Inhalte der Verordnung (EU) 2022/2554 DES EUROPÄISCHEN PARLAMENTS UND DES RATES
vom 14. Dezember 2022
Inhalte der DORA-VO
Die Digital Operational Resilience Act (DORA) der EU legt umfassende Regeln fest, um die digitale operationale Resilienz im Finanzsektor zu stärken. Sie fordert Finanzunternehmen auf, IKT-Risiken systematisch zu identifizieren, zu verwalten und zu melden, um ihre digitale Widerstandsfähigkeit gegen Cyberbedrohungen und technische Störungen zu erhöhen. DORA zielt darauf ab, Lücken in bestehenden Sicherheitsregelungen zu schließen und für EU-weit harmonisierte Anforderungen zu sorgen.
Kernpunkte der DORA-Verordnung:
- IKT-Risikomanagement: Finanzunternehmen müssen IKT-Risiken identifizieren, bewältigen und ihre Widerstandsfähigkeit kontinuierlich testen. Regelmäßige Bedrohungsanalysen und Präventionsstrategien sind verpflichtend.
- Meldepflichten: Unternehmen müssen IKT-Vorfälle zeitnah an ihre nationalen Aufsichtsbehörden melden, was eine zentrale Plattform für die EU-weite Meldung beinhalten könnte. Der Austausch relevanter Informationen über Cybervorfälle wird ebenfalls gefördert.
- Test der digitalen Resilienz: Pflicht zu regelmäßigen und umfassenden Tests, einschließlich Penetrationstests, um die Widerstandsfähigkeit gegen IKT-Bedrohungen zu gewährleisten. Diese Tests sollen Schwachstellen aufdecken und die Verteidigungsfähigkeit des Unternehmens verbessern.
- Management von Drittanbieter-Risiken: DORA stellt hohe Anforderungen an die Verträge und Überwachung der IKT-Dienstleister. Finanzunternehmen müssen sicherstellen, dass ihre Anbieter den Sicherheitsstandards entsprechen und im Ernstfall keine zusätzlichen Risiken darstellen.
- Regulierung und Sanktionen: Nationale Behörden und europäische Aufsichtsbehörden werden die Einhaltung der Verordnung streng überwachen. Bei Verstößen gegen DORA können erhebliche Sanktionen verhängt werden.
Die DORA-Verordnung bringt klare Leitlinien und Mindestanforderungen für Cybersicherheit und Resilienz im Finanzsektor und gilt als einheitlicher Rahmen für den Umgang mit IKT-Risiken in Europa.