searchclose

DORA

zu den Fokusthemen

DORA – Digital Operational Resilience Act

Überblick der neuen EU-Anforderungen an die IKT-Systeme von KVGen im Vergleich zur KAIT

Mit zunehmender Digitalisierung sind in den letzten Jahren Bedrohungen gegenüber den Informations- und Kommunikationstechnologie (IKT)-Systemen von Finanzunternehmen deutlich gestiegen. Durch Gefährdungen wie beispielsweise Cyberattacken können neben den Unternehmen selbst auch Kunden von Ausfällen der IKT-Systeme betroffen sein. Um solche Risiken zu managen und die IT-Sicherheit zu wahren, wurden nationale Regularien wie MaRisk, KaMaRisk und MaGo (MaX) eingeführt. Weitere Spezifizierungen der MaX folgten in den Richtlinien BAIT, KAIT und VAIT (XAIT).

Mit dem Digital Operational Resilience Act (DORA) trat am 16.01.2023 eine weitere Regularie in Kraft mit dem Ziel der Wahrung digitaler Betriebsstabilität von Finanzunternehmen gegenüber technologischen Bedrohungen. Neben Finanzunternehmen wie z.B. Kapitalverwaltungsgesellschaften sind nun auch IKT-Drittanbieter wie Hyperscaler von der neuen Regularie betroffen.

 

»Ein früher Start mit der Umsetzung von DORA ist durch die hohe Deckung mit Anforderungsobjekten der KAIT empfehlenswert.«
— Andre Rentschler

Kontakt
Experten

Tristan
Pötzsch

André
Rentschler

Paul
Wunderlich

Lukas
Wagner

Einbettung in die bestehende regulatorische Landschaft

Mit DORA bleiben die bisherigen Regularien MaX bzw. XAIT, die die Themen wie z.B. IT-Strategie oder IAM umfassen und damit von zentraler Bedeutung für die IT-Sicherheit von Finanzunternehmen sind, weiterhin bestehen. Sowohl diese Richtlinien als auch weitere Regularien und Frameworks bilden Schnittmengen mit DORA und werden in bestimmten Bereichen nachgeschärft und auch um neue Themen erweitert.

Direktvergleich DORA und KAIT

Für Kapitalverwaltungsgesellschaften ist KAIT die maßgebende nationale Richtline für IT Governance und Informationssicherheit. Im Vergleich zu DORA deckt KAIT die IT übergreifender ab was das allgemeine Risikomanagement angeht, während DORA sich auf digitale Betriebsstabilität, Vorfälle und Risiken fokussiert. Welche Themen der KAIT in DORA enthalten sind und inwiefern DORA die bestehende Richtlinie abdeckt, führen wir im Folgenden auf:

 

Inhalte der umsetzungsrelevanten Kapitel

Kapitel II
  • Erfordernis eines IKT-Risikomanagementframeworks (RMF) und dessen Mindestanforderungen
  • Verantwortlichkeit für das RMF bei Leitungsorganen, die entsprechendes Fachwissen aufweisen müssen
Kapitel III
  • Vorgehensweisen zum Management von IKT-Vorfällen
  • Pflicht zur Meldung von schwerwiegenden IKT-Vorfällen an die nationale Aufsicht
  • Freiwillige Meldung von erheblichen Cyberbedrohungen an Behörden und Kunden
  • Vorschlag zur Einrichtung einer EU-zentralen Meldeplattform für IKT-Vorfälle
Kapitel IV
  • Erfordernis eines umfassenden Programms zur Prüfung der digitalen Betriebsstabilität als Teil des IKT-RMF
  • Verpflichtende reguläre Tests an kritischen oder wichtigen IKT-Tools und -Systemen
  • Bedrohungsorientierte Penetrationstests (TLPTs) an Live-Produktionssystemen, die kritische oder wichtige Funktionen unterstützen, für sich dazu qualifizierende Finanzunternehmen
Kapitel V
  • Pflicht und Spezifikationen zum Management der IKT-Drittanbieterrisiken, welches einen Teil des IKT-RMF darstellt
  • Anforderungen und Spezifikation zur Nutzung von IKT-Drittanbietern einschließlich Drittanbieter-Verträge und Unterverträge
Kapitel VI
  • Freiwilliger Informationsaustausch zu Cyberbedrohungen zwischen Finanzunternehmen
  • Definition von Rahmenbedingungen zum Informationsaustausch

Timeline zur Umsetzung und Durchführung von DORA (Stand 15.03.2023)

Handlungsempfehlungen

Aus der Anwendung von DORA Anfang 2025 folgt ein kurzer Umsetzungszeitraum, weshalb bereits jetzt eine Gap-Analyse dringend zu empfehlen ist. Basierend darauf und abhängig vom Aufwand und Klarheit der Kapitel sollte mit der Umsetzung bereits vor ersten Einblicken in RTS und ITS, welche mit den öffentlichen Konsultationen im Juni 2023 zu erwarten sind, begonnen werden.

 

Disclaimer: Bei der Erstellung des Inhalts ist die größtmögliche Sorgfalt verwendet worden, dennoch bleiben Änderungen, Irrtümer und Auslassungen vorbehalten. Die getroffenen Aussagen basieren auf Beurteilungen, historischen Daten und rechtlichen Einschätzungen zum Zeitpunkt der Erstellung des Inhalts. Alle Angaben erfolgen ohne Gewähr für die inhaltliche Richtigkeit und Vollständigkeit. Die Überlassung des Inhalts erfolgt nur für den internen Gebrauch des Empfängers. Die Aufbereitung stellt keine Rechts- oder Anlageberatung dar. Diese muss individuell unter Berücksichtigung der Umstände des Einzelfalls erfolgen.

Für eine bessere Lesbarkeit wird auf dieser Website das generische Maskulinum verwendet, wobei alle Geschlechter gleichermaßen gemeint sind.

AI Act
AI Act – Regulatorik künstlicher Intelligenz
05.04.2023
zum Fokusthema
EMIR – Refit
EMIR – Refit – Transaktionsmeldung
21.01.2021
zum Fokusthema
T+1 Verkürzung des Settlementzyklus
T+1 - Die Zukunft des Settlements
19.07.2022
zum Fokusthema
Bankaufsichtliche Anforderungen an die IT
BAIT Novelle 2021
30.05.2022
zum Fokusthema
CSDR
CSDR - Settlement Disziplin im Asset Management
21.01.2021
zum Fokusthema
Eurosystem Collateral Management System (ECMS)
ECMS - Harmonisierung nationaler Collateral Management Systeme zum Eurosystem Collateral Management System (ECMS)
28.10.2022
zum Fokusthema
SFTR
SFTR - Meldepflicht für Security Finance
19.01.2021
zum Fokusthema
SRD II
SRD II - Aktionärsrechterichtlinie ARUG II
21.01.2021
zum Fokusthema
Wir nutzen Cookies zur Webanalyse.Informationen zum Datenschutz
ablehnen
einwilligen