Die Digitalisierung schreitet unaufhaltsam voran und mit ihr steigen auch die Risiken im Cyberspace. Genau hier setzt der Digital Operational Resilience Act, kurz DORA, an. Es handelt sich um einen EU-Rechtsakt, der am 28. November 2022 vom Europäischen Rat angenommen wurde und am 16. Januar 2023 in Kraft trat. Das Ziel? Die Stärkung der digitalen operationalen Resilienz von Unternehmen im Finanzsektor.
DORA nimmt sich der Herausforderung an, einheitliche Regelungen zur IT-Sicherheit im europäischen Binnenmarkt zu schaffen. Besonders in Zeiten steigender Cybersicherheitsrisiken ist es essenziell, dass sich alle im Finanzsektor tätigen Unternehmen auf ein gleich hohes Schutzniveau einstellen. So sollen die vielfältigen, bisherigen nationalen Regulierungsansätze, die oft zu Überschneidungen und Inkonsistenzen führten, ersetzt werden.
Wer ist von DORA betroffen?
DORA richtet sich an ein breites Spektrum von Unternehmen im Finanzsektor – von Banken über Wertpapierfirmen bis hin zu Versicherungsunternehmen. Auch IKT-Dienstleister fallen unter den Regelungsbereich. Einige Unternehmen des Finanzsektors sind zwar ausgenommen, sollen aber im Rahmen einer späteren Überprüfung von DORA erneut betrachtet werden.
Kernanforderungen von DORA
- Gesamtverantwortung der Geschäftsleitung: DORA schreibt eine Gesamtverantwortung des Leitungsorgans für die digitale operationale Resilienz vor. Dies umfasst unter anderem die Einrichtung eines internen Governance- und Kontrollrahmens sowie die Definition von Aufgaben und Verantwortlichkeiten.
- IKT-Risikomanagement: Unternehmen müssen einen umfassenden IKT-Risikomanagementrahmen implementieren, der regelmäßig überprüft und angepasst wird.
- Resilienzanforderungen und Prüfpflichten: Unternehmen sollen ihre digitale Betriebsstabilität regelmäßig testen, um Schwachstellen und Mängel zu identifizieren.
- Meldepflichten bei Sicherheitsvorfällen: Schwerwiegende Sicherheitsvorfälle müssen gemeldet werden, und es müssen Prozesse zur Überwachung, Protokollierung und Meldung solcher Vorfälle eingerichtet werden.
- Einbindung von IKT-Drittdienstleistern: Hier sieht DORA vor, dass Unternehmen Risiken im Zusammenhang mit der Einbindung von IKT-Drittdienstleistern bewerten und verwalten müssen. Verträge mit diesen Dienstleistern müssen bestimmten Mindestanforderungen entsprechen.
Weitere Beiträge zum Thema IT-Sicherheit im Unternehmen:
- Juristische Konsequenzen für Provider und Diensteanbieter bei IT-Sicherheitslücke
- Haftung der Geschäftsführung für IT-Sicherheitslücken
- NIS2-Richtlinie und NIS2-Umsetzungsgesetz
- DORA
- Bug-Bounty-Programme – Strafbarkeit des Suchens nach Sicherheitslücken
- Aktualisierungspflicht für Software
- Neues Kaufrecht: Sicherheit als Mangel
- Pentesting: Vertrag über Penetrationstest
- Wie Unternehmen mit Ransomware erpresst werden
- Ransomware: Soll man das Lösegeld zahlen?
- Haftung des Arbeitnehmers bei Installation von Malware
- Fahrlässige Tötung und Schadsoftware im Krankenhaus
- Was tun nach einem Hackerangriff?
- Wie schützt man sich vor einem Hackerangriff?
- Einhaltung interner Sicherheits-/Compliance Vorgaben für Arbeitnehmer verpflichtend
Was bedeutet das für betroffene Unternehmen?
Die Einführung von DORA stellt für viele Unternehmen eine Herausforderung dar. Die Anpassung der internen Prozesse und Strukturen, das Überprüfen bestehender IKT-Verträge und die Implementierung der geforderten Risikomanagementstrategien erfordern Zeit und Ressourcen. Dennoch bietet DORA auch Chancen: Ein vereinheitlichtes, hohes Schutzniveau kann die Wettbewerbsfähigkeit stärken und Vertrauen bei Kunden und Partnern schaffen.
Bedeutung für die Geschäftsleitung
DORA hat spürbare Auswirkungen auf die Compliance, insbesondere in Bezug auf die Pflichten und die Haftung der Geschäftsleitung im Finanzsektor. Die zentralen Aspekte dürften wie folgt zusammengefasst werden können:
- Gesamtverantwortung der Geschäftsleitung: Die Unternehmensleitung trägt die Gesamtverantwortung für die Umsetzung und Aufrechterhaltung der digitalen operationalen Resilienz. Dies beinhaltet die Implementierung und Überwachung eines umfassenden IKT-Risikomanagements. Die Leitungsorgane müssen einen robusten internen Governance- und Kontrollrahmen schaffen, der klare Aufgaben und Verantwortlichkeiten im Bereich der IT-Sicherheit festlegt.
- IKT-Risikomanagement: Die Geschäftsleitung ist verpflichtet, einen wirksamen Rahmen für das Management von IKT-Risiken zu implementieren und regelmäßig zu überprüfen. Dieser Rahmen sollte alle Aspekte der Informationstechnologie umfassen, um sicherzustellen, dass die IKT-Assets und -Dienste des Unternehmens angemessen geschützt sind.
- Rechenschaftspflicht und Transparenz: Es wird von den Führungskräften erwartet, dass sie nicht nur die Einhaltung der Vorschriften sicherstellen, sondern auch transparent gegenüber den Aufsichtsbehörden agieren. Meldepflichten für Sicherheitsvorfälle sind ein zentraler Bestandteil dieser Transparenz.
- Prüfung und Anpassung bestehender Strukturen: Die Geschäftsleitung muss bestehende Prozesse und Strukturen regelmäßig überprüfen und anpassen, um den Anforderungen von DORA gerecht zu werden. Dies umfasst auch die Bewertung und das Management von Risiken, die mit der Einbindung von IKT-Drittdienstleistern verbunden sind.
- Haftung und Sanktionen: Bei Nichteinhaltung der Vorgaben kann es zu Sanktionen kommen. Die Geschäftsleitung trägt letztendlich die Verantwortung für eventuelle Verstöße gegen die Vorschriften, was finanzielle Strafen oder andere regulatorische Sanktionen zur Folge haben kann.
Es zeigt sich durch DORA eine gesteigerte Verantwortung und erhöhte Anforderungen an die Compliance-Strukturen der betroffenen Finanzdienstleister; dies insbesondere für die Geschäftsleitung, die nun in verstärktem Maße dafür verantwortlich ist, die Einhaltung der anspruchsvollen IT-Sicherheitsstandards zu gewährleisten.
Wichtige Regelungen der EU-Plattformregulierung:
- AI-Act: Artificial Intelligence Act (KI-Verordnung und KI-Richtlinie) [Hier bei uns]
- CRA: Cyber Resilience Act [Hier bei uns]
- CSAM: Regulation on Child Sexual Abuse Material [Hier bei uns]
- DGA: Data Governance Act [Hier bei uns]
- Data Act: [Hier bei uns]
- DMA: Digital Markets Act [Hier bei uns]
- DSA: Digital Services Act [Hier bei uns]
- DORA: Digital Operational Resilience Act [Hier bei uns]
- ECA: European Chips Act [Hier bei uns]
- EPVo: E-Privacy-Verordnung
- MaRisk: Mindestanforderungen an das Risikomanagement
- MiCA: Markets in Crypto-Assets [Hier bei uns]
- NIS2: Directive on Security of Network and Information Systems [Hier bei uns]
- Supply-Chain: Lieferkettensorgfaltspflichtengesetz
- TTPF: EU-US Transparency Privacy Framework
- Geoblocking-Verordnung (EU) 2018/302: Beseitigung ungerechtfertigter Diskriminierung bei Online-Käufen [Hier bei uns]
- P2B-Verordnung für mehr Fairness [Hier bei uns]
- eEvidence-Verordnung [Hier bei uns]
DORA
DORA ist ein wichtiger Schritt in Richtung eines einheitlich hohen Cybersicherheitsniveaus im europäischen Finanzsektor. Unternehmen stehen zwar vor anspruchsvollen Aufgaben, doch letztendlich trägt dies zu einer stärkeren und sichereren digitalen Wirtschaft bei. Angesichts der kurzen Übergangsfrist bis Januar 2025 ist es ratsam, dass betroffene Unternehmen umgehend mit der Umsetzung der Vorgaben beginnen.
Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp
Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht / Technologierecht - ergänzt um Arbeitsrecht.
- Ein kritischer Blick auf das Bankgeheimnis im Kontext zivilrechtlicher Verfahren - 30. April 2024
- Antidumpingzölle und Solarmodule aus China - 30. April 2024
- Keine Beihilfe zur Einfuhr bei beendeter Tat - 29. April 2024