 in Kraft. DORA ist ein bedeutendes Regelwerk zur Verbesserung der digitalen Resilienz im Finanzsektor.

Da es sich bei DORA um eine EU-Verordnung handelt, ist eine Umsetzung in nationales Recht nicht notwendig. Ab dem 17. Januar 2025 müssen alle betroffenen Unternehmen die Anforderungen der DORA-Verordnung umgesetzt haben. Eine Umsetzungsfrist ist nicht vorgesehen.

Sie möchten sich auf das Inkrafttreten des Digital Operational Resilience Acts vorbereiten? Unsere Expertinnen und Experten stehen Ihnen zur Seite und unterstützen Sie bei der Umsetzung der notwendigen Regularien gemäß der aktuellen Fassung von DORA.

DORA-Verordnung: Adressaten und betroffene Unternehmen

Die DORA-Verordnung betrifft 

  • Finanzunternehmen in der EU gemäß Artikel 2 der DORA-Verordnung sowie den erweiterten Kreis gemäß Finanzmarktdigitalisierungsgesetz (FinmadiG),
  • Dienstleister für Informations- und Kommunikationstechnologie, die Leistungen für Finanzunternehmen erbringen.

Allerdings gibt es auch Ausnahmen von diesen Regelungen sowie Erleichterungen. Die DORA-Verordnung gilt gemäß Artikel 2 Absatz 2 nicht für

  • Verwalter alternativer Investmentfonds im Sinne von Artikel 3 Absatz 2 der Richtlinie 2011/61/EU,
  • Versicherungs- und Rückversicherungsunternehmen im Sinne von Artikel 4 der Richtlinie 2009/138/EG,
  • Einrichtungen der betrieblichen Altersversorgung, die, Altersversorgungssysteme mit insgesamt weniger als 15 Versorgungsanwärtern betreiben,
  • gemäß den Artikeln 2 und 3 der Richtlinie 2014/65/EU ausgenommene natürliche oder juristische Personen,
  • Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit, bei denen es sich um Kleinstunternehmen, kleine oder mittlere Unternehmen handelt sowie
  • Postgiroämter im Sinne von Artikel 2 Absatz 5 Nummer 3 der Richtlinie 2013/36/EU.

Darüber hinaus gibt es Erleichterungen bei einer Vielzahl von Regelungen für bspw. Kleinst- und Kleinunternehmen, kleine und nicht verflochtene Wertpapierfirmen.

Sie möchten wissen, ob die DORA-Verordnung für Ihr Unternehmen einschlägig ist und welche Anforderungen Sie umsetzen müssen? Unsere Expertinnen und Experten wissen mehr. 

Unsere Services für den Finanzsektor

Global und voller Dynamik

Unsere Leistungen im Bereich EU-DORA-Verordnung

(Digital Operational Resilience Act)

Wir verstehen unsere Mandantschaft und unser Handwerk. Zu jeder Herausforderung finden wir die passende Lösung.

  • Definition eines Soll-Zustands basierend auf den für Ihr Unternehmen einschlägigen Regelungen der DORA-Verordnung
  • Erfassung des Status quo in Bezug auf die von Ihrem Unternehmen bereits umgesetzten aufsichtsrechtlichen Anforderungen und Identifizierung von Lücken
  • Gewichtung des Umsetzungsaufwands sowie der Dringlichkeit, insbesondere auf Basis unserer Erfahrungen mit Prüfungen durch die Aufsicht. Wir wissen, welche Themen besonders im Fokus der Aufsicht liegen.
  • Unterstützung bei der Umsetzung in Abhängigkeit von Ihrem Bedarf: Das reicht von der Qualitätssicherung und Klärung fachlicher Fragen über die Organisation, Durchführung und Moderierung von Workshops und der Konsolidierung der Ergebnisse bis zur Erstellung von Strategien, Leit- und Richtlinien sowie Prozessbeschreibungen.
  • Darüber hinaus können wir bei der operativen Prozessdurchführung unterstützen. Hier sind u. a. die Erhebung der IT-Assets (Strukturanalyse/zur Abbildung des Informationsverbunds), Durchführung der Klassifizierung (Schutzbedarfsanalyse), Erarbeitung eines angemessenen Frameworks von Informationssicherheitskontrollen und -prozessen (Soll-Maßnahmenkatalog), der Wirksamkeitsprüfung des implementierten IKT-Risikomanagement-Rahmens, Planung und Durchführung technischer Sicherheitsüberprüfungen, Durchführung des Cyber Threat Intelligence und das IKT-Drittdienstleistermonitoring zu nennen.
  • Im Gegensatz zur BAIT, VAIT, KAIT und ZAIT kennt die DORA keinen Informationssicherheitsbeauftragten. Dafür sind gemäß Artikel 6 Absatz 4 der DORA-Verordnung IKT-Risikomanagement-Funktionen zu implementieren, für die kein Auslagerungsverbot besteht. Unsere Experten und Expertinnen im Bereich Informationsrisikoanalyse können bei Bedarf die entsprechende Position besetzen und dafür Sorge tragen, dass Ihr IKT-Risikomanagement-Rahmen nationalen oder internationalen Risikomanagementframeworks sowie den aufsichtsrechtlichen Anforderungen genügt.

Tacheles statt Taktik. Unsere Herangehensweise

Wir setzen uns mit unserer Expertise im Bereich Aufsichtsrecht sowie Informationsrisiko- und Informationssicherheitsmanagement für Ihr Unternehmen ein. Durch unsere Erfahrung in Projekten mit kleinen und großen Unternehmen sind wir in der Lage, sowohl umfangreiche Projekte mit klaren Vorgaben hinsichtlich Projektzielen und Zeitraum zu steuern, als auch in agilen und iterativen Verfahren zu arbeiten. 

Wir finden zusammen mit Ihnen die beste Lösung für Sie und Ihr Unternehmen: passgenau, transparent und unabhängig. Damit Ihr Unternehmen von den Chancen durch die Regularien profitieren kann. Darauf können Sie sich verlassen.

Weitere Services und Beratung im Bereich Financial Services

Digitalisierung gemeinsam meistern

Der rasante technologische Wandel ist ein Zeichen unserer Zeit.

IT-Sicherheit und digitale Innovationen.

Digitalisierung für Steuer- und Finanzabteilungen

Datenbasierte Entscheidungen treffen und das Potenzial der Daten nutzen!

Das Wichtigste zur DORA-Verordnung als Zusammenfassung

Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung, die darauf abzielt, die digitale Betriebsfähigkeit von Finanzunternehmen zu stärken und sie vor digitalen Risiken wie Cyberangriffen und IT-Ausfällen zu schützen. Die Verordnung hat zum Ziel, die digitale Resilienz von Finanzunternehmen zu verbessern, die Verbraucher durch die Sicherstellung stabiler und sicherer digitaler Finanzdienstleistungen zu schützen und das Vertrauen in die digitale Infrastruktur des Finanzsektors zu erhöhen.

Zu den Kernanforderungen von DORA gehören:

  • IKT-Risikomanagement: Unternehmen müssen robuste Systeme zur Identifizierung, Bewertung und Minderung von IKT-Risiken implementieren;
  • Security Incident und Threat Management: Unternehmen brauchen definierte Vorgehensmodelle bei Informationssicherheitsvorfällen und müssen für sie relevante Bedrohungen regelmäßig bewerten;
  • Test der Betriebsstabilität: Unternehmen haben regelmäßig die eingerichteten technischen und organisatorischen Informationssicherheitsmaßnahmen zu testen;
  • IKT-Drittparteienmanagement: umfangreiche Vorgaben zur Auswahl von IKT-Drittdienstleistern, zur Vertragsgestaltung sowie zur kontinuierlichen Überwachung der Dienstleister;
  • Meldepflichten: Verpflichtung zur Meldung signifikanter Cybervorfälle an die zuständigen Behörden.

DORA folgt einem risikobasierten Ansatz, bei dem Systeme und Prozesse nach Risikokategorien klassifiziert werden. Besonders für hochriskante Bereiche wie kritische Infrastrukturen oder das Management sensibler Daten gelten strenge Vorschriften.

Bei Nichteinhaltung der Vorschriften können hohe Geldstrafen verhängt oder das Geschäft eingeschränkt werden. Sanktionen richten sich nach dem Schweregrad des Verstoßes und dem Umsatz des Unternehmens. 

DORA bietet Finanzunternehmen die Möglichkeit, ihre IT-Sicherheitsstandards zu verbessern und ihre Position auf dem Markt durch den Aufbau von Kundenvertrauen zu stärken. Unternehmen werden ermutigt, die neuen Regelungen proaktiv zu implementieren, um ihre digitale Resilienz zu maximieren.

Sie haben Fragen zum Thema DORA und möchten von der Expertise unserer Expertinnen und Experten bei Grant Thornton profitieren? 

Setzen Sie sich mit uns in Verbindung

FAQ zum Digital Operational Resilience Act (DORA)

Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung, die Finanzunternehmen dazu verpflichtet, ihre digitale Betriebsfähigkeit zu stärken. Ziel ist es, die Unternehmen widerstandsfähiger gegen digitale Risiken wie Cyberangriffe und IT-Ausfälle zu machen und somit die Stabilität und Sicherheit des Finanzsektors zu erhöhen.

DORA betrifft eine breite Palette von Finanzunternehmen, einschließlich Banken, Versicherungen, Zahlungsdienste-Anbietern und Investmentgesellschaften. Auch kritische Drittanbieter von IT-Diensten, wie Cloud-Anbieter oder IT-Dienstleister, die mit diesen Unternehmen zusammenarbeiten, fallen unter die Regelung.

Unternehmen müssen ein robustes Risikomanagement für ihre Informations- und Kommunikationstechnologie implementieren, regelmäßige Tests der Betriebsstabilität sowie zur Cybersicherheit durchführen, ihre IT-Dienstleister umfangreich steuern und überwachen sowie signifikante Cybervorfälle und Cyberbedrohungen an die zuständigen Behörden melden. Diese Maßnahmen sollen sicherstellen, dass die Unternehmen auf digitale Bedrohungen vorbereitet sind und schnell reagieren können.

Die DORA-Verordnung tritt am 17. Januar 2025 in Kraft. Es gibt keine Umsetzungs- und Übergangsfristen.

Bei Nichteinhaltung der DORA-Vorschriften können Unternehmen hohe Geldstrafen drohen, die sich nach dem Schweregrad des Verstoßes richten. Aber auch die Bestellung von Sonderbeauftragten sowie die Einschränkung der Geschäftstätigkeit sind möglich. Gegen kritische IT-Dienstleister können Zwangsgelder verhängt werden.

Wir gehen auf Ihre spezifischen Bedürfnisse ein

Financial Services

Die Finanzindustrie spielt eine zentrale Rolle dabei, die Transformation hin zu einer nachhaltigeren Wirtschaft voranzutreiben und sieht sich dabei selbst einer Vielzahl von Herausforderungen ausgesetzt. Wir helfen dabei, die richtigen Entscheidungen zu treffen. Zahlreiche Themen treiben die Branche an: der Eintritt internationaler Banken und Zahlungsdienstleister in den europäischen Markt, effiziente Prozessgestaltung in Zeiten komplexer und neuer regulatorischer Anforderungen, ESG und Digitalisierung sind nur einige davon. 

Die Digitalisierung im Sinne einer Automatisierung und Unterstützung von Prozessabläufen sowie der verbesserten Verfügbarkeit von Daten für unterschiedlichste Zwecke ist heute ein Differenzierungsfaktor. Damit ist sie auch ein Wettbewerbsvorteil in der Betreuung von Kunden und Kundinnen oder ein Schlüssel zu effizienten Prozessen und besseren Managementinformationen. Die digitale Betriebsstabilität und DORA sind nur ein Teilaspekt dessen.

Wir begleiten Sie bei allen Themen sowohl im betrieblichen als auch im regulatorischen Bereich. Unsere Expertinnen und Experten für Financial Services stellen Ihnen ihre Expertise zur Verfügung, steigern die Effizienz der Abläufe in Ihrem Unternehmen und lassen Ihr Geschäft wachsen.