Finanzwelt
Finanzwelt Logo

Wer muss DORA umsetzen?

06.05.2025

Rechtsanwalt Björn Thorben M. Jöhnke. Foto: Jöhnke & Reichow Rechtsanwälte

Am 17.01.2025 trat der Digital Operational Resilience Act (DORA) in Kraft. Damit soll die digitale operationale Resilienz im Finanzsektor gestärkt werden, wobei es primär um Informations- und Kommunikationstechnik-Dienstleistungen – IKT – geht. Im Folgenden geht es darum, wer DORA umsetzen muss, wie DORA umgesetzt werden muss, und welche Unternehmen von der Verordnung ausgenommen sind.

DORA soll europaweit die digitale Widerstandsfähigkeit von Finanzunternehmen stärken. Besonders die Unternehmen im Finanzsektor werden immer abhängiger von digitalen Technologien aller Art. Aus diesem Grund wird es immer wichtiger, im Falle von Cyberangriffen, technischen Ausfällen oder anderen technischen Störungen geschützt oder zumindest handlungsfähig zu bleiben und sensible Daten nicht zu gefährden. Das Ziel ist hierbei nicht primär die Prävention von Problemen, sondern eher die Vorbereitung, sodass Unternehmen standhaft bleiben können.

Um DORA umzusetzen, müssen betroffene Unternehmen die Zuständigkeit und Überwachung der Sicherheitsmaßnahmen gemäß Art. 5 (EU) 2024/2554 an eine Kontrollfunktion übertragen. Diese Kontrollfunktion ist ein gesonderter Mitarbeiter oder Bereich des Unternehmens, welcher unabhängig von anderen Interessen das IKT-Risikomanagement kontrolliert und dokumentiert.

Dieses Risikomanagement umfasst die Nutzung von Systemen, die immer auf dem aktuellen Stand, besonders zuverlässig und resilient sind. Darüber hinaus müssen regelmäßig Risikobewertungen durchgeführt, um potenzielle Bedrohungen zu identifizieren und zu klassifizieren (Art. 7 (EU) 2024/2554).

Die Daten, die von den Unternehmen verarbeitet werden, müssen je nach Kritikalität verschlüsselt werden. Eine Verschlüsselung sollte wenn möglich auch während der Verarbeitung vorliegen. Ist dies nicht möglich, sind die Daten in geschützter Umgebung zu verarbeiten. Weiterhin müssen die Mitarbeiter regelmäßige Sicherheitsschulungen absolvieren und es sollten „Testangriffe“ simuliert werden, damit man die technische Sicherheit testen kann und gegebenenfalls weiß, was im Ernstfall fehlt oder noch korrigiert werden muss. Entdeckt die Kontrollfunktion Schwachstellen, muss das Unternehmen, bzw. die Geschäftsführung und auch die Kunden selbst informiert werden. Die Schwachstelle muss dann umgehend von dem Unternehmen behoben werden. Auch fremdbezogene Komponenten, wie beispielsweise Lieferketten, sind regelmäßig auf Schwachstellen zu prüfen.

Kommt es trotz der Maßnahmen zu technischen Störungen oder Cyberangriffen, sind die Unternehmen verpflichtet, diese zu melden. Zum einen müssen schwerwiegende Vorfälle an die Geschäftsführung weitergegeben werden, aber auch an die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Schwerwiegende Vorfälle müssen gemeldet werden, erhebliche Bedrohungen der Cybersicherheit können von Unternehmen freiwillig gemeldet werden. Außerdem müssen Unternehmen ein Informationsregister mit allen vertraglichen Vereinbarungen über die Nutzung von durch IKT-Drittdienstleistern bereitgestellte IKT-Dienstleistungen vorlegen. Durch die Meldepflicht sollen Auswirkungen auf den Finanzmarkt möglichst schnell abgeschätzt werden können, um dementsprechend zu reagieren.

Von der DORA sind jedoch nach Art. 2 III (EU) 2024/2554 Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit, wenn es sich bei diesen um Kleinstunternehmen, kleine Unternehmen oder mittlere Unternehmen handelt und nicht-verflochtene Wertpapier- und Finanzdienstleistungsinstitute. Kleinstunternehmen beschäftigen weniger als 10 Mitarbeiter oder haben eine Jahresbilanzsumme von höchstens 2 Mio. €. Kleine Unternehmen haben maximal 49 Beschäftigte und einen Jahresumsatz bzw. eine Jahresbilanzsumme von maximal 10 Mio. €. Mittlere Unternehmen haben weniger als 50 Beschäftigte und einen Jahresumsatz unter 50 Mio. € bzw. eine Jahresbilanzsumme von unter 43 Mio. €.

Diese Unternehmen profitieren aufgrund des Verhältnismäßigkeitsgrundsatzes von vereinfachten Anforderungen. Eine Kontrollfunktion ist hier zum Beispiel nicht zwingend notwendig oder der IKT-Risikorahmen muss nur anlassbezogen geprüft und dokumentiert werden. Die Anforderungen sind je nach Größe, Art und Komplexität einzuschätzen. Ist ein Unternehmen zwar klein, verarbeitet jedoch sehr sensible Daten, so muss dort eine gute Datenverschlüsselung vorhanden sein. Ist ein Unternehmen klein aber ist arbeitstechnisch von den technischen Geräten derartig abhängig, dass es ohne diese nicht handlungsfähig ist, so muss es ein Management geben, um auf andere Geräte zurückzugreifen oder möglicherweise auf andere Weise zu arbeiten. Die Maßnahmen sind folglich nach dem Gesamtrisikoprofil des Unternehmens zu richten, sodass auch bei den ausgenommenen Unternehmen größtmögliche Sicherheit besteht, das Unternehmen aber nicht wegen der Maßnahmen einen unverhältnismäßigen Aufwand hat.

Die ausgenommenen Unternehmen, auch wenn sie unter die Ausnahme fallen, müssen sich trotzdem zwingend an die Anforderungen aus Art. 16 I (EU) 2024/2554 halten. Ein Risikomanagementrahmen, welcher fortlaufend überwacht wird, muss grundsätzlich bestehen. Wenn IKT-Risiken bestehen, müssen auch hier die Ursachen ausfindig gemacht werden und die Abhängigkeit von IKT-Drittdienstleistern muss ermittelt werden.

Für einige Unternehmen gilt eine Übergangsfrist, welche das Kreditwesengesetz regelt. Diese Unternehmen müssen DORA erst ab dem 01.01.2027 vollständig anwenden. Alle sonstigen Unternehmen müssen DORA ab dem 17.01.2025 vollständig anwenden. Mit dem Inkrafttreten der DORA wurde der Anwendungsbereich der BAIT angepasst, damit kein Unternehmen beide Verordnungen anwenden und umsetzen muss. Die BAIT sind die bankaufsichtlichen Anforderungen an die IT und regelten ebenfalls die IT-Sicherheit von Finanzunternehmen, jedoch in einem anderen, milderen Rahmen. Die BAIT gibt es nur noch bis zum Ablauf des Jahres 2026, bis letztlich alle Unternehmen DORA umsetzen müssen.

Die Einhaltung der DORA kontrollieren die drei europäischen Aufsichtsbehörden, die europäische Bankenaufsichtsbehörde, die europäische Wertpapier- und Marktaufsichtsbehörde und die europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersvorsorge (kurz: ESAs).

Werden die Anforderungen nicht eingehalten, kann dies unterschiedliche Konsequenzen nach sich ziehen. Zum einen kann es zu Bußgeldern kommen, wenn Unternehmen sich nicht an die Angaben der DORA halten, zum anderen kann ein Unternehmen jedoch auch die Betriebserlaubnis verlieren, siehe Art. 31, 33 (EU) 2024/2554. Behält ein Unternehmen die Betriebserlaubnis, kann es stärkeren Aufsichten der ESAs unterliegen und durch die Nichteinhaltung kann das Vertrauen von Kunden und Partnern erheblich belastet werden. Zusätzlich kann ein Unternehmen im Falle eines Cyberangriffs für den Schaden haftbar gemacht werden, wenn die Anforderungen der DORA nicht erfüllt wurden (siehe: NIS2 vs. DORA: Unterschiede und verbreitete Missverständnisse).

Gastbeitrag von Rechtsanwalt Björn Thorben M. Jöhnke, Kanlei Jöhnke & Reichow.

Mehr aus dieser Kategorie

Märkte fordern Signale, Trump erhöht den Druck

Anleger hoffen in dieser Woche auf klare Signale von Jerome Powell. Doch die Fed verfügt über keine Glaskugel. Angesichts der ungelösten Zollfragen dürfte sie eine vorsichtige Bots...

Trotz allem: vorsichtiger Optimismus

Noch ist der Regierungswechsel in Berlin nicht vollzogen, Friedrich Merz ist bei der Kanzlerwahl im ersten Durchgang durchgefallen. Deutschlands neue Koalition aus Union und SPD ha...