DORA – Digital Operational Resilience Act

Die Verordnung (EU) 2022/2554, auch bekannt als DORA (Digital Operational Resilience Act), stellt einen gesetzlichen Rahmen dar, der auf die Stärkung der digitalen Resilienz und der Aufrechterhaltung der Funktionsfähigkeit digitaler Systeme und Prozesse im europäischen Finanzsektor unter verschiedenen Bedingungen abzielt. Sie fordert von Finanzunternehmen, nachhaltige Maßnahmen zu ergreifen, um ihre Informations- und Kommunikationstechnologien (IKT) gegen Cyberbedrohungen und Störungen zu schützen. DORA harmonisiert die Anforderungen an das IKT-Risikomanagement und die Berichterstattung über IKT-bezogene Vorfälle, um die digitale Sicherheit und Resilienz zu erhöhen. Diese Regulierung ist entscheidend für die Sicherheit und Stabilität des Finanzmarktes und seiner Infrastrukturen in der EU. Sie gilt ab dem 17. Januar 2025.

Für eine tiefergehende Lektüre empfehle ich, den vollständigen Text der Verordnung auf der EUR-Lex Webseite zu konsultieren: Verordnung (EU) 2022/2554.

Zusammenfassung

Kapitel I: Allgemeine Bestimmungen (Artikel 1-3)

• Artikel 1 (Gegenstand): Einführung von Anforderungen zur Gewährleistung der digitalen Resilienz von Finanzunternehmen.
• Artikel 2 (Geltungsbereich): Anwendung auf alle Finanzunternehmen in der EU.
• Artikel 3 (Begriffsbestimmungen): Definition zentraler Begriffe wie „digitale operationelle Resilienz“, „IKT-Risiko“, etc.

Kapitel II: IKT-Risikomanagement (Artikel 4-14)

• Artikel 4 (IKT-Risikomanagementrahmen): Etablierung eines umfassenden Risikomanagementrahmens.
• Artikel 5 (Governance und Organisation): Festlegung von Governance-Strukturen.
• Artikel 6 (Risikobewertung): Regelmäßige Bewertung von IKT-Risiken.
• Artikel 7 (Schutzmaßnahmen): Implementierung technischer und organisatorischer Schutzmaßnahmen.
• Artikel 8 (Prävention): Maßnahmen zur Prävention von IKT-Vorfällen.
• Artikel 9 (Erkennung): Systeme zur frühzeitigen Erkennung von Bedrohungen.
• Artikel 10 (Reaktion und Wiederherstellung): Pläne zur Reaktion und Wiederherstellung nach Vorfällen.
• Artikel 11 (Verfügbarkeit und Kapazität): Sicherstellung der Verfügbarkeit und Kapazität von IKT-Systemen.
• Artikel 12 (IKT-Sicherheitsbewusstsein): Schulungen und Sensibilisierungsmaßnahmen.
• Artikel 13 (Überwachung und Protokollierung): Anforderungen an Überwachung und Protokollierung.
• Artikel 14 (Berichterstattung über IKT-Vorfälle): Meldepflichten bei IKT-Vorfällen.

Kapitel III: IKT-Drittparteienrisikomanagement (Artikel 15-26)

• Artikel 15 (Allgemeine Anforderungen): Regeln für das Management von IKT-Drittparteienrisiken.
• Artikel 16 (Vertragsgestaltung): Mindestanforderungen an Verträge mit IKT-Drittanbietern.
• Artikel 17 (Überwachung und Management): Kontinuierliche Überwachung und Risikomanagement.
• Artikel 18-19 (Schutzmaßnahmen): Spezielle Schutzmaßnahmen für kritische Dienstleistungen.
• Artikel 20 (Kontinuitätspläne): Kontinuitätspläne für Ausfälle von Drittanbietern.
• Artikel 21-26 (Regelungen und Verantwortlichkeiten): Klärung von Verantwortlichkeiten und detaillierte Regelungen.

Kapitel IV: Testen der digitalen Resilienz (Artikel 27-36)

• Artikel 27 (Allgemeine Anforderungen): Regelmäßige Tests zur Überprüfung der digitalen Resilienz.
• Artikel 28-30 (Interne und externe Tests): Anforderungen an interne und externe Tests sowie unabhängige Prüfungen.
• Artikel 31-33 (Berichterstattung und Nachverfolgung): Berichterstattung über Testergebnisse und Nachverfolgung von Maßnahmen.
• Artikel 34-36 (Spezielle Testanforderungen): Detaillierte Anforderungen für spezielle Testszenarien.

Kapitel V: Informationsaustausch und Meldepflichten (Artikel 37-45)

• Artikel 37 (Informationsaustausch): Förderung des Austauschs von Bedrohungsinformationen.
• Artikel 38-40 (Meldepflichten): Meldepflichten für schwerwiegende IKT-Vorfälle.
• Artikel 41-43 (Kooperation): Zusammenarbeit zwischen Finanzunternehmen und Behörden.
• Artikel 44-45 (Datenschutz und Vertraulichkeit): Sicherstellung des Datenschutzes und der Vertraulichkeit.

Kapitel VI: Aufsicht (Artikel 46-56)

• Artikel 46-48 (Aufsichtsrahmen): Etablierung eines EU-weiten Aufsichtsrahmens.
• Artikel 49-51 (Aufsichtsbehörden): Zuständigkeiten und Befugnisse der Aufsichtsbehörden.
• Artikel 52-54 (Durchsetzung): Maßnahmen zur Durchsetzung der Verordnung.
• Artikel 55-56 (Berichtspflichten): Berichtspflichten der Aufsichtsbehörden.

Kapitel VII: Sanktionen (Artikel 57-64)

• Artikel 57-60 (Sanktionen): Festlegung von Sanktionen bei Verstößen gegen die Verordnung.
• Artikel 61-64 (Rechtsbehelfe): Möglichkeiten des Rechtsbehelfs und Übergangsbestimmungen.

Begriffsbestimmungen

Bevor die Artikel im Detail beschrieben werden, erfolgt an dieser Stelle eine Zusammenfassung der unter Artikel 3 definierten Begriffe.

1. Digitale operationale Resilienz: Die Fähigkeit eines Finanzunternehmens, die Integrität und Zuverlässigkeit seiner Betriebsabläufe durch geeignete IKT-Fähigkeiten sicherzustellen, um die Netzwerk- und Informationssysteme zu schützen und die kontinuierliche Erbringung und Qualität von Finanzdienstleistungen zu gewährleisten.
2. Netzwerk- und Informationssystem: Bezieht sich auf Netz- und Informationssysteme gemäß Artikel 6 Nummer 1 der Richtlinie (EU) 2022/2555.
3. IKT-Altsystem: Ein veraltetes IKT-System, das technologisch oder wirtschaftlich nicht mehr modernisierbar ist, nicht mehr unterstützt wird, aber noch im Einsatz ist.
4. Sicherheit von Netzwerk- und Informationssystemen: Sicherheit im Kontext der Netz- und Informationssysteme gemäß Artikel 6 Nummer 2 der Richtlinie (EU) 2022/2555.
5. IKT-Risiko: Jegliches identifizierbare Risiko im Zusammenhang mit der Nutzung von Netzwerk- und Informationssystemen, das bei Eintritt Sicherheitsbedrohungen für die digitalen oder physischen Umgebungen darstellen könnte.
6. Informationsasset: Jede Sammlung von materiellen oder immateriellen Informationen, die Schutz benötigen.
7. IKT-Asset: Software oder Hardware, die innerhalb der Netzwerk- und Informationssysteme eines Finanzunternehmens verwendet wird.
8. IKT-bezogener Vorfall: Ein ungeplantes Ereignis oder eine Reihe von Ereignissen, das/die die Sicherheit der Netzwerk- und Informationssysteme beeinträchtigt und sich negativ auf die Datenintegrität oder die Dienstleistungserbringung auswirkt.
9. Zahlungsbezogener Betriebs- oder Sicherheitsvorfall: Ein ungeplantes Ereignis, unabhängig davon, ob es IKT-bezogen ist oder nicht, das die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von zahlungsbezogenen Daten oder Diensten beeinträchtigt.
10. Schwerwiegender IKT-bezogener Vorfall: Ein IKT-Vorfall mit erheblichen nachteiligen Auswirkungen auf die Netzwerk- und Informationssysteme, die für kritische oder wichtige Funktionen des Finanzunternehmens entscheidend sind.
11. Schwerwiegender zahlungsbezogener Betriebs- oder Sicherheitsvorfall: Ein zahlungsbezogener Vorfall mit erheblichen Auswirkungen auf die bereitgestellten zahlungsbezogenen Dienste.
12. Cyberbedrohung: Eine Bedrohung gemäß Artikel 2 Nummer 8 der Verordnung (EU) 2019/881, die das Potenzial hat, erheblichen Schaden zu verursachen.
13. Erhebliche Cyberbedrohung: Eine Cyberbedrohung, die das Potenzial hat, einen schwerwiegenden IKT-bezogenen oder zahlungsbezogenen Betriebs- oder Sicherheitsvorfall zu verursachen.
14. Cyberangriff: Ein böswilliger IKT-bezogener Vorfall, bei dem ein Angreifer versucht, auf Vermögenswerte schädlich zuzugreifen oder sie zu manipulieren.
15. Bedrohungsanalyse: Informationen, die für die Entscheidungsfindung im Kontext der IT-Sicherheit aufbereitet werden, um ein tieferes Verständnis und eine bessere Reaktionsfähigkeit auf IKT-bezogene Vorfälle oder Cyberbedrohungen zu ermöglichen.
16. Schwachstelle: Ein Schwachpunkt oder Defekt in einem Asset, System, Prozess oder einer Kontrolle, der ausgenutzt werden kann.
17. Bedrohungsorientierte Penetrationstests (TLPT): Simulieren realer Angriffsszenarien durch Nachahmung der Taktiken und Techniken realer Angreifer, um die Sicherheit von kritischen Live-Produktionssystemen eines Finanzunternehmens zu testen.
18. IKT-Drittparteienrisiko: Risiken, die mit der Nutzung von IKT-Dienstleistungen durch Drittanbieter verbunden sind, einschließlich Risiken durch Unterauftragnehmer und Outsourcing-Vereinbarungen.
19. IKT-Drittdienstleister: Ein Unternehmen, das IKT-Dienstleistungen anbietet.
20. Gruppeninterner IKT-Dienstleister: Ein Unternehmen innerhalb einer Finanzgruppe, das IKT-Dienstleistungen hauptsächlich für andere Unternehmen derselben Gruppe anbietet.
21. IKT-Dienstleistungen: Digitale Dienste, die dauerhaft über IKT-Systeme bereitgestellt werden, einschließlich Hardware- und Softwareservices.
22. Kritische oder wichtige Funktion: Eine Funktion, deren Ausfall oder Störung erhebliche negative Auswirkungen auf die finanzielle Stabilität oder die operativen Fähigkeiten eines Finanzunternehmens haben könnte.
23. Kritischer IKT-Drittdienstleister: Ein IKT-Dienstleister, der als kritisch für die Funktionen eines Finanzunternehmens eingestuft wird.
24. IKT-Drittdienstleister mit Sitz in einem Drittland: Ein IKT-Dienstleister, der seinen Sitz in einem Nicht-EU-Land hat, aber Dienstleistungen für EU-Finanzunternehmen erbringt.
25. Tochterunternehmen: Ein Unternehmen, das nach der Definition in den EU-Richtlinien als Tochterunternehmen eines anderen Unternehmens gilt.
26. Gruppe: Eine Sammlung von Unternehmen, die zusammen eine wirtschaftliche Einheit bilden, gemäß den EU-Richtlinien.
27. Mutterunternehmen: Ein führendes Unternehmen einer Gruppe gemäß den EU-Richtlinien.
28. IKT-Unterauftragnehmer mit Sitz in einem Drittland: Ein Unterauftragnehmer eines IKT-Dienstleisters, der seinen Sitz außerhalb der EU hat.
29. IKT-Konzentrationsrisiko: Das Risiko, das durch eine übermäßige Abhängigkeit von einem oder wenigen IKT-Dienstleistern entsteht.
30. Leitungsorgan: Die Personen oder Gremien, die die strategischen Entscheidungen eines Unternehmens treffen und seine Aktivitäten überwachen, entsprechend den Definitionen in verschiedenen EU-Richtlinien.
31. Kreditinstitut: Ein Finanzinstitut, das Einlagen annimmt und Kredite vergibt, gemäß EU-Regulierungen.
32. Nach der Richtlinie 2013/36/EU ausgenommenes Institut: Ein Institut, das bestimmten Regulierungen dieser Richtlinie nicht unterliegt.
33. Wertpapierfirma: Ein Unternehmen, das im Wertpapierhandel tätig ist, gemäß EU-Richtlinien.
34. Kleine und nicht verflochtene Wertpapierfirma: Eine Wertpapierfirma, die bestimmte Kriterien erfüllt, die sie von umfassenderen regulatorischen Anforderungen befreien.
35. Zahlungsinstitut: Ein Finanzinstitut, das autorisiert ist, Zahlungsdienste anzubieten, gemäß EU-Richtlinien.
36. Nach der Richtlinie (EU) 2015/2366 ausgenommenes Zahlungsinstitut: Ein Zahlungsinstitut, das bestimmten Teilen dieser Richtlinie nicht unterliegt.
37. Kontoinformationsdienstleister: Ein Dienstleister, der Zugang zu Kontoinformationen bietet, um Informationsdienste zu erbringen.
38. E-Geld-Institut: Ein Finanzinstitut, das elektronisches Geld ausgibt und verwaltet.
39. Nach der Richtlinie 2009/110/EG ausgenommenes E-Geld-Institut: Ein E-Geld-Institut, das bestimmten Regulierungen dieser Richtlinie nicht unterliegt.
40. Zentrale Gegenpartei: Ein Finanzinstitut, das als zentrale Stelle zwischen den Parteien eines Derivatvertrags agiert, um das Ausfallrisiko zu mindern.
41. Transaktionsregister: Ein Register, das die Details von Derivattransaktionen erfasst.
42. Zentralverwahrer: Ein Unternehmen, das die Verwahrung und Verwaltung von Wertpapieren übernimmt.
43. Handelsplatz: Ein Marktplatz, auf dem Finanzinstrumente gehandelt werden.
44. Verwalter alternativer Investmentfonds: Ein Unternehmen, das die Verwaltung von alternativen Investmentfonds durchführt.
45. Verwaltungsgesellschaft: Eine Gesellschaft, die die Verwaltung von Investmentfonds übernimmt.
46. Datenbereitstellungsdienst: Ein Dienst, der Daten bereitstellt, wie in den EU-Verordnungen definiert.
47. Versicherungsunternehmen: Ein Unternehmen, das Versicherungsleistungen anbietet, gemäß den EU-Richtlinien.
48. Rückversicherungsunternehmen: Ein Unternehmen, das Rückversicherungsdienste anbietet.
49. Versicherungsvermittler: Ein Vermittler, der Versicherungsverträge zwischen Versicherern und Versicherten vermittelt.
50. Versicherungsvermittler in Nebentätigkeit: Ein Versicherungsvermittler, der diese Tätigkeit nicht hauptberuflich ausübt.
51. Rückversicherungsvermittler: Ein Vermittler, der Rückversicherungsverträge zwischen Rückversicherern und Versicherten vermittelt.
52. Einrichtung der betrieblichen Altersversorgung: Ein System, das betriebliche Altersvorsorgeleistungen anbietet.
53. Kleine Einrichtung der betrieblichen Altersversorgung: Eine Einrichtung, die Altersvorsorgeleistungen für eine kleinere Anzahl von Versorgungsanwärtern anbietet.
54. Ratingagentur: Ein Unternehmen, das die Kreditwürdigkeit von Unternehmen und Staaten bewertet.
55. Anbieter von Krypto-Dienstleistungen: Ein Dienstleister, der Dienste im Zusammenhang mit Kryptowerten anbietet.
56. Emittent wertreferenzierter Token: Ein Emittent, der wertreferenzierte Token im Sinne der einschlägigen EU-Verordnung ausgibt.
57. Administrator kritischer Referenzwerte: Ein Administrator, der die Verwaltung kritischer Referenzwerte übernimmt.
58. Schwarmfinanzierungsdienstleister: Ein Anbieter, der Schwarmfinanzierungsdienste bereitstellt.
59. Verbriefungsregister: Ein Register, das Informationen über verbriefte Vermögenswerte erfasst.
60. Kleinstunternehmen: Ein kleines Finanzunternehmen, das unter bestimmte Schwellenwerte für Mitarbeiterzahl und Finanzkennzahlen fällt.
61. Federführende Überwachungsbehörde: Die zuständige EU-Aufsichtsbehörde für die Überwachung gemäß dieser Verordnung.
62. Gemeinsamer Ausschuss: Ein Ausschuss, der gemäß verschiedenen EU-Verordnungen im Finanzsektor tätig ist.
63. Kleinunternehmen: Ein Unternehmen, das bestimmte Größenkriterien erfüllt, aber nicht die Kriterien eines Kleinstunternehmens.
64. Mittleres Unternehmen: Ein Unternehmen, das bestimmte Größenkriterien erfüllt, aber weder als kleines noch als großes Unternehmen gilt.
65. Staatliche Behörde: Eine staatliche oder öffentliche Verwaltungseinrichtung, einschließlich nationaler Zentralbanken.

Alle Artikel in kurzer Zusammenfassung

Artikel 1: Gegenstand und Anwendungsbereich

Artikel 1 legt fest, dass die Verordnung die digitale operationelle Resilienz von Finanzunternehmen innerhalb der Europäischen Union stärken soll. Dies umfasst den Schutz gegen IKT-Risiken sowie die Sicherstellung der kontinuierlichen Funktionalität kritischer Finanzdienstleistungen. Der Anwendungsbereich umfasst Banken, Versicherungen, Wertpapierfirmen und andere im Finanzsektor tätige Unternehmen.

Artikel 2: Geltungsbereich

Artikel 2 beschreibt den Geltungsbereich der Verordnung. Sie gilt für alle in der Union tätigen Finanzunternehmen, einschließlich Kreditinstitute, Wertpapierfirmen, Zahlungsinstitute, E-Geld-Institute, Versicherungsunternehmen und bestimmte Anbieter von IKT-Dienstleistungen für Finanzunternehmen. Ziel ist es, ein hohes Maß an digitaler operationeller Resilienz im gesamten Finanzsektor der EU sicherzustellen.

Artikel 3: Begriffsbestimmungen

Artikel 3 liefert Definitionen der in der Verordnung verwendeten Begriffe. Dazu gehören „IKT-Risiko“, „IKT-bezogener Vorfall“, „digitale operationelle Resilienz“, „Finanzunternehmen“ und „IKT-Drittdienstleister“. Diese Definitionen sind essentiell, um ein einheitliches Verständnis und eine klare Anwendung der Verordnung zu gewährleisten.

Artikel 4: Grundsatz der Verhältnismäßigkeit

Artikel 4 stellt den Grundsatz der Verhältnismäßigkeit vor, der besagt, dass die Anforderungen der Verordnung entsprechend der Größe, Art, Komplexität und Risikoprofil des jeweiligen Finanzunternehmens angewendet werden. Dies bedeutet, dass kleinere und weniger komplexe Unternehmen proportional weniger aufwändige Maßnahmen umsetzen müssen, um die gleichen regulatorischen Ziele zu erreichen.

Artikel 5: Governance und Organisation

Artikel 5 fordert, dass Finanzunternehmen einen internen Governance- und Kontrollrahmen einrichten, um IKT-Risiken effektiv zu managen. Die Unternehmensleitung trägt die Verantwortung für die Festlegung und Überwachung der IKT-Risiko-Strategie, die Bereitstellung von Ressourcen und die Zuweisung klarer Verantwortlichkeiten innerhalb des Unternehmens.

Artikel 6: IKT-Risikomanagementrahmen

Artikel 6 verlangt von Finanzunternehmen die Einrichtung eines umfassenden IKT-Risikomanagementrahmens. Dieser Rahmen soll alle IKT-Risiken umfassen und Strategien, Richtlinien, Verfahren und Werkzeuge zur Sicherstellung der Verfügbarkeit, Integrität und Vertraulichkeit von Daten beinhalten. Regelmäßige Überprüfungen und Aktualisierungen sind erforderlich, um den Rahmen an aktuelle Bedrohungen anzupassen.

Artikel 7: IKT-Systeme, -Protokolle und -Tools

Artikel 7 verpflichtet Finanzunternehmen, robuste IKT-Systeme, -Protokolle und -Tools zu implementieren. Diese sollen sicherstellen, dass die IKT-Infrastruktur des Unternehmens gegen verschiedene Bedrohungen widerstandsfähig ist. Dazu gehören regelmäßige Updates, Patches und Sicherheitsmaßnahmen, um die Integrität und Sicherheit der Systeme zu gewährleisten.

Artikel 8: Identifizierung

Artikel 8 fordert die Identifizierung aller IKT-Assets und -Dienste, die für die kritischen oder wichtigen Funktionen eines Finanzunternehmens von Bedeutung sind. Dies beinhaltet die regelmäßige Bewertung und Dokumentation dieser Assets, um sicherzustellen, dass alle potenziellen Risiken erkannt und angemessen gemanagt werden können.

Artikel 9: Schutz und Prävention

Artikel 9 legt fest, dass Finanzunternehmen kontinuierlich die Sicherheit und das Funktionieren ihrer IKT-Systeme überwachen und kontrollieren müssen. Sie sollen geeignete IKT-Sicherheitstools, Richtlinien und Verfahren einsetzen, um die Auswirkungen von IKT-Risiken zu minimieren. Finanzunternehmen müssen IKT-Sicherheitsrichtlinien, -verfahren, -protokolle und -tools implementieren, um die Resilienz, Kontinuität und Verfügbarkeit ihrer IKT-Systeme zu gewährleisten. Diese Maßnahmen umfassen den Schutz der Datenübermittlungsmittel, die Minimierung von Risiken wie Datenkorruption oder unbefugtem Zugriff und den Schutz vor technischen Mängeln, die die Geschäftstätigkeit beeinträchtigen könnten.

Artikel 10: Erkennung

Artikel 10 fordert Finanzunternehmen auf, Mechanismen zur Erkennung anomaler Aktivitäten und IKT-bezogener Vorfälle einzurichten. Diese Mechanismen müssen im Einklang mit Artikel 17 stehen und sollen Probleme bei der Leistung von IKT-Netzwerken umgehend erkennen. Es sind mehrere Kontrollebenen und Alarmschwellen festzulegen, um Reaktionsprozesse auszulösen. Finanzunternehmen müssen ausreichende Ressourcen bereitstellen, um Nutzeraktivitäten und IKT-Anomalien zu überwachen. Die Wirksamkeit dieser Erkennungsmechanismen ist regelmäßig zu testen, um sicherzustellen, dass potenzielle Schwachstellen schnell identifiziert und behoben werden können .

Artikel 11: Reaktion und Wiederherstellung

Artikel 11 schreibt vor, dass Finanzunternehmen als Teil ihres IKT-Risikomanagementrahmens umfassende IKT-Geschäftsfortführungsleitlinien festlegen müssen. Diese Leitlinien sollen sicherstellen, dass kritische Funktionen fortgeführt und auf IKT-bezogene Vorfälle schnell und wirksam reagiert wird. Es müssen spezifische Pläne zur Eindämmung und Wiederherstellung erstellt und regelmäßig getestet werden. Kommunikations- und Krisenmanagementmaßnahmen sind ebenfalls zu integrieren, um sicherzustellen, dass alle relevanten internen und externen Stakeholder informiert werden und Meldungen an die zuständigen Behörden erfolgen.

Artikel 12: Richtlinie und Verfahren zum Backup sowie Verfahren und Methoden zur Wiedergewinnung und Wiederherstellung

Artikel 12 verlangt von Finanzunternehmen die Entwicklung und Dokumentation von Richtlinien und Verfahren für die Datensicherung sowie Methoden zur Wiedergewinnung und Wiederherstellung. Diese sollen sicherstellen, dass IKT-Systeme und Daten mit minimalen Ausfallzeiten wiederhergestellt werden können. Datensicherungssysteme müssen eingerichtet und regelmäßig getestet werden. Bei der Wiedergewinnung gesicherter Daten müssen IKT-Systeme verwendet werden, die physisch und logisch von den Quellsystemen getrennt sind, um einen unbefugten Zugriff zu verhindern und die rechtzeitige Wiederherstellung von Diensten zu gewährleisten.

Artikel 13: Erkennung und Meldung von IKT-bezogenen Vorfällen

Artikel 13 verpflichtet Finanzunternehmen zur Einrichtung von Prozessen zur Erkennung, Behandlung und Meldung von IKT-bezogenen Vorfällen. Alle Vorfälle müssen dokumentiert und überwacht werden, um die Ursachen zu identifizieren und Maßnahmen zur Verhinderung zukünftiger Vorfälle zu ergreifen. Diese Prozesse sollen sicherstellen, dass auf Vorfälle schnell und effektiv reagiert wird, um die Auswirkungen zu minimieren und die Geschäftskontinuität zu gewährleisten.

Artikel 14: Kommunikation

Artikel 14 fordert die Entwicklung von Kommunikationsstrategien für den Umgang mit IKT-bezogenen Vorfällen. Finanzunternehmen müssen sicherstellen, dass alle relevanten internen und externen Stakeholder, einschließlich der Öffentlichkeit, über Vorfälle und deren Auswirkungen informiert werden. Eine verantwortungsbewusste Offenlegung soll das Vertrauen in das Finanzsystem stärken und die Transparenz erhöhen. Mindestens eine Person im Unternehmen muss mit der Umsetzung der Kommunikationsstrategie betraut sein .

Artikel 15: Weitergehende Harmonisierung

Artikel 15 beschreibt die Aufgaben der Europäischen Aufsichtsbehörden (ESA) bei der Entwicklung technischer Regulierungsstandards zur Harmonisierung von IKT-Risikomanagementpraktiken. Diese Standards sollen die Sicherheit von Netzwerken gewährleisten, Schutzvorrichtungen gegen Datenmissbrauch bieten und die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten sicherstellen. Die ESA sollen bis zum 17. Januar 2024 entsprechende Standards entwickeln und der Kommission vorlegen .

Artikel 16: Vereinfachter IKT-Risikomanagementrahmen

Artikel 16 legt fest, dass kleine und nicht verflochtene Wertpapierfirmen sowie bestimmte Zahlungs- und E-Geld-Institute einem vereinfachten IKT-Risikomanagementrahmen unterliegen können. Dieser Rahmen soll sicherstellen, dass kleinere Unternehmen proportional weniger aufwändige Maßnahmen umsetzen müssen, um die regulatorischen Anforderungen zu erfüllen. Der vereinfachte Rahmen berücksichtigt die Größe und das Risikoprofil der Unternehmen.

Artikel 17: Prozess für die Behandlung von IKT-bezogenen Vorfällen

Artikel 17 verlangt von Finanzunternehmen die Einrichtung eines Prozesses zur Behandlung von IKT-bezogenen Vorfällen. Dieser Prozess soll die Erkennung, Dokumentation, Klassifizierung und Behandlung von Vorfällen sicherstellen. Frühwarnindikatoren und spezifische Verfahren müssen implementiert werden, um auf Vorfälle schnell und wirksam reagieren zu können. Der Prozess soll sicherstellen, dass die Ursachen von Vorfällen identifiziert und Maßnahmen zur Verhinderung zukünftiger Vorfälle ergriffen werden.

Artikel 18: Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen

Artikel 18 definiert die Kriterien zur Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen nach deren Schwere und Priorität. Diese Klassifizierung soll sicherstellen, dass Vorfälle entsprechend ihrer Kritikalität und den Auswirkungen auf die betroffenen Dienste effektiv behandelt werden. Finanzunternehmen müssen spezifische Verfahren zur Klassifizierung und Nachverfolgung von Vorfällen implementieren, um eine angemessene Reaktion und Wiederherstellung zu gewährleisten.

Artikel 19: Meldung schwerwiegender IKT-bezogener Vorfälle und freiwillige Meldung erheblicher Cyberbedrohungen

Artikel 19 beschreibt die Pflichten der Finanzunternehmen zur Meldung schwerwiegender IKT-bezogener Vorfälle an die zuständigen Behörden. Diese Meldungen müssen unverzüglich und in einer strukturierten Form erfolgen. Zudem können erhebliche Cyberbedrohungen freiwillig gemeldet werden. Die Meldungen sollen Informationen über die Art des Vorfalls, die betroffenen Systeme und die ergriffenen Maßnahmen zur Schadensbegrenzung und Wiederherstellung enthalten.

Artikel 20: Harmonisierung der Berichterstattung

Artikel 20 beauftragt die Europäischen Aufsichtsbehörden (ESA) mit der Entwicklung technischer Regulierungsstandards zur Harmonisierung der Meldungen über schwerwiegende IKT-bezogene Vorfälle. Dies umfasst die Festlegung von Inhalt und Form der Meldungen sowie die Fristen für die Erst- und Folgemeldungen. Ziel ist es, ein einheitliches Meldeverfahren in der gesamten EU zu schaffen, das die Effizienz und Transparenz erhöht .

Artikel 21: Zentralisierung der Berichterstattung

Artikel 21 fordert die ESA auf, die Durchführbarkeit einer zentralisierten EU-Plattform für die Meldung schwerwiegender IKT-bezogener Vorfälle zu bewerten. Diese Plattform soll die Koordination und den Informationsaustausch zwischen den zuständigen Behörden verbessern und die Kosten senken. Die ESA sollen einen Bericht über die Machbarkeit bis zum 17. Januar 2025 vorlegen.

Artikel 22: Rückmeldungen von Aufsichtsbehörden

Artikel 22 legt fest, dass die zuständigen Behörden den Finanzunternehmen nach Eingang der Meldungen Rückmeldungen oder Orientierungshilfen geben sollen. Diese sollen Informationen und Erkenntnisse zu ähnlichen Bedrohungen sowie angewandte Abhilfemaßnahmen enthalten. Zudem berichten die ESA jährlich über schwerwiegende IKT-bezogene Vorfälle in anonymisierter Form.

Artikel 23: Zahlungsbezogene Betriebs- oder Sicherheitsvorfälle, die Kreditinstitute, Zahlungsinstitute, Kontoinformationsdienstleister und E-Geld-Institute betreffen

Artikel 23 erweitert die Meldepflichten auf zahlungsbezogene Betriebs- oder Sicherheitsvorfälle, die Kreditinstitute, Zahlungsinstitute, Kontoinformationsdienstleister und E-Geld-Institute betreffen. Dies umfasst Vorfälle, die Auswirkungen auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von zahlungsbezogenen Daten haben. Die Vorschrift soll sicherstellen, dass auch nicht IKT-bezogene Vorfälle, die den Zahlungsverkehr betreffen, gemeldet werden, um eine umfassende Überwachung und Reaktion zu ermöglichen​

Artikel 24: Allgemeine Anforderungen für das Testen der digitalen operationalen Resilienz

Artikel 24 legt allgemeine Anforderungen für das Testen der digitalen operationalen Resilienz fest. Finanzunternehmen müssen ein umfassendes Testprogramm entwickeln, um ihre Vorbereitung auf IKT-bezogene Vorfälle zu bewerten, Schwächen zu identifizieren und Korrekturmaßnahmen zu ergreifen. Dieses Programm umfasst eine Reihe von Tests und Bewertungen, die gemäß den in Artikel 25 und 26 beschriebenen Methoden durchgeführt werden. Ein risikobasierter Ansatz ist erforderlich, wobei die sich entwickelnden IKT-Risiken und die Kritikalität der Informationsassets berücksichtigt werden​.

Artikel 25: Testen von IKT-Tools und -Systemen

Artikel 25 beschreibt die spezifischen Tests, die im Rahmen des Programms für die digitale operationale Resilienz durchgeführt werden müssen. Dazu gehören Schwachstellenbewertung und -scans, Netzwerksicherheitsbewertungen, Lückenanalysen, Überprüfungen der physischen Sicherheit, Quellcodeprüfungen, szenariobasierte Tests, Kompatibilitätstests, Leistungstests, End-to-End-Tests und Penetrationstests. Zentralverwahrer und zentrale Gegenparteien müssen Schwachstellenbewertungen vor dem Einsatz neuer Anwendungen oder Infrastrukturkomponenten durchführen​.

Artikel 26: Erweiterte Tests von IKT-Tools, -Systemen und -Prozessen auf Basis von TLPT

Artikel 26 fordert von bestimmten Finanzunternehmen, mindestens alle drei Jahre erweiterte Tests ihrer IKT-Systeme durchzuführen, einschließlich bedrohungsorientierter Penetrationstests (TLPT). Diese Tests müssen mehrere oder alle kritischen oder wichtigen Funktionen eines Finanzunternehmens einbeziehen und an Live-Produktionssystemen durchgeführt werden. Die Häufigkeit der Tests kann basierend auf dem Risikoprofil des Unternehmens angepasst werden​-

Artikel 27: Anforderungen an Tester bezüglich der Durchführung von TLPT

Artikel 27 beschreibt die Qualifikationen und Anforderungen an Tester, die TLPT durchführen. Diese Tester müssen über das notwendige Fachwissen und die Erfahrung verfügen, um die Tests effektiv und sicher durchzuführen. Die Testergebnisse sollen dazu verwendet werden, die Sicherheit und Resilienz der IKT-Systeme zu verbessern. Es sind Maßnahmen zur Vermeidung von Interessenkonflikten und zur Sicherstellung der Unabhängigkeit der Tester zu ergreifen​-

Artikel 28: Allgemeine Prinzipien des Managements des IKT-Drittparteienrisikos

Artikel 28 verlangt von Finanzunternehmen, dass das Management von IKT-Drittparteienrisiken als integraler Bestandteil des IKT-Risikomanagementrahmens behandelt wird. Dazu gehören strenge Sicherheits- und Risikomanagementvorgaben in Verträgen mit IKT-Drittanbietern sowie regelmäßige Überwachung und Bewertung der Leistung der Drittanbieter. Ziel ist es, die Abhängigkeiten und Risiken, die durch die Nutzung von IKT-Drittanbietern entstehen, zu minimieren​.

Artikel 29: Vorläufige Bewertung des IKT-Konzentrationsrisikos auf Unternehmensebene

Artikel 29 verpflichtet Finanzunternehmen, das IKT-Konzentrationsrisiko vor dem Abschluss vertraglicher Vereinbarungen zu bewerten. Dies beinhaltet die Analyse, ob ein geplanter Vertrag mit einem nicht leicht ersetzbaren IKT-Drittdienstleister oder mit mehreren verknüpften Anbietern abgeschlossen wird. Die Unternehmen sollen Nutzen und Kosten alternativer Lösungen abwägen, insbesondere wenn Unterauftragsvergaben an IKT-Drittanbieter in Drittländern geplant sind. Sie müssen auch die Insolvenzbestimmungen und die Wiederherstellung der Daten im Falle einer Insolvenz des Dienstleisters berücksichtigen​.

Artikel 30: Wesentliche Vertragsbestimmungen

Artikel 30 legt die Mindestanforderungen für vertragliche Vereinbarungen zwischen Finanzunternehmen und IKT-Drittdienstleistern fest. Dazu gehören klare Beschreibungen der zu erbringenden Dienste, Bedingungen für Unterauftragsvergaben, Standortangaben für die Datenverarbeitung, Datenschutzbestimmungen, Regelungen zur Datenwiederherstellung bei Insolvenz und Unterstützung bei IKT-Vorfällen. Die Verträge müssen auch die Rechte und Pflichten beider Parteien detailliert beschreiben und entsprechende Kündigungsrechte sowie Mindestkündigungsfristen enthalten​.

Artikel 31: Einstufung kritischer IKT-Drittdienstleister

Artikel 31 beschreibt die Einstufung von IKT-Drittdienstleistern als kritisch. Die ESA nehmen diese Einstufung basierend auf systemischen Auswirkungen, der Anzahl der betroffenen Finanzunternehmen und der Substituierbarkeit der Dienstleister vor. Die federführende Überwachungsbehörde wird für jeden kritischen IKT-Drittdienstleister benannt, und eine Liste dieser Dienstleister wird jährlich veröffentlicht. IKT-Drittdienstleister können zudem freiwillig eine Einstufung als kritisch beantragen​.

Artikel 32: Struktur des Überwachungsrahmens

Artikel 32 beschreibt die Struktur des Überwachungsrahmens für kritische IKT-Drittdienstleister. Der Gemeinsame Ausschuss richtet ein Überwachungsforum ein, das die Arbeit des Gemeinsamen Ausschusses und der federführenden Überwachungsbehörde unterstützt. Dieses Forum fördert einen kohärenten Ansatz bei der Überwachung des IKT-Drittparteienrisikos und führt jährliche Bewertungen der Überwachungsergebnisse durch.

Artikel 33: Aufgaben der federführenden Überwachungsbehörde

Artikel 33 legt die spezifischen Aufgaben der federführenden Überwachungsbehörde fest. Diese umfassen die Überwachung der Einhaltung von Vorschriften durch kritische IKT-Drittdienstleister, die Durchführung von Inspektionen und Audits sowie die Erteilung von Empfehlungen zur Verbesserung der Sicherheitsmaßnahmen. Die Behörde hat umfassende Befugnisse zur Durchführung von Ermittlungen und zur Anforderung von Informationen.

Artikel 34: Operative Zusammenarbeit zwischen den federführenden Überwachungsbehörden

Artikel 34 fordert eine enge Zusammenarbeit zwischen den federführenden Überwachungsbehörden der verschiedenen Mitgliedstaaten. Diese Behörden sollen koordinierte Überwachungsstrategien entwickeln und operative Ansätze abstimmen. Zudem können sie auf Ad-hoc-Basis die Europäische Zentralbank (EZB) und die Europäische Agentur für Netz- und Informationssicherheit (ENISA) um fachliche Beratung ersuchen.

Artikel 35: Befugnisse der federführenden Überwachungsbehörde

Artikel 35 beschreibt die Befugnisse der federführenden Überwachungsbehörde, einschließlich der Anforderung von Informationen und Unterlagen, der Durchführung von allgemeinen Untersuchungen und Inspektionen sowie der Erteilung von Empfehlungen. Die Behörde kann nach Abschluss der Überwachungstätigkeiten Berichte anfordern, in denen die ergriffenen Maßnahmen zur Einhaltung der Sicherheitsvorgaben aufgeführt sind.

Artikel 36: Ausübung der Befugnisse der federführenden Überwachungsbehörde außerhalb der Union

Artikel 36 regelt die Ausübung der Befugnisse der federführenden Überwachungsbehörde an Standorten außerhalb der Union. Dies ist notwendig, wenn die Überwachungsziele nicht durch Interaktionen innerhalb der Union erreicht werden können. Die Behörde kann Inspektionen an Standorten in Drittländern durchführen, sofern der betreffende kritische IKT-Drittdienstleister zustimmt und die zuständige Behörde des Drittlands informiert wurde.

Artikel 37: Auskunftsersuchen

Artikel 37 erlaubt der federführenden Überwachungsbehörde, kritische IKT-Drittdienstleister zur Bereitstellung aller notwendigen Informationen und Unterlagen zu ersuchen. Dies umfasst Geschäfts- oder Betriebsunterlagen, Verträge, Dokumentationen und Berichte über IKT-bezogene Vorfälle. Die Informationen müssen innerhalb einer festgelegten Frist bereitgestellt werden, und unvollständige oder falsche Angaben können mit Zwangsgeldern geahndet werden.

Artikel 38: Allgemeine Untersuchungen

Artikel 38 ermöglicht der federführenden Überwachungsbehörde die Durchführung allgemeiner Untersuchungen bei kritischen IKT-Drittdienstleistern. Diese Untersuchungen umfassen die Prüfung von Aufzeichnungen, Daten und Verfahren sowie die Befragung von Vertretern der Dienstleister. Die Behörde kann beglaubigte Kopien von relevanten Unterlagen anfertigen oder verlangen und ist befugt, Aufzeichnungen von Telefongesprächen und Datenübermittlungen anzufordern.

Artikel 39: Inspektionen

Artikel 39 beschreibt die Durchführung von Inspektionen durch die federführende Überwachungsbehörde. Diese Inspektionen können in sämtlichen Geschäftsräumen, Grundstücken oder Gebäuden des IKT-Drittdienstleisters stattfinden. Die Inspektionen erstrecken sich auf alle relevanten IKT-Systeme, Netzwerke und Daten, die für die Erbringung von IKT-Dienstleistungen genutzt werden. Die Behörde muss die Inspektionen rechtzeitig ankündigen, es sei denn, eine Not- oder Krisensituation macht dies unmöglich.

Artikel 40: Laufende Überwachung

Artikel 40 regelt die laufende Überwachung von kritischen IKT-Drittdienstleistern durch die federführende Überwachungsbehörde, unterstützt von einem gemeinsamen Untersuchungsteam. Das Team setzt sich aus Mitarbeitern der ESA, der zuständigen nationalen Behörden und auf freiwilliger Basis der jeweiligen nationalen Aufsichtsbehörden zusammen. Diese Überwachung umfasst allgemeine Untersuchungen und Inspektionen, um die Einhaltung der Sicherheitsvorgaben sicherzustellen.

Artikel 41: Harmonisierung der Voraussetzungen für die Durchführung der Überwachungstätigkeiten

Artikel 41 beschreibt die Entwicklung technischer Regulierungsstandards durch die ESA, um die Voraussetzungen für die Durchführung der Überwachungstätigkeiten zu harmonisieren. Diese Standards umfassen Informationen, die von IKT-Drittdienstleistern bereitgestellt werden müssen, die Struktur und den Inhalt von Meldungen und Berichten sowie die Kriterien für die Zusammensetzung gemeinsamer Untersuchungsteams.

Artikel 42: Folgemaßnahmen zuständiger Behörden

Artikel 42 legt fest, dass kritische IKT-Drittdienstleister der federführenden Überwachungsbehörde innerhalb von 60 Tagen nach Erhalt von Empfehlungen mitteilen müssen, ob sie diese befolgen oder eine Erklärung für die Nichtbefolgung vorlegen. Die Behörde informiert die zuständigen Behörden und kann öffentliche Bekanntmachungen über Nichteinhaltungen machen, um die Transparenz zu erhöhen und die Einhaltung zu fördern.

Artikel 43: Überwachungsgebühren

Artikel 43 beschreibt die Erhebung von Gebühren durch die federführende Überwachungsbehörde, um die Kosten der Überwachung zu decken. Diese Gebühren sollen die notwendigen Ausgaben für Überwachungsaufgaben vollständig abdecken. Die Höhe der Gebühren wird durch einen delegierten Rechtsakt der Kommission festgelegt und soll in einem angemessenen Verhältnis zum Umsatz des kritischen IKT-Drittdienstleisters stehen.

Artikel 44: Internationale Zusammenarbeit

Artikel 44 ermöglicht die ESA, Verwaltungsvereinbarungen mit Regulierungs- und Überwachungsbehörden von Drittländern zu schließen, um die internationale Zusammenarbeit im Bereich des IKT-Drittparteienrisikos zu fördern. Diese Zusammenarbeit umfasst die Entwicklung bewährter Verfahren für die Überprüfung und Überwachung von IKT-Risikomanagementverfahren sowie Maßnahmen zur Abmilderung von Risiken und zur Reaktion auf Vorfälle.

Artikel 45: Vereinbarungen über den Austausch von Informationen und Erkenntnissen zu Cyberbedrohungen

Artikel 45 erlaubt Finanzunternehmen, Informationen und Erkenntnisse über Cyberbedrohungen untereinander auszutauschen. Dieser Austausch soll die digitale operationale Resilienz stärken, indem er für Bedrohungen sensibilisiert und Verteidigungsfähigkeiten verbessert. Der Austausch muss innerhalb vertrauenswürdiger Gemeinschaften erfolgen und durch Vereinbarungen geregelt sein, die den Schutz sensibler Informationen und die Einhaltung der Datenschutzvorgaben sicherstellen.

Artikel 46: Zuständige Behörden

Artikel 46 legt fest, welche Behörden für die Durchsetzung der Verordnung zuständig sind. Diese Behörden sind je nach Art des Finanzunternehmens unterschiedlich, zum Beispiel die Europäische Zentralbank (EZB) für bedeutende Kreditinstitute, nationale Behörden für Versicherungsunternehmen und Wertpapierfirmen sowie spezifische Aufsichtsbehörden für Anbieter von Krypto-Dienstleistungen, Zentralverwahrer und Verbriefungsregister. Diese Regelung soll sicherstellen, dass die Verordnung von spezialisierten und kompetenten Stellen überwacht wird, die mit den jeweiligen Sektoren vertraut sind​.

Artikel 47: Zusammenarbeit mit den durch die Richtlinie (EU) 2022/2555 geschaffenen Strukturen und Behörden

Artikel 47 beschreibt die Zusammenarbeit zwischen den zuständigen Behörden der Verordnung und den Strukturen und Behörden, die durch die Richtlinie (EU) 2022/2555 geschaffen wurden. Dies umfasst den Austausch von Informationen und die Koordination von Aufsichtsaktivitäten, um Überschneidungen zu vermeiden und eine kohärente Aufsicht sicherzustellen. Die Behörden können Kooperationsvereinbarungen schließen, um wirksame und schnelle Koordinierungsmechanismen zu gewährleisten​.

Artikel 48: Zusammenarbeit der Behörden

Artikel 48 fordert eine enge Zusammenarbeit zwischen den zuständigen Behörden und der federführenden Überwachungsbehörde. Diese Zusammenarbeit umfasst den Austausch relevanter Informationen über kritische IKT-Drittdienstleister, die zur Wahrnehmung der jeweiligen Aufgaben erforderlich sind. Ziel ist es, die Überwachungsaktivitäten zu koordinieren und sicherzustellen, dass alle relevanten Risiken und Maßnahmen gemeinsam adressiert werden​.

Artikel 49: Sektorübergreifende Übungen, Kommunikation und Zusammenarbeit im Finanzbereich

Artikel 49 ermöglicht den Europäischen Aufsichtsbehörden (ESA) die Durchführung sektorübergreifender Übungen und die Einrichtung von Mechanismen für den Austausch bewährter Verfahren zwischen den Finanzsektoren. Diese Maßnahmen sollen die Lageerfassung verbessern und gemeinsame Cyberanfälligkeiten und -risiken identifizieren. Zudem sollen Krisenmanagement- und Notfallübungen entwickelt werden, um eine koordinierte Reaktion auf schwerwiegende grenzüberschreitende IKT-bezogene Vorfälle zu ermöglichen​.

Artikel 50: Verwaltungsrechtliche Sanktionen und Abhilfemaßnahmen

Artikel 50 beschreibt die Befugnisse der zuständigen Behörden zur Verhängung von verwaltungsrechtlichen Sanktionen und Abhilfemaßnahmen. Diese umfassen den Zugriff auf Unterlagen, die Durchführung von Vor-Ort-Inspektionen, das Verlangen von Korrekturmaßnahmen und die Abgabe öffentlicher Bekanntmachungen. Die Mitgliedstaaten müssen sicherstellen, dass diese Sanktionen wirksam, verhältnismäßig und abschreckend sind. Zudem können die Behörden Maßnahmen ergreifen, um sicherzustellen, dass Finanzunternehmen die rechtlichen Anforderungen weiterhin erfüllen​.

Artikel 51: Ausübung der Befugnis zur Auferlegung von verwaltungsrechtlichen Sanktionen und Abhilfemaßnahmen

Artikel 51 beschreibt, wie die zuständigen Behörden ihre Befugnisse zur Auferlegung verwaltungsrechtlicher Sanktionen und Abhilfemaßnahmen ausüben. Diese Befugnisse können direkt, in Zusammenarbeit mit anderen Behörden, durch Übertragung an andere Behörden oder durch Antragstellung bei den Justizbehörden ausgeübt werden. Bei der Festlegung von Art und Umfang der Sanktionen berücksichtigen die Behörden die Schwere, Dauer und Vorsätzlichkeit des Verstoßes sowie die Finanzkraft und den Grad der Verantwortung der betroffenen Person​.

Artikel 52: Strafrechtliche Sanktionen

Artikel 52 gibt den Mitgliedstaaten die Möglichkeit, strafrechtliche Sanktionen für Verstöße festzulegen. Wenn strafrechtliche Sanktionen vorgesehen sind, müssen die Mitgliedstaaten sicherstellen, dass die zuständigen Behörden die notwendigen Befugnisse haben, um mit Justiz-, Strafverfolgungs- oder Strafjustizbehörden zusammenzuarbeiten. Dies beinhaltet den Austausch von Informationen im Zusammenhang mit strafrechtlichen Ermittlungen oder Verfahren wegen Verstößen gegen die Verordnung​.

Artikel 53: Mitteilungspflichten

Artikel 53 verpflichtet die Mitgliedstaaten, der Kommission sowie den Europäischen Aufsichtsbehörden (EBA, ESMA und EIOPA) bis zum 17. Januar 2025 die nationalen Gesetze und Vorschriften zur Umsetzung der Verordnung mitzuteilen. Änderungen dieser Vorschriften müssen unverzüglich gemeldet werden. Dies stellt sicher, dass die EU-Behörden über den nationalen Umsetzungsstand informiert sind und Anpassungen überwachen können​.

Artikel 54: Öffentliche Bekanntmachung verwaltungsrechtlicher Sanktionen

Artikel 54 fordert die zuständigen Behörden auf, jede Entscheidung zur Verhängung einer verwaltungsrechtlichen Sanktion auf ihren offiziellen Websites zu veröffentlichen. Diese Bekanntmachungen müssen Informationen über Art und Natur des Verstoßes sowie die Identität der verantwortlichen Personen enthalten. Wenn die Bekanntmachung unverhältnismäßigen Schaden verursachen oder laufende Ermittlungen gefährden würde, können die Behörden die Veröffentlichung aufschieben, anonymisieren oder unterlassen​.

Artikel 55: Wahrung des Berufsgeheimnisses

Artikel 55 legt fest, dass alle vertraulichen Informationen, die gemäß der Verordnung empfangen, ausgetauscht oder übermittelt werden, dem Berufsgeheimnis unterliegen. Personen, die bei zuständigen Behörden oder anderen beteiligten Organisationen beschäftigt sind, dürfen diese Informationen nicht weitergeben, es sei denn, dies ist durch Unionsrecht oder nationales Recht vorgesehen. Die Wahrung des Berufsgeheimnisses schützt die Vertraulichkeit sensibler Informationen und gewährleistet den Datenschutz​.

Artikel 56: Datenschutz

Artikel 56 stellt sicher, dass alle personenbezogenen Daten, die im Rahmen der Verordnung verarbeitet werden, im Einklang mit der Datenschutz-Grundverordnung (EU) 2016/679 und der Verordnung (EU) 2018/1725 verarbeitet werden. Die Daten dürfen nur zur Erfüllung der in der Verordnung festgelegten Pflichten und Aufgaben genutzt werden und müssen nach spätestens 15 Jahren gelöscht werden, es sei denn, es bestehen anhängige Gerichtsverfahren​.

Artikel 57: Ausübung der Befugnisübertragung

Artikel 57 überträgt der Europäischen Kommission die Befugnis, delegierte Rechtsakte zur Ergänzung der Verordnung zu erlassen. Diese Befugnis wird für einen Zeitraum von fünf Jahren ab dem 17. Januar 2024 übertragen und kann durch das Europäische Parlament oder den Rat widerrufen werden. Die Kommission ist verpflichtet, vor dem Erlass eines delegierten Rechtsakts die von den Mitgliedstaaten benannten Sachverständigen zu konsultieren​.

Artikel 58: Überprüfungsklausel

Artikel 58 verlangt, dass die Kommission bis zum 17. Januar 2028 eine Überprüfung der Verordnung durchführt und dem Europäischen Parlament und dem Rat einen Bericht vorlegt. Die Überprüfung muss die Kriterien für die Benennung kritischer IKT-Drittdienstleister, die Freiwilligkeit der Meldung erheblicher Cyberbedrohungen und die Regelung der Befugnisse der federführenden Überwachungsbehörde umfassen. Außerdem wird die Notwendigkeit der Einbeziehung von Abschlussprüfern und Prüfungsgesellschaften in den Geltungsbereich der Verordnung überprüft​.

Artikel 59: Änderungen der Verordnung (EG) Nr. 1060/2009

Artikel 59 ändert die Verordnung (EG) Nr. 1060/2009 über Ratingagenturen, um sicherzustellen, dass diese über robuste IKT-Systeme und -Prozesse verfügen. Die Änderungen umfassen Anforderungen an die Verwaltung, die Rechnungslegung und die internen Kontrollmechanismen von Ratingagenturen​.

Artikel 60: Änderungen der Verordnung (EU) Nr. 648/2012

Artikel 60 ändert die Verordnung (EU) Nr. 648/2012 über zentrale Gegenparteien (CCP), um sicherzustellen, dass diese angemessenen IKT-Systeme und -Prozesse betreiben. Die Änderungen betreffen die Organisationsstruktur, die Geschäftsfortführungsleitlinien und die Notfallwiederherstellungspläne der CCP​.

Artikel 61: Änderungen der Verordnung (EU) Nr. 909/2014

Artikel 61 ändert die Verordnung (EU) Nr. 909/2014 über Zentralverwahrer, um sicherzustellen, dass diese robusten IKT-Systeme und -Prozesse implementieren. Die Änderungen betreffen die Anforderungen an die Geschäftsfortführungsleitlinien, die Notfallwiederherstellungspläne und die Risikoüberwachung der Zentralverwahrer​.

Artikel 62: Änderungen der Verordnung (EU) Nr. 600/2014

Artikel 62 ändert die Verordnung (EU) Nr. 600/2014 über Märkte für Finanzinstrumente, um sicherzustellen, dass Anbieter von Datenbereitstellungsdiensten wie APAs, CTPs und ARMs den Anforderungen der Verordnung (EU) 2022/2554 in Bezug auf die Sicherheit von IKT-Systemen entsprechen. Die Änderungen betreffen die organisatorischen Anforderungen und die Sicherheitsvorgaben für diese Dienstleister​.

Artikel 63: Änderungen der Verordnung (EU) 2016/1011

Artikel 63 ändert die Verordnung (EU) 2016/1011 über Benchmarks, um sicherzustellen, dass Administratoren kritischer Referenzwerte über robuste IKT-Systeme und -Prozesse verfügen. Die Änderungen umfassen Anforderungen an die Verwaltung, die Rechnungslegung und die internen Kontrollmechanismen der Administratoren​.

Artikel 64: Inkrafttreten und Anwendung

Artikel 64 legt fest, dass die Verordnung am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft tritt und ab dem 17. Januar 2025 gilt. Die Verordnung ist in allen Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat​.

 

Erwägungsgründe

Die 106 Erwägungsgründe der DORA-Verordnung legen den Rahmen und die Begründungen für die verschiedenen Vorschriften fest. Sie umfassen Themen wie die Notwendigkeit der Stärkung der IKT-Resilienz im Finanzsektor, die Bedeutung der Sicherheit von Netz- und Informationssystemen, den Schutz vor und die Reaktion auf IKT-bezogene Vorfälle, die Rolle von Drittanbietern und die Bedeutung des internationalen Austauschs und der Kooperation. Sie berücksichtigen auch die speziellen Anforderungen für kritische Sektoren und stellen sicher, dass die Regeln der Datenschutz-Grundverordnung eingehalten werden.

1. Digitalisierung im Finanzsektor: Betont die zunehmende Abhängigkeit des Finanzsektors von digitalen Technologien und die daraus resultierenden Risiken für die Stabilität des Finanzsystems.

2. Bedeutung der ICT-Resilienz: Hebt hervor, wie wichtig eine starke ICT-Resilienz für die Sicherheit und Integrität des Finanzmarktes ist.
3. Harmonisierung der Vorschriften: Unterstreicht die Notwendigkeit, EU-weit harmonisierte Vorschriften einzuführen, um eine konsistente ICT-Resilienz im gesamten Binnenmarkt zu gewährleisten.
4. Schutz vor ICT-Risiken: Diskutiert die Bedeutung von Schutzmaßnahmen gegen eine Vielzahl von ICT-Risiken, einschließlich Cyberangriffe, Datenverlust und Systemausfälle.
5. Verwaltung von ICT-Risiken: Erläutert die Notwendigkeit für Finanzunternehmen, wirksame Mechanismen zur Erkennung, Bewertung, Überwachung und Minderung von ICT-Risiken zu implementieren.
6. Konsistenz in der Regulierung: Betont die Bedeutung einer einheitlichen Anwendung der Regulierungsvorschriften über alle Mitgliedstaaten hinweg, um gleiche Wettbewerbsbedingungen zu schaffen.
7. Bedeutung von Tests: Diskutiert die Notwendigkeit regelmäßiger Tests der ICT-Systeme durch Finanzunternehmen, um deren Widerstandsfähigkeit zu überprüfen.
8. Management von ICT-bezogenen Vorfällen: Hebt die Wichtigkeit eines effektiven Incident-Management-Systems hervor, das schnelle Reaktionen auf ICT-Störungen ermöglicht.
9. Bedeutung des Datenschutzes: Unterstreicht die Notwendigkeit, bei der Umsetzung von Sicherheitsmaßnahmen stets die Datenschutzregelungen zu beachten.
10. Transparenz und Berichterstattung: Betont die Wichtigkeit der Transparenz gegenüber den Aufsichtsbehörden durch regelmäßige Berichte über ICT-Risiken und -Vorfälle.
11. Wichtigkeit der Interoperabilität: Betont die Notwendigkeit, dass Sicherheitssysteme und Prozesse interoperabel sind, um eine effektive Zusammenarbeit und Kommunikation zwischen Finanzunternehmen zu ermöglichen.

1. Schulungen für Mitarbeiter: Diskutiert die Bedeutung regelmäßiger Schulungen für Mitarbeiter in Finanzunternehmen, um sicherzustellen, dass diese über die notwendigen Kenntnisse zum Umgang mit ICT-Risiken verfügen.
2. Verantwortlichkeit der Führungsebenen: Hebt hervor, dass die obersten Führungsebenen der Finanzunternehmen direkt für die Überwachung und das Management von ICT-Risiken verantwortlich sind.
3. Wichtigkeit der Notfallwiederherstellung: Unterstreicht die Bedeutung robuster Notfallwiederherstellungspläne, um nach ICT-Störungen eine schnelle Wiederherstellung kritischer Funktionen und Dienste sicherzustellen.
4. Kooperation mit Behörden: Betont, dass eine enge Kooperation zwischen Finanzunternehmen und nationalen sowie europäischen Aufsichtsbehörden entscheidend ist, um die Einhaltung der Vorschriften zu garantieren und ICT-Risiken effektiv zu managen.
5. Frühzeitige Risikoerkennung: Diskutiert die Bedeutung der Implementierung von Systemen zur frühzeitigen Erkennung von Risiken, um präventive Maßnahmen ergreifen zu können.
6. Anpassung an neue Technologien: Hebt die Notwendigkeit hervor, Sicherheitsmaßnahmen stetig an den Stand der Technik und neue Bedrohungslagen anzupassen.
7. Transparenz gegenüber Stakeholdern: Betont die Wichtigkeit der Transparenz von Finanzunternehmen gegenüber Stakeholdern, einschließlich Kunden und Investoren, bezüglich der Handhabung und des Managements von ICT-Risiken.
8. Einbindung externer Experten: Diskutiert, wie die Einbindung externer Sicherheitsexperten dazu beitragen kann, die Resilienz von Finanzunternehmen gegenüber ICT-Risiken zu verbessern.
9. Datenschutz und -sicherheit: Unterstreicht die Notwendigkeit, dass alle Maßnahmen zur ICT-Sicherheit auch den Datenschutz berücksichtigen und die Privatsphäre der Nutzer schützen.
10. Reaktion auf Sicherheitsvorfälle: Betont die Notwendigkeit schneller und effizienter Reaktionen auf Sicherheitsvorfälle, um Schäden zu minimieren und die Wiederherstellung zu beschleunigen.
11. Risikomanagement als kontinuierlicher Prozess: Unterstreicht, dass Risikomanagement ein fortlaufender Prozess ist, der ständige Überwachung und Anpassung erfordert.
12. Einhaltung internationaler Standards: Hebt die Bedeutung der Einhaltung international anerkannter Sicherheitsstandards hervor, um die Sicherheit und Integrität der Systeme zu gewährleisten.
13. Bedeutung der Kundenkommunikation: Diskutiert die Notwendigkeit, Kunden klar und transparent über die Risikomanagementpraktiken und den Schutz ihrer Daten zu informieren.
14. Zusammenarbeit auf internationaler Ebene: Betont die Notwendigkeit internationaler Zusammenarbeit, um grenzüberschreitende ICT-Risiken effektiv zu adressieren und zu mindern.
15. Wichtigkeit der Datenintegrität: Unterstreicht die kritische Bedeutung der Integrität und Verfügbarkeit der Daten in Finanzsystemen.
16. Förderung von Forschung und Entwicklung: Diskutiert die Bedeutung der Förderung von Forschung und Entwicklung im Bereich ICT-Sicherheit, um fortschrittliche Lösungen zu entwickeln.
17. Anforderungen an die Berichterstattung: Hebt die Notwendigkeit hervor, dass Unternehmen genaue und zeitnahe Berichte über ICT-Risiken und Sicherheitsvorfälle erstellen.
18. Rollen der verschiedenen Akteure: Betont, dass alle Akteure im Finanzsystem, von Einzelpersonen bis hin zu großen Institutionen, eine Rolle im ICT-Risikomanagement spielen.
19. Stärkung der Resilienz gegenüber Cyberangriffen: Diskutiert die Notwendigkeit, speziell die Resilienz gegenüber Cyberangriffen zu stärken, die als eine der größten Bedrohungen für die Finanzstabilität angesehen werden.
20. Notwendigkeit von Notfallplänen: Hebt die Wichtigkeit der Entwicklung und regelmäßigen Überprüfung von Notfallplänen hervor, um auf unvorhergesehene Ereignisse reagieren zu können.
21. Schutz kritischer Infrastrukturen: Betont die Bedeutung des Schutzes kritischer Infrastrukturen im Finanzsektor vor ICT-Risiken.
22. Klare Verantwortlichkeiten und Zuständigkeiten: Diskutiert die Notwendigkeit klar definierter Verantwortlichkeiten und Zuständigkeiten innerhalb der Organisationen für das Management von ICT-Risiken.
23. Integration von ICT-Risikomanagement in die Unternehmensführung: Unterstreicht, dass das ICT-Risikomanagement integraler Bestandteil der Unternehmensführung und -strategie sein muss.
24. Präventive Maßnahmen gegen Datenverlust: Hebt die Bedeutung präventiver Maßnahmen hervor, um Datenverlust zu verhindern und die Wiederherstellung nach Verlust zu beschleunigen.
25. Ganzheitliche Risikomanagementansätze: Betont die Notwendigkeit eines ganzheitlichen Ansatzes für das ICT-Risikomanagement, der alle Aspekte der Unternehmensführung umfasst.
26. Berücksichtigung von Drittparteien: Unterstreicht die Wichtigkeit der Berücksichtigung von Risiken, die durch Drittparteien, insbesondere Dienstleister, entstehen können.
27. Integration von Sicherheitsmaßnahmen in Geschäftsprozesse: Diskutiert die Notwendigkeit der Integration von Sicherheitsmaßnahmen in die täglichen Geschäftsprozesse und Entscheidungen.
28. Anpassung an die digitale Transformation: Betont die Bedeutung der Anpassung von Sicherheitsstrategien an die schnelle digitale Transformation in der Finanzbranche.
29. Wichtigkeit einer robusten Governance-Struktur: Hebt die Notwendigkeit einer robusten Governance-Struktur hervor, um effektive Kontrollen und das Management von ICT-Risiken sicherzustellen.
30. Verantwortung der Unternehmensleitung: Betont, dass die Unternehmensleitung eine Schlüsselrolle bei der Förderung einer Kultur der Sicherheit und des Risikobewusstseins spielt.
31. Schutz personenbezogener Daten: Diskutiert die Wichtigkeit des Schutzes personenbezogener Daten im Kontext des ICT-Risikomanagements.
32. Bedeutung der Datenqualität: Unterstreicht, wie entscheidend die Qualität der Daten für die Risikoanalyse und Entscheidungsfindung ist.
33. Förderung der Zusammenarbeit zwischen Unternehmen: Hebt hervor, wie wichtig die Zusammenarbeit zwischen verschiedenen Finanzunternehmen für den Austausch von Best Practices und die Verbesserung der Sicherheitsstandards ist.
34. Einhaltung gesetzlicher Anforderungen: Diskutiert die Bedeutung der Einhaltung aller relevanten gesetzlichen und regulatorischen Anforderungen.
35. Sicherheitsbewertungen von Produkten und Dienstleistungen: Betont die Notwendigkeit, Sicherheitsbewertungen für alle neuen und bestehenden Produkte und Dienstleistungen durchzuführen.
36. Förderung der Cyber-Resilienz: Unterstreicht die Bedeutung der Förderung der Cyber-Resilienz als wesentlichen Bestandteil der Geschäftstätigkeit von Finanzunternehmen.
37. Bewertung der Auswirkungen von ICT-Risiken: Diskutiert, wie wichtig es ist, die potenziellen Auswirkungen von ICT-Risiken auf die Geschäftstätigkeit zu bewerten.
38. Verbesserung der Incident-Response-Fähigkeiten: Hebt die Notwendigkeit hervor, die Fähigkeiten zur Reaktion auf Sicherheitsvorfälle kontinuierlich zu verbessern.
39. Verwendung fortschrittlicher Technologien zur Risikominderung: Diskutiert den Einsatz fortschrittlicher Technologien wie Künstliche Intelligenz und Maschinelles Lernen zur Erkennung und Minderung von Risiken.
40. Wichtigkeit regelmäßiger Updates und Wartung: Betont die Notwendigkeit regelmäßiger Updates und Wartung von Systemen, um Sicherheitslücken zu vermeiden.
41. Bewertung der Effektivität von Sicherheitsmaßnahmen: Unterstreicht, wie wichtig es ist, die Effektivität von Sicherheitsmaßnahmen regelmäßig zu bewerten.
42. Implementierung von Datenschutzmaßnahmen: Diskutiert die Implementierung von Datenschutzmaßnahmen als Teil der Sicherheitsstrategien.
43. Kommunikation von Risiken und Sicherheitsstrategien: Hebt die Bedeutung der Kommunikation über Risiken und Sicherheitsstrategien innerhalb der Organisation und mit externen Stakeholdern hervor.
44. Schulung und Bewusstseinsbildung bei Mitarbeitern: Unterstreicht die Notwendigkeit der Schulung und Bewusstseinsbildung bei allen Mitarbeitern bezüglich ICT-Risiken und Sicherheitsmaßnahmen.
45. Globale Sicherheitsstandards: Diskutiert die Anpassung an globale Sicherheitsstandards und -praktiken, um einheitliche Sicherheitsniveaus zu erreichen und effektiv mit internationalen Risiken umzugehen.
46. Anpassung an rechtliche Änderungen: Unterstreicht die Notwendigkeit der Anpassung von Sicherheitsstrategien an rechtliche und regulatorische Änderungen.
47. Förderung des Wissensaustauschs: Betont die Wichtigkeit des Austauschs von Wissen und Erfahrungen im Bereich der ICT-Sicherheit innerhalb des Finanzsektors.
48. Berücksichtigung von Verbraucherschutzbelangen: Diskutiert, wie Verbraucherschutz in die Entwicklung und Umsetzung von ICT-Sicherheitsmaßnahmen integriert werden sollte.
49. Unterstützung durch technologische Innovationen: Hebt die Rolle technologischer Innovationen bei der Verbesserung der ICT-Sicherheit und Resilienz hervor.
50. Transparenz bei Sicherheitsverletzungen: Betont die Notwendigkeit, Transparenz bei Sicherheitsverletzungen zu wahren, um das Vertrauen der Verbraucher zu erhalten und zu stärken.
51. Nachhaltigkeit von Sicherheitsmaßnahmen: Diskutiert die Bedeutung der Nachhaltigkeit und Langfristigkeit von Sicherheitsmaßnahmen im Hinblick auf die sich schnell entwickelnde ICT-Landschaft.
52. Integration ethischer Überlegungen: Unterstreicht, dass ethische Überlegungen in die Gestaltung und Umsetzung von ICT-Sicherheitsmaßnahmen einfließen sollten.
53. Förderung der Resilienz kleinerer Institutionen: Hebt die Notwendigkeit hervor, kleinere Finanzinstitutionen besonders zu unterstützen, damit auch sie angemessene ICT-Sicherheitsmaßnahmen umsetzen können.
54. Harmonisierung mit internationalen Standards: Betont die Bedeutung der Harmonisierung von ICT-Sicherheitsmaßnahmen mit internationalen Standards, um globale Konsistenz und Effektivität zu erreichen.
55. Bereitstellung von Ressourcen zur Risikominderung: Diskutiert die Wichtigkeit der Bereitstellung von Ressourcen und Tools zur Risikominderung für alle beteiligten Akteure.
56. Spezifische Anforderungen für kritische Infrastrukturen: Unterstreicht, dass für kritische Infrastrukturen spezielle Sicherheitsanforderungen gelten müssen, die deren besondere Rolle im Finanzsystem berücksichtigen.
57. Stärkung der Reaktionsfähigkeit auf Vorfälle: Hebt hervor, wie wichtig eine schnelle und koordinierte Reaktion auf ICT-Sicherheitsvorfälle ist, um Schäden zu minimieren und schnell zur Normalität zurückzukehren.
58. Berücksichtigung von Outsourcing-Risiken: Betont, dass Risiken, die durch Outsourcing von ICT-Diensten entstehen, besonders berücksichtigt und gesteuert werden müssen.
59. Schutz von Daten bei der Übertragung und Speicherung: Diskutiert die Notwendigkeit, Daten während der Übertragung und Speicherung besonders zu schützen, um Datenverluste und -diebstahl zu vermeiden.
60. Verantwortung und Haftung bei Sicherheitsvorfällen: Unterstreicht, dass klar definiert sein muss, wer bei Sicherheitsvorfällen verantwortlich und haftbar ist.
61. Einsatz von Verschlüsselungstechnologien: Betont die Wichtigkeit des Einsatzes von Verschlüsselungstechnologien, um die Sicherheit und Vertraulichkeit der Daten zu gewährleisten.
62. Förderung der öffentlichen Bewusstseinsbildung: Hebt die Notwendigkeit hervor, die öffentliche Bewusstseinsbildung über ICT-Risiken und Sicherheitsmaßnahmen zu fördern.
63. Implementierung von Best Practices: Diskutiert die Implementierung von Best Practices im Bereich der ICT-Sicherheit, um die allgemeine Sicherheitslage zu verbessern.
64. Stärkung der Sicherheitskultur: Unterstreicht die Bedeutung der Stärkung der Sicherheitskultur innerhalb von Organisationen, um das Bewusstsein und die Proaktivität zu erhöhen.
65. Integration von Sicherheitsmaßnahmen in die Unternehmenskultur: Betont die Wichtigkeit, Sicherheitsmaßnahmen in die Unternehmenskultur zu integrieren, um ein kontinuierliches Sicherheitsbewusstsein zu schaffen und eine nachhaltige Resilienz gegen ICT-Risiken zu fördern.
66. Integration von Sicherheitsmaßnahmen in die Unternehmenskultur: Diskutiert die Notwendigkeit, Sicherheitsmaßnahmen in die Unternehmenskultur zu integrieren, um ein durchgehend hohes Sicherheitsniveau zu gewährleisten.
67. Förderung der Sicherheit in der gesamten Lieferkette: Hebt die Wichtigkeit der Sicherheit innerhalb der gesamten Lieferkette hervor, von der Beschaffung bis zum Endkunden.
68. Flexibilität in Sicherheitsansätzen: Unterstreicht die Notwendigkeit von Flexibilität in Sicherheitsansätzen, um auf unterschiedliche Bedrohungen und Szenarien reagieren zu können.
69. Rechtskonformität: Betont die Bedeutung der Rechtskonformität in allen Sicherheitsbemühungen.
70. Proaktive Identifikation von Bedrohungen: Diskutiert die Wichtigkeit der proaktiven Identifikation von Bedrohungen, bevor diese zu echten Sicherheitsvorfällen führen.
71. Effizienz in Sicherheitsoperationen: Hebt die Notwendigkeit der Effizienz in der Umsetzung von Sicherheitsoperationen hervor, um Ressourcen optimal zu nutzen.
72. Datenschutzorientierte Sicherheitsstrategien: Diskutiert die Integration von Datenschutzprinzipien in die Sicherheitsstrategien der Organisation.
73. Zusammenarbeit mit Regulierungsbehörden: Betont die Bedeutung der Zusammenarbeit mit Regulierungsbehörden zur Gewährleistung der Einhaltung und Effektivität von Sicherheitsmaßnahmen.
74. Nachhaltigkeit von Sicherheitslösungen: Unterstreicht die Notwendigkeit, dass Sicherheitslösungen nachhaltig und langfristig wirksam sein müssen.
75. Innovative Sicherheitslösungen: Hebt die Bedeutung der Adoption und Entwicklung innovativer Sicherheitslösungen hervor, um mit den sich entwickelnden Bedrohungslandschaften Schritt zu halten.
76. Globale Sicherheitsstandards: Diskutiert die Anpassung an globale Sicherheitsstandards und -praktiken, um einheitliche Sicherheitsniveaus zu erreichen.
77. Risikobewertung und -management: Hebt die Bedeutung einer gründlichen Risikobewertung und eines effektiven Risikomanagements hervor.
78. Transparenz in der Risikokommunikation: Betont die Notwendigkeit der Transparenz in der Kommunikation über Risiken, um das Bewusstsein und die Vorbereitung zu verbessern.
79. Anpassung der Sicherheitsmaßnahmen an Geschäftsziele: Diskutiert, wie Sicherheitsmaßnahmen an die übergeordneten Geschäftsziele und -strategien angepasst werden sollten.
80. Umgang mit Insider-Bedrohungen: Unterstreicht die Wichtigkeit, Maßnahmen gegen Insider-Bedrohungen zu implementieren, die sowohl absichtlich als auch unbeabsichtigt sein können.
81. Stärkung der Endbenutzersicherheit: Diskutiert die Notwendigkeit der Stärkung der Sicherheit auf der Endbenutzerebene durch Schulungen und Sensibilisierung.
82. Audit- und Überprüfungsprozesse: Betont die Bedeutung regelmäßiger Audits und Überprüfungen, um die Einhaltung der Sicherheitsvorgaben sicherzustellen.
83. Sicherheitsbewusstsein und -training: Hebt hervor, wie wichtig kontinuierliches Sicherheitsbewusstsein und Training für alle Mitarbeiter sind.
84. Bewältigung von Cyber-Resilienz: Diskutiert die Notwendigkeit, spezifische Strategien zur Bewältigung von Cyber-Resilienz zu entwickeln und umzusetzen.
85. Reaktionsstrategien bei Sicherheitsvorfällen: Unterstreicht die Bedeutung effektiver Reaktionsstrategien bei Sicherheitsvorfällen, um Schäden zu minimieren und schnell zu reagieren.
86. Verwaltungssanktionen: Unterstreicht die Notwendigkeit, zuständige Behörden mit ausreichenden Befugnissen auszustatten sowie das Erfordernis einer engen Zusammenarbeit, um die effektive Anwendung der Verordnung zu gewährleisten.
87. Förderung der Compliance-Kultur: Betont die Bedeutung der Förderung einer Kultur der Compliance und Ethik im Hinblick auf ICT-Sicherheit innerhalb von Organisationen.
88. Ressourcenallokation für Sicherheitsmaßnahmen: Diskutiert die Wichtigkeit der angemessenen Ressourcenallokation, um effektive Sicherheitsmaßnahmen zu implementieren und aufrechtzuerhalten.
89. Integration von Sicherheitsüberlegungen in Geschäftsentscheidungen: Hebt hervor, wie wichtig es ist, Sicherheitsüberlegungen in alle Geschäftsentscheidungen zu integrieren, um ein umfassendes Sicherheitsbewusstsein zu schaffen.
90. Verwendung von Sicherheitsmetriken: Diskutiert den Einsatz von Sicherheitsmetriken zur Bewertung und Verbesserung der Sicherheitsleistung.
91. Dynamische Anpassung von Sicherheitsstrategien: Betont die Notwendigkeit einer dynamischen Anpassung von Sicherheitsstrategien an sich ändernde Bedrohungslandschaften und Geschäftsanforderungen.
92. Förderung von Innovationen im Bereich Sicherheit: Unterstreicht die Bedeutung der Förderung von Innovationen im Bereich Sicherheit, um den Schutz vor fortgeschrittenen Bedrohungen zu verbessern.
93. Berücksichtigung der Menschenrechte in der Sicherheitsstrategie: Betont die Wichtigkeit, die Menschenrechte in der Entwicklung und Implementierung von Sicherheitsstrategien zu berücksichtigen.
94. Schaffung von Anreizen für Sicherheitsverbesserungen: Diskutiert die Schaffung von Anreizen für Unternehmen, ihre Sicherheitsmaßnahmen kontinuierlich zu verbessern.
95. Abschließende Bestimmungen: Schließt mit der Betonung ab, dass diese Verordnung den rechtlichen Rahmen für die digitale operationale Resilienz des Finanzsektors in der EU festlegt und von allen Beteiligten eingehalten werden muss.

Auswirkungen auf IT-Dienstleister

DORA hat weitreichende Auswirkungen auf IT-Dienstleister, insbesondere auf diejenigen, die als kritische IKT-Drittdienstleister für Finanzunternehmen eingestuft werden. Hier sind die wichtigsten Implikationen:

1. Erhöhte Sicherheitsanforderungen

• Strenge Sicherheitsstandards: IT-Dienstleister müssen sicherstellen, dass ihre Systeme, Prozesse und Dienstleistungen den strengen Sicherheitsanforderungen der Verordnung entsprechen. Dies umfasst die Implementierung von robusten Sicherheitsmaßnahmen, kontinuierliche Überwachung und regelmäßige Updates.
• Regelmäßige Tests: IT-Dienstleister müssen regelmäßige Schwachstellenanalysen, Penetrationstests und andere sicherheitsrelevante Tests durchführen und nachweisen, dass ihre Systeme sicher und widerstandsfähig gegen Cyberangriffe sind.

2. Vertrags- und Compliance-Anforderungen

• Vertragliche Verpflichtungen: IT-Dienstleister müssen in ihren Verträgen mit Finanzunternehmen detaillierte Sicherheits- und Risikomanagementanforderungen festlegen. Diese Verträge müssen regelmäßige Audits und Überprüfungen der Sicherheitspraktiken vorsehen.
• Compliance-Berichte: IT-Dienstleister müssen regelmäßig Berichte über ihre Sicherheitsmaßnahmen und Vorfälle an ihre Kunden und gegebenenfalls an die Aufsichtsbehörden übermitteln.

3. Erhöhte Aufsicht und Audits

• Überwachung durch Behörden: Als kritische IKT-Drittdienstleister unterliegen IT-Dienstleister einer strengen Aufsicht durch die federführenden Überwachungsbehörden. Dies kann häufige Inspektionen und Audits durch die Behörden einschließen.
• Kooperation mit Aufsichtsbehörden: IT-Dienstleister müssen eng mit den Aufsichtsbehörden zusammenarbeiten, Informationen bereitstellen und auf Anfragen schnell und vollständig reagieren.

4. Risikomanagement

• IKT-Risikomanagement: IT-Dienstleister müssen umfassende IKT-Risikomanagementprogramme entwickeln und umsetzen. Diese Programme sollen sicherstellen, dass alle potenziellen Risiken identifiziert, bewertet und gemindert werden.
• Notfallpläne: IT-Dienstleister müssen Notfall- und Wiederherstellungspläne erstellen, die sicherstellen, dass sie im Falle eines IKT-Vorfalls schnell und effektiv reagieren und den Betrieb wiederherstellen können.

5. Kostenauswirkungen

• Investitionen in Sicherheit: Die Einhaltung der Verordnung erfordert erhebliche Investitionen in Sicherheitsinfrastruktur, Technologien und Personal. Dies kann zu erhöhten Betriebskosten führen, die IT-Dienstleister möglicherweise an ihre Kunden weitergeben müssen.
• Compliance-Kosten: Die Einhaltung der Berichts- und Prüfungsanforderungen kann zusätzliche administrative und finanzielle Belastungen mit sich bringen.

6. Marktchancen und Wettbewerbsvorteile

• Vertrauensvorsprung: IT-Dienstleister, die die Anforderungen der Verordnung erfolgreich umsetzen, können sich als zuverlässige und sichere Partner im Finanzsektor positionieren. Dies kann zu Wettbewerbsvorteilen und neuen Geschäftsmöglichkeiten führen.
• Neue Dienstleistungen: Die Nachfrage nach Dienstleistungen im Bereich der Cybersicherheit und des Risikomanagements könnte steigen, was IT-Dienstleistern neue Marktchancen eröffnet.

7. Datenschutz und Datenmanagement

• Datenschutzbestimmungen: IT-Dienstleister müssen sicherstellen, dass sie die Datenschutzbestimmungen der DSGVO einhalten, insbesondere bei der Verarbeitung personenbezogener Daten im Zusammenhang mit der Erfüllung der Anforderungen der Verordnung.
• Datenaufbewahrung: Es müssen Verfahren zur sicheren Aufbewahrung und gegebenenfalls zur Löschung von Daten implementiert werden, um den regulatorischen Anforderungen zu entsprechen.

Insgesamt bedeutet die Verordnung (EU) 2022/2554 für IT-Dienstleister einen erhöhten Aufwand in Bezug auf Sicherheitsmaßnahmen, Compliance und Zusammenarbeit mit den Aufsichtsbehörden. Gleichzeitig bietet sie Chancen für diejenigen, die in der Lage sind, die neuen Anforderungen erfolgreich zu erfüllen und sich als sichere und vertrauenswürdige Partner zu positionieren.

Fazit

DORA stellt Finanzunternehmen vor mehrere Herausforderungen in der praktischen Umsetzung. Die wichtigsten Herausforderungen und potenziellen Stolpersteine sind:

1. IKT-Risikomanagementrahmen und Governance

• Komplexität der Implementierung: Die Einrichtung eines umfassenden IKT-Risikomanagementrahmens erfordert erhebliche Ressourcen und Fachkenntnisse. Finanzunternehmen müssen sicherstellen, dass alle Aspekte des IKT-Risikos, einschließlich derjenigen, die von Dritten ausgehen, vollständig abgedeckt sind.
• Ressourcenanforderungen: Die Verpflichtung zur Bereitstellung ausreichender Ressourcen für das IKT-Risikomanagement kann besonders für kleinere Finanzunternehmen eine Herausforderung darstellen.

2. Meldung und Klassifizierung von IKT-bezogenen Vorfällen

• Klassifizierungsprobleme: Die genaue Klassifizierung und Meldung von IKT-bezogenen Vorfällen erfordert detaillierte interne Prozesse und Schulungen, um sicherzustellen, dass alle Vorfälle korrekt und rechtzeitig gemeldet werden.
• Meldepflichten: Die Verpflichtung, Vorfälle unverzüglich den zuständigen Behörden zu melden, erfordert effiziente Kommunikations- und Meldeprozesse innerhalb der Unternehmen.

3. Tests der digitalen operativen Resilienz

• Durchführung umfangreicher Tests: Regelmäßige und umfangreiche Tests, einschließlich bedrohungsorientierter Penetrationstests (TLPT), erfordern spezialisierte Kenntnisse und können teuer und zeitaufwendig sein.
• Realistische Bedingungen: Tests müssen unter realistischen Bedingungen durchgeführt werden, was die Planung und Durchführung solcher Tests komplex und ressourcenintensiv macht.

4. Management von IKT-Drittparteienrisiken

• Vertragsmanagement: Die Sicherstellung, dass alle vertraglichen Vereinbarungen mit IKT-Drittanbietern strenge Sicherheits- und Risikomanagementvorgaben enthalten, kann komplex und zeitaufwendig sein. Dies erfordert eine enge Zusammenarbeit mit den Rechts- und Beschaffungsabteilungen.
• Überwachung und Audits: Die regelmäßige Überwachung und Prüfung der Leistung von Drittanbietern stellt eine weitere administrative und technische Belastung dar, insbesondere wenn mehrere Drittanbieter involviert sind.

5. Strenge Aufsichts- und Prüfungsanforderungen

• Zusammenarbeit mit Aufsichtsbehörden: Die enge Zusammenarbeit mit nationalen und internationalen Aufsichtsbehörden kann zu erhöhtem Verwaltungsaufwand führen. Finanzunternehmen müssen sicherstellen, dass sie alle Anforderungen und Anfragen der Überwachungsbehörden rechtzeitig und vollständig erfüllen.
• Einhaltung der Datenschutzbestimmungen: Die Verarbeitung und Meldung personenbezogener Daten im Einklang mit der DSGVO erfordert sorgfältige Planung und Umsetzung, um Datenschutzverletzungen zu vermeiden.

6. Technologische und personelle Ressourcen

• Fachkräftemangel: Die Anforderung an spezialisierte Fachkräfte für IKT-Sicherheit und Risikomanagement könnte durch den aktuellen Mangel an qualifiziertem Personal im Bereich der Cybersicherheit erschwert werden.
• Technologische Anpassungen: Die Anpassung und Aktualisierung von IKT-Systemen, um den neuen regulatorischen Anforderungen gerecht zu werden, kann erhebliche Investitionen in Technologie und Infrastruktur erfordern.

7. Kosten und Wirtschaftlichkeit

• Finanzielle Belastung: Die Umsetzung der Verordnung kann erhebliche finanzielle Ressourcen erfordern, insbesondere für kleinere Finanzunternehmen. Dies umfasst die Kosten für Schulungen, Technologie-Upgrades, externe Berater und regelmäßige Audits.
• Wirtschaftlichkeit vs. Sicherheit: Finanzunternehmen müssen einen Balanceakt zwischen der Wirtschaftlichkeit ihrer Maßnahmen und der Erfüllung der strengen Sicherheitsanforderungen der Verordnung finden.

Die Verordnung (EU) 2022/2554 stellt daher hohe Anforderungen an die Finanzunternehmen und erfordert sorgfältige Planung, angemessene Ressourcen und kontinuierliche Überwachung, um die vorgeschriebenen Standards zu erfüllen und die digitale operationelle Resilienz zu gewährleisten.