Skip to main content

DORA: Häufige Fragen und Antworten zur digitalen operationalen Resilienz

Die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor, bekannt als Digital Operational Resilience Act (DORA), tritt am 17. Januar 2025 in Kraft.

DORA zielt darauf ab, die digitale Widerstandsfähigkeit von Finanzunternehmen zu stärken und einheitliche Anforderungen an die Sicherheit von Netzwerk- und Informationssystemen festzulegen.

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat zur Unterstützung der betroffenen Unternehmen mehrere Umsetzungshinweise veröffentlicht. Diese bieten detaillierte Anleitungen zur Implementierung der DORA-Anforderungen in Bereichen wie Governance, IT-Risikomanagement und dem Management von Risiken durch Drittanbieter. BaFin

DORA kompakt

Übersicht zu den wichtigsten FAQs und To-Dos für kritische IKT-Drittdienstleister gemäß DORA

Frage

Stehen IKT-Drittdienstleister durch DORA künftig unter der Finanzdienstleistungsaufsicht?

Antwort
Kritische IKT-Drittdienstleister unterstehen der Überwachung europäischer Aufsichtsbehörden. Die Überwachung beschränkt sich auf IKT-Risiken gemäß DORA, nicht das gesamte Unternehmen.

To-Dos
Finanzunternehmen müssen weiterhin ihre IKT-Drittparteienrisiken selbstständig überwachen und sicherstellen, dass die regulatorischen Anforderungen erfüllt sind.


Frage

Wieso hat die EU eine Überwachung von kritischen IKT-Drittdienstleistern etabliert?

Antwort
Einheitliche Regeln zur Reduktion systemischer Risiken und Konzentrationsrisiken grenzüberschreitend tätiger IKT-Drittdienstleister im europäischen Finanzmarkt.

To-Dos
Finanzunternehmen sollten sicherstellen, dass Verträge mit Drittanbietern klare Regelungen zur Einhaltung der IKT-Risiken enthalten.


Frage

Welche Rechte erhalten Aufsichtsbehörden bei der Überwachung?

Antwort
Rechte umfassen u.a. die Anforderung von Informationen, Durchführung von Prüfungen, Abgabe von Empfehlungen und, als Ultima Ratio, die Forderung nach Aussetzung von Dienstleistungen.

To-Dos
Finanzunternehmen sollten regelmäßige Compliance-Prüfungen durchführen und Empfehlungen der Aufsichtsbehörden zur Risikominderung beachten.


Frage

Müssen Finanzunternehmen kritische IKT-Drittdienstleister weiterhin selbst prüfen?

Antwort
Ja, Finanzunternehmen bleiben verantwortlich für das Management der IKT-Drittparteienrisiken. Die Aufsicht berücksichtigt jedoch auch systemische Risiken.

To-Dos
Eigenständige Prüfung von Drittanbietern bleibt Pflicht; regelmäßige Überprüfung der Umsetzung regulatorischer Anforderungen ist notwendig.


Frage

Werden Unternehmen als kritische IKT-Drittdienstleister überwacht, weil sie negativ auffielen?

Antwort
Nein, die Einstufung basiert auf der systemischen Bedeutung und der Abhängigkeit der Finanzunternehmen. Erfahrungen der Aufsicht mit dem Dienstleister spielen keine Rolle.

To-Dos
Finanzunternehmen sollten prüfen, ob ihre Dienstleister Kriterien erfüllen, die eine Einstufung als kritisch rechtfertigen könnten.


Frage

Werden Cloud-Dienstleister künftig als kritische IKT-Drittdienstleister überwacht?

Antwort
Die Einstufung als kritisch hängt von systemischer Bedeutung und Abhängigkeiten ab. Eine Entscheidung erfolgt fallweise, basierend auf den Informationsregistern der Finanzunternehmen.

To-Dos
Cloud-Dienstleister-Verträge regelmäßig prüfen und sicherstellen, dass sie den Anforderungen der DORA entsprechen.


Frage

Wer trägt die Kosten für die Überwachung kritischer IKT-Drittdienstleister?

Antwort
Die Kosten werden von den kritischen IKT-Drittdienstleistern selbst getragen, nicht von Finanzunternehmen.

To-Dos
Finanzunternehmen sollten Verträge überprüfen, ob Dienstleister Überwachungskosten weiterreichen.


Frage

Was geschieht, wenn ein kritischer IKT-Drittdienstleister keine Tochtergesellschaft in der EU gründet?

Antwort
Kritische IKT-Drittdienstleister müssen binnen 12 Monaten eine EU-Tochter gründen. Bei Nichteinhaltung dürfen Finanzunternehmen keine Dienste mehr von diesen Anbietern beziehen.

To-Dos
Finanzunternehmen müssen sicherstellen, dass Vertragsverhältnisse beendet werden, falls die Anforderungen durch den Dienstleister nicht erfüllt werden.


Frage

Wie erfahre ich von Empfehlungen der Aufsicht an meinen IKT-Drittdienstleister?

Antwort
Nationale Behörden informieren Finanzunternehmen über Empfehlungen, die an kritische IKT-Drittdienstleister gerichtet sind, mit denen sie in Vertragsverhältnissen stehen.

To-Dos
Empfehlungen der Aufsicht prüfen und in das eigene Risikomanagement einbinden.


Frage

Müssen alle IKT-Drittdienstleister in der EU eine Niederlassung haben?

Antwort
Nein, nur kritische IKT-Drittdienstleister müssen innerhalb von 12 Monaten nach Einstufung eine Niederlassung in der EU gründen.

To-Dos
Sicherstellen, dass alle kritischen Anbieter mit EU-Niederlassung Verträge eingehalten werden.


Frage

Haben kritische IKT-Drittdienstleister zusätzliche Anforderungen an Verträge?

Antwort
Finanzunternehmen müssen sicherstellen, dass alle Vertragsbestandteile, die für kritische Funktionen erforderlich sind, gemäß DORA spezifiziert sind.

To-Dos
Verträge prüfen und gegebenenfalls anpassen, um DORA-Anforderungen zu erfüllen.


Frage

Wie oft erfolgt die Einstufung eines kritischen IKT-Drittdienstleisters?

Antwort
Jährliche Prüfung der Kriterien anhand der Informationsregister der Finanzunternehmen. Änderungen können dazu führen, dass Anbieter hinzugefügt oder entfernt werden.

To-Dos
Regelmäßige Aktualisierung der Informationsregister und Überprüfung auf Änderungen der Einstufung.

Hinweis: Weiterbildungsmöglichkeiten zu DORA und Datenschutz

Für eine effektive Umsetzung der DORA-Verordnung und zur Vertiefung Ihres Wissens im Bereich Datenschutz und Compliance bietet das S+P Unternehmerforum praxisnahe Seminare und Schulungen an:

  1. Seminare und Schulungen zum Datenschutz

    • Thematisiert Datenschutzgrundlagen, praktische Umsetzungen und gesetzliche Anforderungen.

    • Ideal für Unternehmen, die ihre Datenschutzrichtlinien optimieren möchten.

    • Weitere Informationen: Seminare Datenschutz

  2. Seminar „DORA Compliance – Neueste Entwicklungen“

    • Überblick über die DORA-Regulierung, praktische Umsetzungsschritte und die neuesten Entwicklungen.

    • Vermittlung von Best Practices für eine rechtssichere und effiziente DORA-Compliance.

    • Weitere Informationen: DORA Compliance Seminar

Nutzen Sie diese Möglichkeiten, um sich optimal auf die Anforderungen von DORA und Datenschutz vorzubereiten und Ihr Unternehmen zukunftssicher aufzustellen.