Navigieren Sie durch den Digital Operational Resilience Act (DORA)

Angesichts der rasanten Entwicklung der digitalen Landschaft ist die Gewährleistung der Resilienz im Finanzsektor gegen Cyberrisiken und Betriebsstörungen zu einer der obersten Prioritäten der Regulierungsbehörden weltweit geworden. Eine der bedeutendsten Entwicklungen in diesem Bereich ist die EU-Verordnung 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act (DORA)). Lucanet unterstützt Finanzinstitute bei der Bewältigung dieser regulatorischen Herausforderungen mit unserer innovativen Finanzsoftware. In diesem Blog-Beitrag erfahren Sie, was DORA beinhaltet, wie der Zeitplan für die Umsetzung aussieht, welche Institute und Unternehmen im Rahmen dieser Verordnung Bericht erstatten müssen und welcher Verantwortungsrahmen ihr zugrunde liegt.

 

Was ist der Digital Operational Resilience Act (DORA)?

DORA, ein wegweisendes europäisches Regelwerk, soll die digitale Widerstandsfähigkeit des EU-Finanzsektors stärken. Das Hauptziel von DORA ist es, sicherzustellen, dass sämtliche europaweit im Finanzsystem tätigen Einrichtungen über die notwendigen Schutzvorkehrungen verfügen, um gegenüber verschiedenen Arten von Cyberbedrohungen und Vorfällen gewappnet zu sein, darauf zu reagieren und sich ggf. davon zu erholen. Die Verordnung umfasst ein breites Spektrum an Anforderungen, von robusten Informations- und Kommunikationstechnologie- (IKT) Risikomanagement-Protokollen bis hin zu einer strengen Berichterstattung über Vorfälle und die Überwachung kritischer IKT-Drittdienstleister.

 

Die Verantwortung für die Überwachung der Umsetzung und Durchsetzung von DORA liegt bei einer Kombination aus EU- und nationalen Behörden. In erster Linie sind es zwei Hauptakteure, die das Steuer in die Hand nehmen:

• Die drei Europäischen Aufsichtsbehörden (ESAs) – die EBA (European Banking Authority), die EIOPA (European Insurance and Occupational Pensions Authority) und die ESMA ((European Securities and Markets Authority)). Diese Behörden werden auf EU-Ebene für Unterstützung, Überwachung und Durchsetzung sorgen.
• Nationale zuständige Behörden (NCAs) – Jeder EU-Mitgliedstaat wird seine jeweiligen NCAs einschalten, um die Einhaltung der Vorschriften auf nationaler Ebene zu überwachen und sicherzustellen, dass die Unternehmen sich an die Vorschriften der jeweiligen Rechtsordnung halten.

 

Wann tritt DORA in Kraft?

DORA wurde vom Europäischen Parlament und dem Rat im November 2022 verabschiedet. Laut Verordnung ist der 17. Januar 2025 das offizielle Datum für das Inkrafttreten von DORA. Dieser Umsetzungszeitplan bietet Finanzunternehmen eine Übergangsfrist, um ihre Abläufe und Systeme an die neuen Regeln anzupassen.

 

Wer ist nach DORA meldepflichtig?

DORA erstreckt sich über ein breites Spektrum und erfasst die meisten Institute und Unternehmen der Finanzwirtschaft. Die Verordnung schreibt vor, dass die folgenden Arten von Einrichtungen die Vorschriften einhalten und Bericht erstatten müssen:

1. Kreditinstitute – einschließlich traditioneller und digitaler Banken.
2. Wertpapierfirmen – Institutionen, die professionelle Dienste im Wertpapierhandel und bei Investitionstätigkeiten erbringen.
3. Versicherungs- und Rückversicherungsgesellschaften – Unternehmen, die verschiedene Versicherungsprodukte anbieten.
4. Zahlungsinstitute – Unternehmen, die Zahlungsdienstleistungen erbringen.
5. E-Geld-Institute – Unternehmen, die E-Geld ausgeben.
6. Anbieter von Krypto-Vermögensdienstleistungen (CASPs) – Unternehmen, die Krypto-Vermögensdienstleistungen anbieten.
7. Handelsplätze und zentrale Gegenparteien – einschließlich Börsen und Clearingstellen.
8. Finanzmarktinfrastrukturen – z. B. zentrale Wertpapierverwahrungsstellen.
9. IKT-Drittanbieter – Anbieter kritischer technischer Dienstleistungen für Finanzinstitute (z. B. Cloud-Service-Anbieter, Rechenzentren).

 

Man geht davon aus, dass die Meldepflichten der DORA für mehr als 22.000 Unternehmen in der EU gelten werden. Dieses umfangreiche Meldesystem bietet einen umfassenden Schutz für die digitalen Aktivitäten der Finanzbranche.

 

Die fünf wichtigsten Säulen von DORA

DORA stützt sich auf fünf wichtige Säulen, die zusammen die digitale operative Widerstandsfähigkeit von Finanzinstituten verbessern sollen:

 

1. IKT-Risikomanagement Die Institute müssen einen umfassenden Rahmen für das IKT-Risikomanagement schaffen. Dabei geht es darum, IKT-Risiken zu erkennen, zu bewerten und abzumildern, um Störfälle zu vermeiden. Finanzunternehmen müssen ihre Risikomanagementstrategien regelmäßig aktualisieren und testen, um sich an die neuen Gefahren anzupassen.

 

2. Meldung von Vorfällen: Die Einrichtungen müssen solide Mechanismen zur Meldung von Vorfällen entwickeln. Relevante Vorfälle im Zusammenhang mit IKT sind den zuständigen Behörden unverzüglich zu melden. Diese Säule gewährleistet eine zügige Reaktion auf Vorfälle und minimiert mögliche Schäden.

 

3. Prüfung der digitalen operativen Resilienz: Regelmäßige Tests der digitalen Widerstandsfähigkeit sind vorgeschrieben. Finanzinstitute müssen Schwachstellenbewertungen, Penetrationstests und bedrohungsgesteuerte Penetrationstests (TLPT) durchführen, um sicherzustellen, dass ihre Systeme Cyberbedrohungen und Betriebsunterbrechungen standhalten und sich davon erholen können.

 

4. Management des Drittparteiennrisikos: Angesichts der Abhängigkeit von externen IKT-Dienstleistern legt DORA großen Wert auf die sorgfältige Überwachung und das Management von involvierten Drittdienstleistern. Die Finanzinstitute müssen sicherstellen, dass ihre Dienstleister vergleichbare Resilienzstandards einhalten und einschlägige Notfallpläne vorweisen können.

 

5. Austausch von Informationen: DORA fördert den Austausch von Informationen über Cyber-Bedrohungen und IKT-Risiken zwischen Finanzinstituten. Dieser kooperative Ansatz wird dazu beitragen, neue Bedrohungen zu erkennen und die kollektive Abwehrbereitschaft zu verbessern.

 

Vorbereitung auf die DORA-Anwendung

Um sich auf die bevorstehenden regulatorischen Änderungen vorzubereiten, hat die European Banking Authority (EBA) einen DORA-Probelauf initiiert. Diese proaktive Maßnahme zielt darauf ab, die von DORA festgelegten Meldemechanismen zu testen und zu konkretisieren. Der Probelauf ermöglicht es den Finanzinstituten, die Umsetzung der DORA-Mandate zu simulieren und so wertvolle Einblicke und Rückmeldungen zu erhalten, die dazu beitragen werden, die tatsächlichen Compliance-Prozesse zu optimieren, sobald die Verordnung in Kraft tritt.

 

Lucanet beteiligt sich aktiv an dem Probelauf zusammen mit den zuständigen nationalen Behörden, die unser XBRL-Portal nutzen. Auf diese Weise stellen wir sicher, dass unsere Lösungen und unsere Kunden für die bevorstehende Einführung von DORA bereit sind. 

 

Wie funktioniert das Reporting nach DORA?

Obwohl noch nicht klar kommuniziert wurde, wie genau die Daten im Rahmen von DORA zu melden sind, hat die EBA bereits eine Erweiterung ihrer XBRL-Taxonomie als Teil ihres Reporting-Berichtsrahmens 3.5 veröffentlicht. DORA wird wahrscheinlich die erste Live-Anwendung des neuen XBRL-CSV-Standards sein. Diese Taxonomie wird derzeit im DORA-Probelauf verwendet.

 

Lucanets XBRL-Werkzeuge sind bereits XBRL-zertifiziert für XBRL-CSV. Unser XBRL-Portal ist das perfekte Tool, um DORA-konforme XBRL-Berichte zu erstellen. Lassen Sie uns wissen, ob Sie es jetzt ausprobieren möchten.

 

Zusammenfassend lässt sich sagen, dass der Digital Operational Resilience Act (DORA) ein entscheidender Schritt zur Stärkung des EU-Finanzsektors gegen digitale Bedrohungen ist. Je näher der Stichtag rückt, desto wichtiger ist es für alle betroffenen Unternehmen, sich auf diese Vorschriftenänderung vorzubereiten. Der Countdown läuft! Lucanet begleitet und unterstützt Sie auf dem Weg zu vollständiger Compliance und operativer Resilienz.

Lernen Sie unser XBRL-Portal kennen