24111 Kiel, Rendsburger Landstraße 436
+49 431 12807082
kanzlei@grafkerssenbrock.com

DORA – Digitale operationale Resilienz im Finanzsektor

Arbeitsrecht – Erbrecht - Schulrecht

DORA – Digitale operationale Resilienz im Finanzsektor

Digitalisierung

Kennen Sie DORA? Wer über Bürokratieabbau redet, muß einen Blick auf DORA werfen.

Die Verordnung (EU) 2022/2554, auch bekannt als Digital Operational Resilience Act (DORA), ist ein regulatorischer Meilenstein in der Europäischen Union. Sie wurde am 14. Dezember 2022 vom Europäischen Parlament und dem Rat verabschiedet und trat am 16. Januar 2023 in Kraft. Die Verordnung betrifft alle Finanzmarktteilnehmer und kritischen IKT-Dienstleister und zielt darauf ab, die digitale operationale Resilienz im Finanzsektor zu stärken.

Angesichts der zunehmenden Cyberbedrohungen und technologischen Abhängigkeiten im Finanzwesen soll DORA sicherstellen, dass Unternehmen der Branche ihre Systeme und Prozesse widerstandsfähiger gegen digitale Risiken machen. Dabei geht es insbesondere um eine einheitliche und verbindliche Regulierung auf EU-Ebene, die Fragmentierung in den Mitgliedstaaten vermeiden und gleiche Wettbewerbsbedingungen gewährleisten soll.


Entstehung der Verordnung (EU) 2022/2554

Hintergrund und Notwendigkeit

Die EU-Kommission erkannte in den letzten Jahren zunehmend, dass Cyberangriffe und IT-Störungen eine ernsthafte Gefahr für die Stabilität des Finanzmarktes darstellen. Bereits einzelne Störungen in digitalen Systemen von Banken, Versicherungen oder Finanzdienstleistern können systemische Risiken auslösen und die gesamte Wirtschaft beeinträchtigen.

Während bestehende Regelungen, wie die EU-Cybersicherheitsrichtlinie (NIS-Richtlinie) oder die Datenschutz-Grundverordnung (DSGVO), einzelne Aspekte der IT-Sicherheit abdecken, bestand bislang keine einheitliche, sektorübergreifende Regulierung für den Finanzsektor. Die Notwendigkeit eines kohärenten Rechtsrahmens für digitale operationale Resilienz im Finanzsektor wurde insbesondere gesehen, weil:

  • Zunehmende Cyberangriffe auf Finanzinstitute, darunter Hackerangriffe auf Banken und Krypto-Börsen,
  • Abhängigkeit von Drittanbietern, insbesondere Cloud-Dienstleistern und IT-Sicherheitsfirmen,
  • Unterschiedliche nationale Vorschriften, die zu regulatorischen Lücken und Marktverzerrungen führten,

verzeichnet wurden.

Gesetzgebungsverfahren

Die Verordnung ist Teil des Digital Finance Package, das die EU-Kommission am 24. September 2020 vorlegte. Nach umfangreichen Beratungen wurde DORA im Dezember 2022 verabschiedet. Die Verordnung trat am 16. Januar 2023 in Kraft und wird ab dem 17. Januar 2025 verbindlich in allen Mitgliedstaaten angewandt.

Da es sich um eine EU-Verordnung handelt, gilt sie unmittelbar und muss nicht durch nationale Gesetze umgesetzt werden.


Ziele der Verordnung

Die Verordnung verfolgt das übergeordnete Ziel, die Widerstandsfähigkeit des Finanzsektors gegenüber digitalen Risiken zu stärken. Daraus lassen sich fünf zentrale Zielsetzungen ableiten:

1. Einheitliche Regulierung für digitale Resilienz

DORA schafft einen einheitlichen regulatorischen Rahmen, der für alle Finanzinstitute und deren IT-Dienstleister gleichermaßen gilt.

2. Stärkung der Cybersicherheit

Durch umfassende Sicherheitsanforderungen sollen Cyberangriffe besser abgewehrt und deren Auswirkungen minimiert werden.

3. Überwachung von Drittanbietern

Da viele Finanzinstitute auf externe IT-Dienstleister angewiesen sind, führt DORA eine strengere Kontrolle dieser Anbieter ein, insbesondere für Cloud-Dienste, Rechenzentren und Softwareanbieter.

4. Harmonisierung von Tests und Meldepflichten

Unternehmen müssen regelmäßig IT-Sicherheitstests durchführen und Cybervorfälle den zuständigen Behörden melden.

5. Verhinderung regulatorischer Fragmentierung

Durch die einheitlichen Regeln wird verhindert, dass unterschiedliche nationale Gesetze zu Unsicherheiten oder Wettbewerbsverzerrungen führen.


Bürokratische Auswirkungen und Umsetzungsaufwand

Die neuen Anforderungen führen insbesondere für Finanzunternehmen und IKT-Drittanbieter zu einem erheblichen Bürokratieaufwand.

 

IKT-Drittanbieter sind externe Informations- und Kommunikationstechnologie (IKT)-Dienstleister, die wesentliche IT-Dienste oder digitale Lösungen für Finanzunternehmen bereitstellen. Sie spielen eine zentrale Rolle in der technologischen Infrastruktur des Finanzsektors, indem sie spezialisierte IT-Dienste anbieten, die von Banken, Versicherungen und anderen Finanzdienstleistern genutzt werden.

Beispiele für IKT-Drittanbieter:

  1. Cloud-Dienstleister (z. B. AWS, Microsoft Azure, Google Cloud) – Bereitstellung von Cloud-Speicher, Rechenleistung und Infrastruktur.
  2. Rechenzentren und Hosting-Provider – Physische und virtuelle Speicherung und Verwaltung von Daten.
  3. Cybersecurity-Anbieter – Schutz vor Cyberangriffen, Firewalls, Verschlüsselungstechnologien.
  4. Softwareanbieter für Finanzdienstleistungen – Anbieter von Kernbankensystemen, Risikomanagement-Software, Trading-Plattformen.
  5. Zahlungsdienstleister (z. B. PayPal, Stripe, Visa, Mastercard) – Bereitstellung von Zahlungsinfrastrukturen.
  6. RegTech-Anbieter – IT-Lösungen für Compliance, Risiko- und Regulierungsmanagement.

Viele Finanzunternehmen sind stark von externen IT-Dienstleistern abhängig, wodurch ein systemisches Risiko entsteht. Ein Cyberangriff oder eine Betriebsstörung bei einem IKT-Drittanbieter kann ganze Finanzsysteme gefährden.

DORA verpflichtet daher Finanzunternehmen dazu:

Die Sicherheit und Zuverlässigkeit ihrer IT-Drittanbieter streng zu überwachen.

Verträge mit Drittanbietern strenger zu regeln.

Risikomanagementprozesse einzuführen, um die Abhängigkeit von einzelnen Dienstleistern zu reduzieren.

 

Zu den wesentlichen Verpflichtungen gehören:

1. Einführung eines IKT-Risikomanagements

  • Finanzunternehmen müssen ein detailliertes IKT-Risikomanagement-System implementieren.
  • Vorgaben zu Identifikation, Schutz, Erkennung, Reaktion und Wiederherstellung bei IT-Sicherheitsvorfällen.
  • Laufende Überprüfung und Anpassung der Sicherheitsmaßnahmen.

2. Meldepflicht für Cybervorfälle

  • Unternehmen sind verpflichtet, schwerwiegende IT-Sicherheitsvorfälle innerhalb von 24 Stunden zu melden.
  • Einführung standardisierter Berichtsformate für alle Mitgliedstaaten.

3. Verpflichtende Tests der IT-Sicherheit

  • Finanzinstitute müssen regelmäßige Penetrationstests und Krisensimulationen durchführen.
  • Externe Red-Team-Tests für kritische Systeme.

4. Strenge Aufsicht über Drittanbieter

  • Einführung eines Aufsichtsrahmens für kritische IKT-Drittanbieter, die von Finanzinstituten genutzt werden.
  • Regulierungsbehörden können Anbieter überprüfen, Maßnahmen anordnen und Sanktionen verhängen.

5. Dokumentationspflichten und interne Kontrollsysteme

  • Finanzunternehmen müssen detaillierte Berichte und Dokumentationen über ihre IT-Sicherheitsmaßnahmen führen.
  • Strenge Compliance-Vorgaben zur internen Überwachung der IKT-Risiken.

Sanktionen und Durchsetzung

Verstöße gegen DORA können schwerwiegende Konsequenzen haben:

  • Nationale Aufsichtsbehörden (z. B. BaFin in Deutschland) können hohe Geldstrafen verhängen.
  • IT-Dienstleister können von der Erbringung von Finanzdienstleistungen ausgeschlossen werden.
  • Bei grober Fahrlässigkeit können Manager persönlich haftbar gemacht werden.

Die Durchsetzung erfolgt durch nationale Behörden, die mit der Europäischen Bankenaufsichtsbehörde (EBA), der Europäischen Wertpapieraufsichtsbehörde (ESMA) und der Europäischen Versicherungsaufsicht (EIOPA) zusammenarbeiten.


Was bedeutet DORA für die Praxis?

Die Verordnung (EU) 2022/2554 stellt einen tiefgreifenden Wandel in der Regulierung der IT-Sicherheit im Finanzsektor dar. Sie bringt einerseits mehr Sicherheit und Einheitlichkeit, führt aber andererseits zu einem erheblichen bürokratischen Mehraufwand.

Besonders betroffen sind:
Banken, Versicherungen und Finanzdienstleister, die umfangreiche Compliance-Maßnahmen umsetzen müssen.
FinTech-Unternehmen, die hohe Sicherheitsstandards erfüllen müssen.
IKT-Drittanbieter, die erstmals direkt in die Regulierung einbezogen werden.

Für Finanzunternehmen bedeutet DORA:
Höhere IT-Sicherheitskosten durch neue Sicherheitsmaßnahmen.
Strengere Meldepflichten für Cyberangriffe.
Mehr regulatorische Kontrolle über Drittanbieter.

Die Verordnung soll ein entscheidender Schritt sein, um die Finanzmärkte der EU zukunftssicher und widerstandsfähiger gegen digitale Bedrohungen zu machen.

 

Was kostet die Umsetzung des Digital Operational Resilience Act (DORA)?

Die Umsetzung des Digital Operational Resilience Act (DORA) bringt für Finanzinstitute erhebliche Investitionen mit sich. Laut einer Umfrage von McKinsey planen die meisten Finanzinstitute, zwischen 5 und 15 Millionen Euro für die Entwicklung von DORA-Strategien, Planung, Design und Orchestrierung aufzuwenden. Frühe Schätzungen deuten darauf hin, dass die gesamten Umsetzungskosten das Fünf- bis Zehnfache dieses Betrags betragen könnten, was auf 25 bis 150 Millionen Euro pro Institut hinausläuft. Zudem widmen 40 % der befragten Finanzinstitute und IKT-Anbieter mehr als sieben Vollzeitäquivalente ihren DORA-Compliance-Programmen.

Diese Investitionen umfassen verschiedene Bereiche, darunter:

  • IKT-Risikomanagement: Implementierung und Wartung robuster Risikomanagementsysteme.
  • Vorfallmeldeverfahren: Einrichtung von Prozessen zur Erkennung, Klassifizierung und Meldung von IKT-bezogenen Vorfällen.
  • Tests der digitalen Resilienz: Durchführung regelmäßiger Penetrationstests und anderer Resilienzprüfungen.
  • Management von Drittanbieter-Risiken: Überwachung und Steuerung von Risiken, die durch IKT-Drittanbieter entstehen.

Es ist wichtig zu beachten, dass die tatsächlichen Kosten je nach Größe, Komplexität und bestehender Infrastruktur des jeweiligen Finanzinstituts variieren können. Eine detaillierte Kosten-Nutzen-Analyse ist daher unerlässlich, um die spezifischen finanziellen Auswirkungen der DORA-Umsetzung für jedes Institut zu bestimmen.

Eine Modell-Rechnung für DORA

Kosten-Nutzen-Analyse der Verordnung (EU) 2022/2554 (DORA)

Die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz (DORA) bringt für Finanzinstitute und IKT-Drittanbieter erhebliche Kosten und Investitionen mit sich. Gleichzeitig bietet sie aber auch langfristige Vorteile, insbesondere durch die Reduzierung von Cyberrisiken und eine stabilere Finanzmarktinfrastruktur.

Diese Kosten-Nutzen-Analyse bewertet die finanziellen und operativen Auswirkungen von DORA, indem sie die erwarteten Aufwendungen den potenziellen Vorteilen gegenüberstellt.


Kosten der Umsetzung von DORA

Einmalige Implementierungskosten

Die erstmalige Umsetzung von DORA erfordert hohe Investitionen in IT-Infrastruktur, Compliance und Personal. Die Kosten variieren je nach Unternehmensgröße und bestehendem Sicherheitsniveau.

Kostenkategorie Schätzungen pro Institut Erläuterung
IKT-Risikomanagement 5–15 Mio. € Entwicklung neuer Sicherheitsrichtlinien, Anpassung interner Prozesse
Cybersecurity-Upgrades 10–50 Mio. € Neue Firewalls, Verschlüsselungstechnologien, Sicherheitssoftware
IKT-Tests & Resilienzprüfungen 2–10 Mio. € Durchführung von Penetrationstests und Red-Teaming
Meldepflicht-Compliance 1–5 Mio. € Implementierung von Vorfallsmanagement und Reporting-Systemen
Schulung & Awareness 500.000 – 2 Mio. € Schulungen für Mitarbeiter und Management
Gesamtkosten 25–150 Mio. € Abhängig von Größe und Struktur des Unternehmens

Laufende Kosten

Zusätzlich zur erstmaligen Implementierung fallen langfristige Betriebskosten für Compliance, Monitoring und Tests an.

Laufende Kostenkategorie Jährliche Kosten Erläuterung
Personal & Compliance 2–10 Mio. € Neue Compliance-Abteilungen, Auditoren, IT-Sicherheitsexperten
Regelmäßige Tests & Audits 1–5 Mio. € Jährliche IT-Sicherheitsprüfungen und Penetrationstests
Drittanbieter-Überwachung 1–3 Mio. € Erhöhte regulatorische Anforderungen für Cloud- und IT-Dienstleister
Software-Updates & Cybersecurity-Maßnahmen 3–15 Mio. € Fortlaufende Anpassungen und Investitionen in IT-Sicherheit
Gesamtkosten pro Jahr 7–30 Mio. € Abhängig von Unternehmensgröße und bestehender IT-Sicherheitsstruktur

Nutzen und Vorteile von DORA

Finanzielle Vorteile durch Risikominimierung

Die Hauptvorteile von DORA liegen in der Reduzierung von Cyberrisiken, IT-Ausfällen und regulatorischen Strafen. Die durchschnittlichen Kosten eines schweren Cyberangriffs auf ein Finanzunternehmen liegen bei 4–10 Mio. € pro Vorfall (Quelle: IBM Cost of a Data Breach Report).

Durch DORA könnten Unternehmen:

  • Häufigkeit und Schwere von Cyberangriffen reduzieren (bis zu 50 % weniger Vorfälle).
  • IT-Ausfälle minimieren, die hohe direkte und indirekte Kosten verursachen.
  • Geldstrafen und Schadensersatzforderungen vermeiden, die oft in zweistelliger Millionenhöhe liegen.

Schätzungen zum Risikomanagement-Effekt von DORA:

Bereich Potenzielle Einsparungen pro Jahr
Verhinderung von Cyberangriffen 5–50 Mio. €
Reduzierung von IT-Ausfällen 2–10 Mio. €
Einsparungen durch geringere Regulierungsstrafen 1–5 Mio. €
Gesamteinsparungen pro Jahr 8–65 Mio. €

Wettbewerbsvorteile und Kundenvertrauen

Unternehmen, die DORA effizient umsetzen, profitieren von:
Besserem Kundenvertrauen durch nachweislich hohe IT-Sicherheit.
Kostensenkung durch optimierte Prozesse und effizientere IKT-Risikomanagement-Systeme.
Erleichtertem Zugang zu neuen Märkten, da hohe Sicherheitsstandards international anerkannt sind.

Vermeidung von Reputationsschäden

Ein schwerwiegender IT-Sicherheitsvorfall kann Milliardenverluste durch Aktienkurseinbrüche, Kundenabwanderung und Rechtskosten verursachen. DORA hilft, solche Ereignisse frühzeitig zu verhindern.


Lohnt sich DORA für Unternehmen?

Aspekt Kosten pro Jahr Nutzen pro Jahr
Investitionen in Compliance & IT-Sicherheit 7–30 Mio. €
Einsparungen durch weniger Cyberangriffe & IT-Ausfälle 8–65 Mio. €
Vermeidung von Strafen & Reputationsschäden 2–10 Mio. €
Netto-Bilanz 7–30 Mio. € Kosten 10–75 Mio. € Nutzen


Langfristig kann sich die Umsetzung von DORA finanziell lohnen. Während die Anfangsinvestitionen hoch sind, übersteigen die möglichen Einsparungen durch geringere Cyberrisiken und stabilere IT-Systeme mittelfristig die Kosten. Unternehmen, die frühzeitig in DORA-Compliance investieren, können Wettbewerbsvorteile erzielen und regulatorische Risiken minimieren.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Translate »