Eine für alle(s)

So gut wie alle beaufsichtigten Finanzunternehmen des europäischen Finanzsektors fallen unter DORA. Diese Verordnung führt verschiedene Anforderungen hinsichtlich Cybersicherheit, des Umgangs mit IKT-Risiken sowie der digitalen operationalen Resilienz zusammen.

Die BaFin und die Deutsche Bundesbank haben die Umsetzung von DORA begleitet, insbesondere durch Anpassung der Aufsichts- und Verwaltungspraxis und durch Implementierung von eigenen IT-Prozessen und -Systemen im Rahmen von DORA. So ist jetzt beispielsweise die BaFin in Deutschland der nationale Melde-Hub für IKT-Vorfälle im Finanzsektor. Außerdem nimmt die BaFin verpflichtende Anzeigen im Rahmen des IKT-Drittparteienrisikomanagements entgegen und analysiert sie mit Blick auf potenzielle Risiken für den Finanzsektor.
Die BaFin unterstützt beaufsichtigte Finanzunternehmen bei der Umsetzung von DORA – beispielsweise mit Veranstaltungen, Gesprächen mit Expertinnen und Experten und dieser Informationsseite. Hier sind die wichtigsten Informationen zu DORA und deren Umsetzung zusammengestellt. Die Website wird laufend aktualisiert.

Regelungsinhalt

DORA soll die digitale operationale Resilienz des gesamten europäischen Finanzsektors in diesen sechs wesentlichen Bereichen stärken:

• IKT-Risikomanagement (Kapitel II, Artikel 5 bis 16)
• Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle (Kapitel III, Artikel 17 bis 23)
• Testen der digitalen operationalen Resilienz einschließlich Threat-led Penetration Testing (TLPT) (Kapitel IV, Artikel 24 bis 27)
• Management des IKT-Drittparteienrisikos, einschließlich Informationsregister und Anzeigepflichten (Kapitel V, Abschnitt I, Artikel 28 bis 30)
• Überwachungsrahmen für kritische IKT-Drittdienstleister (Kapitel V, Abschnitt II, Artikel 31 bis 44)
• Vereinbarungen über den Austausch von Informationen sowie Cyberkrisen- und Notfallübungen (Kapitel VI, Artikel 44 und Kapitel VII, Artikel 49)

Weitere Einzelheiten zu den sechs wesentlichen Bereichen von DORA finden Sie auf den oben verlinkten thematischen Unterseiten. Hinweise zur technischen Umsetzung von regulatorischen Anforderungen über die Melde- und Veröffentlichungsplattform der BaFin finden Sie auf der Unterseite MVP Fachverfahren „Digital Operational Resilience Act (DORA)“.

DORA findet seit dem 17. Januar 2025 Anwendung.

Die drei Europäischen Aufsichtsbehörden – die EU-Wertpapieraufsichtsbehörde (European Securities and Markets Authority – ESMA), die EU-Bankenaufsichtsbehörde (European Banking Authority – EBA) und die EU-Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (European Insurance and Occupational Pensions Authority – EIOPA), haben gemeinsam dazu technische Regulierungsstandards, Implementierungsstandards und Leitlinien erarbeitet, um die Anwendung von DORA in allen Sektoren weiter zu konkretisieren, vgl. die Tabelle DORA - Level 2 und 3 unten.

Neben DORA wurde zeitgleich eine DORA-Änderungsrichtlinie mit dem Ziel veröffentlicht, sektorale europäische Richtlinien konsistent mit den Anforderungen von DORA zu halten. So wurden beispielsweise TLPT unter DORA in den SREP-Prozess der Eigenkapitalrichtlinie (Capital Requirements Directive – CRD) aufgenommen. Die DORA-Änderungsrichtlinie ändert die europäischen Richtlinien 2009/65/EG (OGAW-Richtlinie), 2009/138/EG (Solvency II Richtlinie), 2011/61/EU (AIFM-Richtlinie), 2013/36/EU (Eigenkapitalrichtlinie; CRD), 2014/59/EU (Abwicklungsrichtlinie), 2014/65/EU (MiFID II), (EU) 2015/2366 (PSD II) und (EU) 2016/2341 (EbAV-II-Richtlinie).

Zum Hintergrund

Das Europäische Parlament und der Europäische Rat haben am 14. Dezember 2022 DORA, die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act), beschlossen. Die Verordnung wurde am 27. Dezember 2022 im Amtsblatt der europäischen Union veröffentlicht und wird seit dem 17. Januar 2025 angewendet.

Die Europäische Kommission hatte den Legislativvorschlag zu DORA am 24. September 2020 als Teil des Pakets zur Digitalisierung des Finanzsektors vorgelegt. Dieses Paket umfasst auch einen Rechtsakt über Märkte für Kryptowerte (Markets in Crypto-Assets Regulation – MiCAR, Verordnung (EU) 2023/1114), einen Vorschlag über eine Pilotregelung für auf Distributed-Ledger-Technologie (DLT) basierende Marktinfrastrukturen sowie eine Strategie für ein digitales Finanzwesen.

Übrigens: Der deutsche Finanzsektor und die Aufsicht waren schon gut auf DORA vorbereitet, denn einzelne Instrumente, die die BaFin in der Vergangenheit bereits geschaffen hat, um die IKT-Sicherheit des deutschen Finanzsektors zu erhöhen, finden sich in DORA wieder: harmonisierte Anforderungen an das IKT-Risikomanagement für die einzelnen Finanzsektoren (BAIT, ZAIT, VAIT, KAIT), vereinheitlichte Auslagerungsanzeigen, Überwachungsrahmen für IT-Mehrmandantendienstleister und vereinheitlichte Strukturen für das Meldewesen von IKT-bezogenen Vorfällen.

Umsetzung in Deutschland

Das Gesetz über die Digitalisierung des Finanzmarktes (Finanzmarktdigitalisierungsgesetz – FinmadiG) wurde am 27. Dezember 2024 im Bundesgesetzblatt veröffentlicht und ist noch 2024 in Kraft getreten. Dieses Gesetz dient der zusammengefassten Durchführung bzw. Umsetzung der Europäische Verordnung MiCAR, der Neufassung der EU-Geldtransferverordnung (Transfer of Funds Regulation, Verordnung (EU) 2023/1113) sowie des europäischen DORA-Pakets (Digital Operational Resilience Act, Verordnung (EU) 2022/2554 und Richtlinie (EU) 2022/2556).

Weitere Informationen zur technischen Umsetzung von DORA bei der BaFin finden Sie hier.

Delegierte Rechtsakte, Regulierungs- und Durchführungsstandards zu DORA sowie gemeinsame Leitlinien (Level 2 und 3)

DORA als europäische Verordnung ist entsprechend dem im Finanzsektor üblichen Lamfalussy-Verfahren der Basisrechtsakt (Level 1). DORA legt grundlegende Anforderungen fest und enthält Ermächtigungen für Konkretisierungen durch delegierte Rechtsakte, technische Regulierungsstandards (Regulatory Technical Standard, RTS) und technische Durchführungsstandards (Implementing Technical Standard, ITS) (Level 2) sowie gemeinsame Leitlinien (Joint Guidelines) der drei ESAs (EBA, EIOPA und ESMA) (Level 3).

Zu DORA gibt es die folgenden Level 2/3-Texte:

Außerdem wurde ein Bericht zur Zentralisierung des Meldewesens veröffentlicht.

Auf den thematischen Unterseiten dieser Informationsseite finden Sie teilweise weitergehende Informationen zu den einzelnen Rechtstexten.

DORA: Veröffentlichungen der BaFin

• Vorbereitung auf DORA: "Zacken zugelegt" (17.01.2025)
• Nicht jede Konzentration ist ein Risiko (07.01.2025)
• Dokumentationsanforderungen regulärer IKT-Risikomanagementrahmen (17.12.2024)
• Übersicht der BaFin schafft „Mehrwert für alle Beteiligten (17.12.2024)
• Simulierte Angriffe im Dienst der Sicherheit (07.11.2024)
• Aufsichtsmitteilung „Hinweise zur Umsetzung von DORA im IKT-Risikomanagement und IKT-Drittparteienrisikomanagement“ inkl. Übersicht Mindestvertragsbestandteile (08.07.2024)
• „Von Altbewährtem lösen“ (08.07.2024)
• Transparenz dank Meldepflicht (18.06.2024)
• „Machen Sie sich jetzt startklar für DORA“ (08.05.2024)
• Auslagerungen im Finanzsektor: Mehr Transparenz schafft Sicherheit (11.04.2024)
• DORA: Der Countdown läuft (27.02.2024)
• „Doch, die BaFin erlaubt das!“ (22.02.2024)
• DORA bietet große Chancen (05.12.2023)
• „Der regulatorische Druck kann die Digitalisierung der Finanzindustrie vorantreiben“ (25.07.2023)
• Grenzüberschreitende Probleme? Grenzüberschreitende Lösungen – durch DORA (22.09.2022)
• MiCA und DORA: BaFin zu Fortschritten bei den Trilogverhandlungen (20.07.2022)

DORA: Was müssen Sie wissen?

Sollten Sie Fragen rund um das Thema DORA haben, wenden Sie sich bitte an unser zentrales Funktionspostfach:

Auslegungsfragen zur europäischen Verordnung DORA und den delegierten Verordnungen und Durchführungsverordnungen können bei den europäischen Aufsichtsbehörden (EBA, EIOPA und ESMA) über die bestehenden Prozesse zu Questions & Answers (Q&A) eingereicht werden.
Die Antworten können entweder auf den einzelnen Seiten der ESAs eingesehen werden (EIOPA Search QAs - European Union (europa.eu), EBA Search for Q&As | European Banking Authority (europa.eu), ESMA Search a question | European Securities and Markets Authority (europa.eu)) oder in dem Dashboard für Joint-Q&As (hier: joint Q&As (europa.eu)).

Außerdem vermittelt der folgende Fragenkatalog zu DORA, ohne Anspruch auf Vollständigkeit, einen ersten Überblick über die wichtigsten Fragestellungen zu DORA und deren Umsetzung. Themenspezifische Fragen finden Sie auf den jeweiligen Unterseiten.