Start der Anwendung von DORA
Das Europäische Parlament und der Europäische Rat hatten am 14. Dezember 2022 den Digital Operational Resilience Act (DORA) beschlossen, die EU-Verordnung 2022/2554 über die digitale operationale Resilienz im Finanzsektor. DORA ist am 17. Januar 2023 in Kraft getreten und somit ab dem heutigen Tag (17. Januar 2025) anzuwenden. Das deutsche Gesetz über die Digitalisierung des Finanzmarktes (Finanzmarktdigitalisierungsgesetz – FinmadiG) dient u.A. der Umsetzung des europäischen DORA-Pakets. Es wurde am 27.12.2024 im Bundesgesetzblatt veröffentlicht und ist zwischenzeitlich in Kraft getreten.
DORA soll die digitale operationale Resilienz des gesamten europäischen Finanzsektors insbesondere in folgenden Bereichen stärken:
- IKT-Risikomanagement
- Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle
- Testen der digitalen operationalen Resilienz einschließlich sog. Threatled Penetration Testing (TLPT)
- Management des IKT-Drittparteienrisikos
- Überwachungsrahmen für kritische IKT-Drittdienstleister
- Vereinbarungen über den Austausch von Informationen sowie Cyberkrisen- und Notfallübungen
Die drei Europäischen Aufsichtsbehörden – die EU-Wertpapieraufsichtsbehörde (European Securities and Markets Authority – ESMA), die EU-Bankenaufsichtsbehörde (European Banking Authority – EBA) und die EU-Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (European Insurance and Occupational Pensions Authority – EIOPA) erarbeiten hierzu gemeinsam technische Regulierungsstandards, Implementierungsstandards und Leitlinien, welche die Anwendung von DORA weiter konkretisieren.