Die Blog-Serie befasst sich mit den sich aus DORA ergebenden Pflichten für Unternehmen des Finanzsektors und IKT-Drittdienstleister.
Als Teil des Pakets zur Digitalisierung des Finanzwesens ist am 17. Januar 2023 die Verordnung des Europäischen Parlaments und des Rates über die digitale operationale Resilienz im Finanzsektor (EU) 2022/2554 (Digital Operational Resilience Act – DORA) in Kraft getreten. Mit DORA wurde erstmalig ein europaweit einheitlicher Rechtsrahmen hinsichtlich der IT-Sicherheit und Betriebsstabilität im Finanzwesen geschaffen. Ziel ist es, bestehenden Risiken bei der Digitalisierung des Finanzsektors über die Ländergrenzen der Europäischen Union (EU) hinweg präventiv entgegenzuwirken. Das Vertrauen in den Finanzsektor und die störungsfreie Versorgung mit Finanzdienstleistungen sollen gewährleistet werden. Zu diesem Zweck haben die betroffenen Unternehmen Maßnahmen zur Förderung der Sicherheit von Netzwerk- und Informationssystemen sowie zur Gewährleistung der Betriebszuverlässigkeit zu ergreifen.
Der Anwendungsbereich von DORA ist denkbar weit gefasst. So besteht nicht nur Handlungsbedarf bei zahlreichen Unternehmen aus dem Finanzsektor, sondern auch bei IT-Outsourcing-Anbietern (IKT-Drittdienstleistern), die ihre Leistungen für die von DORA erfassten Finanzunternehmen erbringen.
Unternehmen müssen die Vorgaben des DORA bis Anfang 2025 umsetzen
Die Übergangszeit, während der Unternehmen ihre Systeme auf die Vorgaben des DORA einrichten und umstellen müssen, schreitet mit großen Schritten voran. Der maßgebliche Stichtag der Umsetzung der Vorgaben durch die betroffenen Unternehmen ist bereits der 17. Januar 2025. Bis dahin werden die Regelungen durch sog. Level-2-Rechtsakte durch die Europäischen Aufsichtsbehörden (European Supervisory Authorities (ESA)) konkretisiert (z. B. Artt. 15, 20 DORA).
Im Einzelnen handelt es sich bei den Level-2-Rechtsakten um technische Regulierungsstandards (Regulatory Technical Standards – RTS) und technische Durchführungsstandards (Implementing Technical Standards – ITS), die wiederum der öffentlichen Konsultation zugänglich sind. Die öffentlichen Konsultationen der ersten Level-2-Rechtsakte fanden vom 19. Juni bis zum 11. September 2023 statt. Die Konsultationsrunden für die nächsten RTS und ITS werden für Ende November/Anfang Dezember 2023 erwartet. Unternehmen haben anschließend 18 Wochen Zeit, Rückmeldung zu geben.
Die ESA ist angehalten, auf Grundlage der Rückmeldungen, die RTS und ITS entsprechend zu aktualisieren und der Europäischen Kommission die finalen Entwürfe der ersten Konsultationsrunde bis zum 17. Januar 2024 und die der zweiten Konsultationsrunde bis zum 17. Juli 2024 zur Verfügung zu stellen.
Neue CMS Blog-Serie: Der „Digital Operational Resilience Act (DORA)“
Unternehmen sollten sich spätestens jetzt mit den Vorschriften des DORA auseinandersetzen und auf die Geltung vorbereiten. Daher starten wir unsere neue CMS Blog-Serie „Digital Operational Resilience Act (DORA)“ und geben Ihnen einen allgemeinen Überblick über die Verordnung insgesamt und darüber, was die Vorgaben für IKT-Drittdienstleister im Anwendungsbereich des DORA bedeuten. In weiteren Beiträgen unserer Blog-Serie informieren wir Sie über das IKT-Risikomanagement unter DORA, über Berichterstattungs- und Meldepflichten, über technische Aspekte bei der Umsetzung der Vorgaben von DORA sowie über die Rechtsfolgen bei Verstößen gegen DORA. Wir werfen im Rahmen unserer Blog-Serie zudem einen Blick auf den Umsetzungsbedarf für Versicherungen, auf den Handlungsbedarf für Banken sowie Sparkassen und geben einen Überblick über To-dos für Anbieter von Krypto-Dienstleistungen.
In unserem CMS-Blog informieren wir Sie in unserer Blog-Serie „Digital Operational Resilience Act (DORA)“ fortlaufend mit aktuellen Beiträgen zu diesen Themen. Sie können diese Blog-Serie über den RSS-Feed abonnieren und werden von uns über neue Beiträge informiert.
Auch die Verordnung über Märkte für Kryptowerte (MiCA-Verordnung) ist Teil des Maßnahmenpakets zur Förderung des Innovations- und Wettbewerbspotentials des digitalen Finanzwesens. Mehr zur MiCA-Verordnung erfahren Sie hier in unserem Blog.
