DORA (Digital Operational Resilience Act): Chance oder Herausforderung? - Vorteile und Nachteile

Der Digital Operational Resilience Act (DORA) ist eine bedeutende regulatorische Entwicklung für Finanzdienstleistungsunternehmen in der EU. Sie trat am 16. Januar 2023 in Kraft und wird ab dem 17. Januar 2025 durchgesetzt. Ihr Ziel ist es, die Cybersicherheit von Finanzorganisationen wie Banken, Versicherungen und Investmentfirmen zu stärken und sicherzustellen, dass der europäische Finanzsektor in der Lage ist, schwerwiegenden Betriebsstörungen standzuhalten.

Überblick

Die Digital Operational Resilience Act (DORA) wurde 2023 finalisiert und ist 2025 in der EU anzuwenden. Sie soll die digitale Resilienz in der EU durch Anforderungen an das ICT-Risikomanagement und die ICT-bezogene Vorfallberichterstattung harmonisieren. Die finalen Verhandlungen sind im Gange, und die endgültige Form der Gesetzgebung wird klarer. Unternehmen in der EU sollten den Stand der Verhandlungen beobachten, um die baldigen Anforderungen besser zu verstehen.

DORA wird voraussichtlich eine Umsetzungsfrist von 24 Monaten haben. Wichtige technische Standards werden jedoch länger brauchen, um finalisiert zu werden. Dies lässt den Unternehmen weniger Zeit, sich auf die neuen Anforderungen vorzubereiten. Unternehmen sollten nicht auf den Abschluss des politischen Prozesses warten, sondern bereits jetzt überlegen, welche Maßnahmen für eine erfolgreiche Umsetzung erforderlich sind.

Vorteile von DORA

• Verbesserte Cybersicherheit: DORA fördert eine verbesserte Cybersicherheit und Resilienz im europäischen Finanzmarkt. Dies soll dazu beitragen, die Geschäftskontinuität in Krisenzeiten zu gewährleisten.
• Harmonisierung der Regulierung: Durch die Vereinheitlichung der Risikomanagementregeln und der Berichterstattungspflichten wird eine konsistente und umfassende Regulierung über die gesamte EU hinweg erreicht.
• Schutz vor Cyberkriminalität: Angesichts der Tatsache, dass die deutsche Wirtschaft 2023 einen Schaden von 206 Milliarden Euro durch Cyberkriminalität erlitten hat, sind solche Standards unerlässlich.

Nachteile von DORA

• Hoher Aufwand: Die Umsetzung von DORA erfordert erheblichen Arbeitsaufwand, Erfahrung und Kompetenz, was für viele Unternehmen eine große Herausforderung darstellt.
• Kurze Vorbereitungszeit: Mit der kurzen Vorbereitungszeit, insbesondere für technische Standards, könnten Unternehmen Schwierigkeiten haben, alle Anforderungen rechtzeitig zu erfüllen.
• Erhöhte Kosten: Die Einhaltung der neuen Vorschriften kann mit erheblichen Kosten verbunden sein, sowohl in finanzieller als auch in zeitlicher Hinsicht.

Anforderungen von DORA

DORA setzt Anforderungen an das ICT-Risikomanagement, die Vorfallberichterstattung, Resilienz Tests und das Outsourcing an Drittanbieter. Außerdem ermöglicht es den Finanzaufsichtsbehörden, kritische ICT-Drittanbieter zu überwachen.

• ICT-Risikomanagement: Unternehmen müssen ihre bestehenden ICT-Risikomanagement- und Governance-Praktiken analysieren und anpassen.
• Vorfallberichterstattung: Firmen müssen ihre Fähigkeiten zur Erkennung und Meldung von Vorfällen evaluieren und verbessern.
• Resilienz Tests: Regelmäßige Tests der operativen Resilienz sind erforderlich, einschließlich fortgeschrittener Tests für bestimmte Unternehmen.
• Drittanbieterrisikomanagement: Es müssen umfassende Verträge von Drittanbietern erstellt und überprüft werden.

Aktueller Stand von DORA

DORA wurde im September 2020 von der Europäischen Kommission vorgeschlagen. Sie ist Teil eines größeren digitalen Finanzpakets. Der Europäische Rat und das Europäische Parlament haben DORA im November 2022 formell verabschiedet. Unternehmen haben bis zum 17. Januar 2025 Zeit, um die Anforderungen zu erfüllen.

Ausblick und Umsetzung

Unternehmen sollten bereits jetzt Maßnahmen ergreifen, um sich auf die neuen Vorschriften vorzubereiten. Die European Supervisory Authorities (ESAs) werden technische Standards ausarbeiten, die für die vollständige Einhaltung von DORA entscheidend sein werden.

DORA stellt eine notwendige Entwicklung zur Stärkung der digitalen Resilienz im Finanzsektor dar. Trotz der Herausforderungen bietet es eine wichtige Gelegenheit, die Cybersicherheit und Betriebsfähigkeit in der EU zu verbessern. Unternehmen sollten proaktiv vorgehen, um die Anforderungen erfolgreich zu erfüllen und die Vorteile der harmonisierten Regulierung zu nutzen.