Nach einem gut zwei Jahre dauernden Konsultationsprozess wurde der ‚Digital Operational Resilience Act‘ (DORA) am 10.11.2022 vom Europäischen Parlament und am 17.11.2022 vom Europäischen Rat endgültig verabschiedet und soll noch in diesem Jahr im Amtsblatt veröffentlicht werden. Für die Umsetzung der Anforderungen ist dann eine Frist von 24 Monaten vorgesehen.
Hintergrund sind stetig zunehmende operationelle Risiken in Form von IT-Sicherheits- und Cyberrisiken aufgrund zunehmender Digitalisierung, politischer Unsicherheiten und Bedrohungen durch Cyber- und Hackerangriffe sowie einer zunehmenden Nutzung von Cloud-Dienstleistern und Einsatz von KI-Lösungen.
Mit der Verordnung zur digitalen Widerstandsfähigkeit (DORA) werden Anforderungen an die digitale operative Widerstandsfähigkeit des Finanzdienstleistungssektors in der EU eingeführt und harmonisiert. Die neuen Anforderungen gelten für alle Unternehmen, die Finanzdienstleistungen erbringen – wie Banken, Zahlungsdienstleister, E-Geld-Anbieter, Wertpapierfirmen, Anbieter von Krypto-Vermögenswerten sowie für kritische IKT-Drittanbieter. Die betroffenen Unternehmen müssen sicherstellen, dass sie Störungen und Bedrohungen im Zusammenhang mit der Informations- und Kommunikationstechnologie (IKT) prozessual begegnen können.
Unserer Analyse nach ergeben sich Handlungsbedarfe insbesondere aufgrund neuer Vorgaben zum Aufbau eines Testprogramms zur Prüfung der digitalen Betriebsstabilität sowie zusätzlicher Regelungen zur Steuerung und Überwachung von IKT-Dienstleisterrisiken im Auslagerungsbereich. Weiterer Anpassungsbedarf entsteht aus den Detaillierungen und Ergänzungen der Anforderungen an einen IKT-Risikomanagementrahmen sowie der Vorgaben zum Umgang mit und zur Berichterstattung zu IKT-Vorfällen. Einen detaillierteren Überblick zu den Neuerungen und den damit verbundenen Herausforderungen stellen wir Ihnen gerne über unseren Mitte Januar 2023 erscheinenden Flyer zur Verfügung.
Im Rahmen der Umsetzung der neuen und erweiterten Vorgaben sind Abhängigkeiten an diversen Schnittstellen zu betrachten. Es wird daher dringend angeraten, zeitnah mit der institutsindividuellen Ermittlung möglicher Lücken zu beginnen, um den konkreten Handlungsbedarf zu ermitteln und Umsetzungspläne zur fristgerechten Erfüllung der neuen Anforderungen zu erstellen. Gerne unterstützen wir sie dabei mit unserem DORA delta-check sowie unserer umfassenden Erfahrung aus regulatorischen Umsetzungsprojekten.
Wir hoffen, dass wir Ihr Interesse wecken konnten und freuen uns darauf, Ihnen die Kernthemen von DORA persönlich vorzustellen. Kontaktieren Sie uns gerne per Mail.
Dringlichkeit
Umsetzungsaufwand
Auswirkungen
Ihre Ansprechpartner
