BaFin - Navigation & Service

Springe direkt zu:

IT-Aufsicht @AdobeStock_Kittiphat_269686664

Stand:geändert am 18.01.2024 DORA - Digital Operational Resilience Act

Inhalt

Mit DORA, der Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act), hat die Europäische Union eine finanzsektorweite Regulierung für die Themen Cybersicherheit, IKT-Risiken und digitale operationale Resilienz geschaffen. Diese Verordnung trägt wesentlich dazu bei, den europäischen Finanzmarkt gegenüber Cyberrisiken und Vorfällen der Informations- und Kommunikationstechnologe (IKT) zu stärken.

Aktualisierungsübersicht

DatumAktualisierung
06.02.2024Diverse Überarbeitungen sowie Neueinrichtung der thematischen Unterseiten zu den Regelungsinhalten von DORA
17.01.2024Die drei ESAs (EBA, EIOPA und ESMA) haben die ersten finalen Entwürfe der technischen Regulierungs- und Implementierungsstandards zu DORA veröffentlicht.
11.12.2023Vom 08.12.2023 bis zum 04.03.2024 findet die öffentliche Konsultation der Europäischen Aufsichtsbehörden EBA, ESMA und EIOPA zu den nachfolgenden Entwürfen statt
06.12.2023Vortragsunterlagen der BaFin-Veranstaltung " IT-Aufsicht im Finanzsektor: Was bedeutet DORA in der Praxis?" am 05. Dezember 2023 unter Zusatzinformationen eingestellt
21.11.2023Ergänzung des Fragenkatalogs "DORA: Was müssen Sie wissen?"

Eine für alle(s)

So gut wie alle beaufsichtigten Institute und Unternehmen des europäischen Finanzsektors fallen unter DORA. Außerdem führt DORA verschiedene Anforderungen an die Institute und Unternehmen in puncto Cybersicherheit, IKT-Risiken und digitale operationale Resilienz zusammen.

Auch die BaFin und die Deutsche Bundesbank bereiten sich auf DORA vor - insbesondere durch Anpassung der Aufsichts- und Verwaltungspraxis und Implementierung von IT-Prozessen und -Systemen im Rahmen von DORA. So wird beispielsweise die Finanzaufsicht BaFin in Deutschland zum nationalen Melde-Hub für IKT-Vorfälle im Finanzsektor. Außerdem nimmt die BaFin Anzeigen im Rahmen des IKT-Drittparteimanagements entgegen, zu denen die Institute und Unternehmen verpflichtet sind, und analysiert sie mit Blick auf potenzielle Risiken für den Finanzsektor.

Die BaFin unterstützt beaufsichtigte Unternehmen bei der Umsetzung von DORA – beispielsweise mit Veranstaltungen, Gesprächen mit Expertinnen und Experten und dieser Info-Seite. Hier stellt sie die wichtigsten Informationen zu DORA und der Umsetzung des Regelwerks zusammen. Die Website wird laufend aktualisiert und erweitert werden.

Veranstaltungshinweis:Digitaler Workshop „DORA für IKT-Drittdienstleister"

Die BaFin informiert am 26. Februar 2024 von 10.00 bis 13.00 Uhr in einem digitalen Workshop Dienstleister aus der Informations- und Kommunikationstechnologie (IKT-Drittdienstleister) über den Digital Operational Resilience Act (DORA). Schwerpunkt des Workshops ist das europäische Überwachungsrahmenwerk für kritische IKT-Drittdienstleister. Ein weiterer Fokus liegt auf den Anforderungen an die Verträge zwischen IKT-Dienstleistern mit Unternehmen des Finanzsektors.

Die Anmeldung für diese Veranstaltung ist geschlossen.

Regelungsinhalt

DORA soll die digitale operationale Resilienz des gesamten europäischen Finanzsektors in diesen sechs wesentlichen Bereichen stärken:

Weitere Einzelheiten zu den entsprechenden sechs wesentlichen Bereichen von DORA finden Sie auf den oben verlinkten thematischen Unterseiten.

DORA findet ab dem 17. Januar 2025 Anwendung.

Die drei Europäischen Aufsichtsbehörden – die EU-Wertpapieraufsichtsbehörde (European Securities and Markets AuthorityESMA), die EU-Bankenaufsichtsbehörde (European Banking AuthorityEBA) und die EU-Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (European Insurance and Occupational Pensions AuthorityEIOPA), erarbeiten gemeinsam dazu technische Regulierungsstandards, Implementierungsstandards und Leitlinien, die die Anwendung von DORA in allen Sektoren weiter konkretisieren.

Neben DORA wurde zeitgleich eine DORA-Änderungsrichtlinie mit dem Ziel veröffentlicht, sektorale europäische Richtlinien konsistent mit den Anforderungen von DORA zu halten. So wurden beispielsweise TLPT unter DORA in den SREP-Prozess der Eigenkapitalrichtlinie (Capital Requirements DirectiveCRD) aufgenommen. Die DORA-Änderungsrichtlinie ändert die europäischen Richtlinien 2009/65/EG (OGAW-Richtlinie), 2009/138/EG (Solvency II), 2011/61/EU (AIFM-Richtlinie), 2013/36/EU (Eigenkapitalrichtlinie; CRD), 2014/59/EU (Abwicklungsrichtlinie), 2014/65/EU (MiFID II), (EU) 2015/2366 (PSD II) und (EU) 2016/2341 (EbAV-II-Richtlinie).

Umsetzung in Deutschland

Das Gesetz über die Digitalisierung des Finanzmarktes soll die Europäische Verordnung MiCA (Markets in Crypto Assets, Verordnung (EU) 2023/1114), die Neufassung der EU-Geldtransferverordnung (Transfer of Funds Regulation, Verordnung (EU) 2023/1113) sowie das europäische DORA-Paket (Digital Operational Resilience Act, Verordnung (EU) 2022/2554 und Richtlinie (EU) 2022/2556) zusammengefasst in einem Finanzmarktdigitalisierungsgesetz (FinmadiG) durchführen bzw. umsetzen.

Das Bundesministerium der Finanzen hat am 20. Dezember 2023 den Regierungsentwurf des Finanzmarktdigitalisierungsgesetzes hier veröffentlicht.

Zum Hintergrund

Das Europäische Parlament und der Europäische Rat haben am 14. Dezember 2022 DORA, die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act), beschlossen. Die Verordnung wurde am 27. Dezember 2022 im Amtsblatt der europäischen Union veröffentlicht und ist am 17. Januar 2023 in Kraft getreten. Ab dem 17. Januar 2025 wird sie angewendet.

Die Europäische Kommission hatte den Legislativvorschlag zu DORA am 24. September 2020 als Teil des Pakets zur Digitalisierung des Finanzsektors vorgelegt. Dieses Paket umfasst auch einen Rechtsakt über Märkte für Kryptowerte (Markets in Crypto-Assets Regulation – MiCAR), einen Vorschlag über eine Pilotregelung für auf Distributed-Ledger-Technologie (DLT) basierende Marktinfrastrukturen sowie eine Strategie für ein digitales Finanzwesen.

Übrigens: Der deutsche Finanzsektor und die Aufsicht sind grundsätzlich in einer guten Startposition für die Anwendbarkeit von DORA ab 2025. Denn einzelnen Instrumente, die die BaFin in der Vergangenheit bereits geschaffen hat, um die IKT-Sicherheit des deutschen Finanzsektors zu erhöhen, finden sich in DORA wieder: harmonisierte Anforderungen an das IKT-Risikomanagement für die einzelnen Finanzsektoren (BAIT, ZAIT, VAIT, KAIT), vereinheitlichte Auslagerungsanzeigen, Überwachungsrahmen für IT-Mehrmandantendienstleister und vereinheitlichte Strukturen für das Meldewesen von IKT-bezogenen Vorfällen.

Finale RTS- und ITS-Entwürfe zu DORA

Die drei ESAs (EBA, EIOPA und ESMA) haben am 17.01.2024 die ersten finalen Entwürfe der technischen Regulierungs- (RTS) und Implementierungsstandards (ITS) zu DORA hier veröffentlicht.

Sie zielen darauf ab, die digitale operationelle Resilienz des EU-Finanzsektors durch die Stärkung der Informations- und Kommunikationstechnologie (IKT) der Finanzunternehmen sowie des Drittpateirisikomanagements und der Berichterstattung über IKT-Vorfälle zu verbessern.

Die ersten gemeinsamen endgültigen Entwürfe technischer Regulierungs- und Implementierungsstandards umfassen:

  • RTS zum IKT-Risikomanagementrahmen (Art. 15)
  • RTS zum vereinfachten IKT-Risikomanagementrahmen (Art. 16 Abs. 3)
  • RTS zu Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen (Art. 18 Abs. 3)
  • RTS zur Leitlinie in Bezug auf die Nutzung von IKT-Dienstleistungen von kritischen oder wichtigen Funktionen (Art. 28 Abs. 10) und

  • ITS zur Erstellung einer Standardvorlage für das Informationsregister (Art. 28 Abs. 9).

Die finalen Fassungen werden in den kommenden Monaten von der Europäische Kommission im Amtsblatt der EU veröffentlicht.

Aktuelle Konsultation zu DORA

Vom 08.12.2023 bis zum 04.03.2024 findet die öffentliche Konsultation der der Europäischen Aufsichtsbehörden EBA, ESMA und EIOPA zu den nachfolgenden Entwürfen statt:

  • Konsultation des RTS zu Threat Led Penetration Testing (Art. 26 Abs.11)
  • Konsultation des RTS zur Spezifizierung von Elementen bei der Untervergabe von kritischen oder wichtigen Funktionen (Art. 30 Abs. 5)
  • Konsultation des RTS zur Festlegung der Meldung schwerwiegender IKT-Vorfälle (Art. 20.a)
  • Konsultation des ITS zur Festlegung der Einzelheiten der Berichterstattung über größere IKT-bezogene Vorfälle (Art. 20.b)
  • Konsultation der GL für die Zusammenarbeit zwischen den ESA und dem CAs hinsichtlich der Struktur der Überwachung (Art. 32 Abs. 7)
  • Konsultation des RTS zur Harmonisierung der Voraussetzungen für die Durchführung der Überwachungstätigkeiten (Art. 41)

DORA: Was müssen Sie wissen?

Der Fragenkatalog zu DORA vermittelt, ohne Anspruch auf Vollständigkeit, einen ersten Überblick über die wichtigsten Fragestellungen zu DORA und deren Umsetzung. Dieser Fragenkatalog wird fortlaufend aktualisiert. Themenspezifische Fragen finden Sie auf den jeweiligen Unterseiten.

Resultate 1 bis 10 von insgesamt 33

Für welche Unternehmen gilt DORA?

DORA ist eine finanzsektorübergreifende europäische Verordnung und bündelt und harmonisiert Regelungen bestehender sektoraler europäischer Verordnungen und Richtlinien.

In den Geltungsbereich der europäischen Verordnung DORA fallen (Artikel 2 Absatz 1 DORA):

a) CRR-Kreditinstitute,
b) Zahlungsinstitute,
c) Kontoinformationsdienstleister,
d) E-Geld-Institute,
e) Wertpapierfirmen,
f) Anbieter von Krypto-Dienstleistungen, die gemäß der Verordnung des Europäischen Parlaments und des Rates über Märkte von Krypto-Werten (MiCAR) zugelassen sind, und Emittenten wertreferenzierter Token,
g) Zentralverwahrer,
h) zentrale Gegenparteien,
i) Handelsplätze,
j) Transaktionsregister,
k) Verwalter alternativer Investmentfonds,
l) Verwaltungsgesellschaften
m) Datenbereitstellungsdienste,
n) Versicherungs- und Rückversicherungsunternehmen,
o) Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit,
p) Einrichtungen der betrieblichen Altersversorgung,
q) Ratingagenturen,
r) Administratoren kritischer Referenzwerte,
s) Schwarmfinanzierungsdienstleister,
t) Verbriefungsregister
u) IKT-Dienstleister

Ausnahmen gelten für die folgenden Unternehmen (Artikel 2 Absatz 3 DORA):

a) Verwalter alternativer Investmentfonds im Sinne von Artikel 3 Absatz 2 der Richtlinie 2011/61/EU;
b) Versicherungs- und Rückversicherungsunternehmen im Sinne von Artikel 4 der Richtlinie 2009/138/EG;
c) Einrichtungen der betrieblichen Altersversorgung, die Altersversorgungssysteme mit insgesamt weniger als 15 Versorgungsanwärtern betreiben;
d) gemäß den Artikeln 2 und 3 der Richtlinie 2014/65/EU ausgenommene natürliche oder juristische Personen;
e) Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit, bei denen es sich um Kleinstunternehmen oder kleine oder mittlere Unternehmen handelt;
f) Postgiroämter im Sinne von Artikel 2 Absatz 5 Nummer 3 der Richtlinie 2013/36/EU.

Stehen IKT-Drittdienstleister durch DORA künftig unter der Finanzdienstleistungsaufsicht?

Kritische IKT-Drittdienstleister unterstehen der Überwachung europäischer Aufsichtsbehörden, die klar von einer Aufsicht über Finanzunternehmen zu unterscheiden ist. Dies zeigt sich beispielsweise daran, dass kritische IKT-Drittdienstleister als Nicht-Finanzunternehmen keine Zulassung bei Finanzaufsichtsbehörden beantragen müssen und diese ihnen im Umkehrschluss auch nicht entzogen werden kann. Auch beschränkt sich der Überwachungsbereich der Aufsichtsbehörden nicht auf das gesamte Unternehmen, sondern auf den in Artikel 33 Absatz 3 DORA festgelegten Bewertungsrahmen. Er hat das Management der IKT-Risiken, die vom kritischen IKT-Drittdienstleister für Finanzunternehmen ausgehen können, zum Schwerpunkt. Ebenso sind die Befugnisse der Aufsichtsbehörden beschränkt (Artikel 35 DORA). Die Aufsichtsbehörden haben demnach zum Beispiel keine Befugnis zur Abbestellung von Geschäftsleiten oder den Einsatz von Sonderbeauftragten.

Müssen Finanzunternehmen nun verpflichtend Informationen und Erkenntnisse zu Cyberbedrohungen mit anderen Marktteilnehmern austauschen?

Nein, der Austausch von Informationen und Erkenntnisse zu Cyberbedrohungen mit anderen Marktteilnehmern ist freiwillig. Um die operationale Resilienz des Finanzsektors zu stärken, empfehlen die EU-Gesetzgeber – genauso wie die BaFin – dass sich Finanzunternehmen zu Informationen und Erkenntnisse zu Cyberbedrohungen mit anderen Marktteilnehmern austauschen. Verpflichtend ist eine Meldung an die BaFin über die Teilnahme oder die Beendigung entsprechender Vereinbarungen zu Austauschen von Informationen und Erkenntnisse zu Cyberbedrohungen mit anderen Marktteilnehmern im Sinne von Artikel 45 DORA.

Details zu den Meldeprozessen wird die BaFin noch bekanntgeben.

Was sind IKT-Dienstleistungen im Sinne von DORA?

„IKT-Dienstleistungen“ sind digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzerinnen und Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen. Dazu gehört auch die technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware- Aktualisierungen , mit Ausnahme herkömmlicher analoger Telefondienste (Art. 3 Absatz 1 Nr. 21 DORA).

Wie wird ein IKT-bezogener Vorfall in DORA definiert?

Ein „IKT-bezogener Vorfall“ ist ein von dem Institut oder Unternehmen nicht geplantes Ereignis bzw. eine Reihe verbundener Ereignisse, das bzw. die die Sicherheit der Netzwerk- und Informationssysteme beeinträchtigt und nachteilige Auswirkungen auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten oder auf die vom Finanzunternehmen erbrachten Dienstleistungen hat (Art. 3 Absatz 1 Nr. 8 DORA).

Was ist alles durch den IKT-Risikomanagementrahmen von DORA umfasst?

Der IKT-Risikomanagementrahmen von DORA umfasst die Anforderungen aus Kapitel II, Artikel 5 bis 15 DORA, aber auch die Artikel 24 bis 27 (Testen der digitalen operationalen Resilienz) sowie Artikel 28 (Management des IKT-Drittparteirisikos) DORA.

Wie werden die Anforderungen an das Threat-Led Penetration Testing (TLPT) aus Artikel 26 und 27 DORA ab 2025 in Deutschland umgesetzt?

Die wesentliche Testmethodik und die Testverfahren für TLPT sollen im Einklang mit dem TIBER-EU-Rahmenwerk erfolgen (Artikel 26 Absatz 11 DORA). Deshalb werden die operativen Aufgaben mit Bezug zu TLPT - wie bereits unter TIBER-DE - von der Deutschen Bundesbank wahrgenommen. Durch DORA werden solche Tests zu einem aufsichtlichen Instrument und Teil des IKT-Risikomanagementrahmens eines Finanzunternehmens. Daher wird die jeweils zuständige Aufsichtsbehörde (in Deutschland die BaFin bzw. für signifikante Kreditinstitute die EZB) diese Tests in die aufsichtlichen Prozesse einbinden. Dies betrifft insbesondere die Aspekte Identifikation von Finanzunternehmen, die künftig TLPT durchführen müssen, die Festlegung der Testfrequenz, die Validierung des Testumfangs und die Berücksichtigung der Testergebnisse in der laufenden Aufsicht.

Ab wann wird DORA angewendet?

Die Regelungen von DORA sind ab dem 17. Januar 2025 anwendbar.

Was ist ein Austausch von Informationen und Erkenntnisse zu Cyberbedrohungen zwischen Finanzunternehmen im Sinne von Artikel 45 DORA?

Ein Austausch von Informationen und Erkenntnisse zu Cyberbedrohungen zwischen Finanzunternehmen im Sinne von Artikel 45 DORA ist ein Austausch, der

a) darauf abzielt die digitale die digitale operationale Resilienz von Finanzunternehmen zu stärken, insbesondere indem für Cyberbedrohungen sensibilisiert, die Verbreitung von Cyberbedrohungen eingeschränkt oder verhindert wird und die Verteidigungsfähigkeiten, Techniken zur Erkennung von Bedrohungen, Abmilderungsstrategien oder Phasen der Reaktion und Wiederherstellung unterstützt werden;
b) innerhalb vertrauenswürdiger Gemeinschaften von Finanzunternehmen erfolgt;
c) durch Vereinbarungen über den Austausch von Informationen umgesetzt wird, die den potenziell sensiblen Charakter der ausgetauschten Informationen schützen und Verhaltensregeln unterliegen, in deren Rahmen die Wahrung des Geschäftsgeheimnisses, der Schutz personenbezogener Daten im Einklang mit der Verordnung (EU) 2016/679 und Leitlinien für die Wettbewerbspolitik vollumfänglich befolgt werden.

Wann müssen beaufsichtigte Unternehmen einen IKT-bezogenen Vorfall melden?

Ein IKT-bezogener Vorfall ist dann zu melden, wenn der Vorfall die entsprechenden Klassifikationskriterien erfüllt. Der Klassifikationsprozess sowie die Klassifikationskriterien basieren auf den in Artikel 18 DORA genannten Anforderungen und werden in einem Regulatory Technical Standard (RTS) genauer geregelt. Das Konsultationspapier des RTS wurde im Zeitraum vom 19. Juni – 11. September öffentlich konsultiert und wird nach abschließender Bearbeitung im kommenden Jahr veröffentlicht. Nach der Veröffentlichung des RTS werden Sie hier auf der DORA-Informationsseite der BaFin über die genaue Ausgestaltung des Klassifikationsprozesses und der Klassifikationskriterien informiert.

Zusatzinformationen

Mehr zum Thema

Finanzmarktdigitalisierungsgesetz

"IT-Aufsicht im Finanzsektor: Was bedeutet DORA in der Praxis?"

DORA für IKT-Drittdienstleister

Fanden Sie den Beitrag hilfreich?

Wir freuen uns über Ihr Feedback

Es hilft uns, die Webseite kontinuierlich zu verbessern und aktuell zu halten. Bei Fragen, für deren Beantwortung wir Sie kontaktieren sollen, nutzen Sie bitte unser Kontaktformular. Hinweise auf tatsächliche oder mögliche Verstöße gegen aufsichtsrechtliche Vorschriften richten Sie bitte an unsere Hinweisgeberstelle.

Wir freuen uns über Ihr Feedback