Der Digital Operational Resilience Act, abgekürzt DORA, liegt nun seit November 2022 als finale Fassung der „ Verordnung über die digitale operationale Resilienz im Finanzsektor“ vor und wurde vom EU-Parlament und EU-Rat verabschiedet. Sie trat am 17.01.2023 in Kraft. Für die 79 Seiten umfassende DORA-Verordnung (Verordnung (EU) 2022/2554), haben betroffene Unternehmen und Behörden nun 24 Monate zur Implementierung.

Weiterhin steht die digitale operationale Resilienz im Finanzsektor Im Fokus der Bankenaufsicht. Mit DORA soll den wachsenden Cyberrisiken weiter begegnet werden.
Nicht erst durch die fortschreitende Digitalisierung des Bankgeschäfts und die pandemiebedingte Homeoffice-Arbeit, sondern auch durch die aktuelle politische Lage durch den Ukraine-Krieg, gewinnt die zunehmende Bedrohung durch Cyberangriffe stetig an Bedeutung.
Finanzunternehmen könnten durch direkte und indirekte Forderungen gegenüber Russland, Ukraine und Belarus erhebliche Verluste verzeichnen. Die Gefahr von Cyberangriffen ist dabei so hoch wie nie zuvor.

Aber was bedeutet die Umsetzung von DORA nun für den Finanzsektor?
Die DORA-Verordnung gilt dabei grundsätzlich für alle Finanzunternehmen und IKT-Drittdienstleister. Dazu gehören alle Versicherungs- und Rückversicherungsunternehmen, Ratingagenturen, Wertpapierfirmen, Kreditinstitute, Zahlungsinstitute, EGeld-Institute, Kontoinformationsdienstleister, Zentralverwahrer, Anbieter von Krypto-Dienstleistungen als auch für Unternehmen wie Verbriefungs- und Transaktionsregister, Handelsplätze und Datenbereitstellungsdienste.
Als IKT-Drittdienstleister“ werden Unternehmen definiert, die IKT-Dienstleistungen bereitstellen erbringen. Also z.B. Cloud-Computing-Dienste, Software, Datenanalysedienste und Rechenzentren.

DORA beinhaltet dabei teilweise bereits bekannten Regularien, wie z. B. MaRisk/BAIT, MaGo/VAIT, KAMaRisk/KAIT, ZAIT. Es finden sich darin aber auch Detaillierungen und Ergänzungen gegenüber den oben genannten Regularien. Diese Anforderungserweiterung führt zu einem umfangreichen Umsetzungsaufwand in der Finanzwelt. Das Ausmaß ist individuell abhängig von der Größe und den Risiken des Geschäftsmodells sowie dem Reifegrad der digitalen operationalen Resilienz des jeweiligen Finanzunternehmens.

Finanzunternehmen und einschlägige IKT-Drittdienstleister sind dabei gut beraten, die verbleibende Zeit bis zur Anwendung der DORA-Verordnung (Januar 2025) zu nutzen und sich frühzeitig mit der Umsetzung der DORA-Anforderungen zu beschäftigen. Dabei ist eine GAP-Analyse über aktuelle bestehende eigene digitale operationelle Widerstandsfähigkeit sicher sinnvoll.
Als zusätzliche Unterstützung können die Ergebnisse der aktuellen BAIT-Prüfungspraxis als auch die Verfolgung der aktuellen Initiativen von EBA/EZB hinzugenommen werden.