Experten für (IT) Compliance und (IT) Audit mit Fokus auf ISO 27001 - C5 - DORA - KRITIS - NIS2
Grundlegendes zu DORA
Ein Blick in die Historie
Die VERORDNUNG (EU) 2022/2554 DES EUROPÄISCHEN PARLAMENTS UND DES RATES, vom 14. Dezember 2022 ist lange diskutiert und immer wieder angepasst worden. Seit dem 16.01.2023 ist sie nun durch Unternehmen im Finanzsektor und deren IT-Dienstleister zu berücksichtigen bzw. entsprechend umzusetzen – und die Zeit läuft.
Gerne unterstützen wir Sie mit unserer langjährigen Erfahrung in der Umsetzung von regulatorischen Anforderungen in Ihrem Unternehmen.
Vielen Dank für Ihre Anfrage.
Beim Absenden des Formulars ist ein Fehler aufgetreten. Bitte überprüfen Sie noch einmal alle Formularfelder.
2020
Vorbereitungen auf DORA unter deutscher EU Ratspräsidentschaft
24.09.2020 erfolgt die erste Veröffentlichung der DORA durch die EU Kommission
2021 / 2022
In 2021
Verhandlungen unter unterschiedlichen Ratspräsidentschaften.
Durch das EU Parlament ein Bericht als Grundlage für ein Verhandlungsmandat im Trilog zwischen Rat, Kommission und EU Parlament erstellt.
In 2022
Durchführung der Trilogverhandlungen
10.11.22 stimmt EU Parlament DORA zu
28.11.22 nimmt EU Rat Rechtsakt an
2023 / 2024
16.01.2023 Inkrafttreten
Zwei delegierten Verordnungen werden erstellt
Verschiedene technische Regulierungs- und Durchführungsstandards sind durch ESAs (European Supervisory Authorities) zu erstellen (RTS und ITS), mit Fertigstellung / Veröffentlichung in 2023/2024
2025
Vollumfängliche Anwendung ab 2025
Zeit verstrichen
Nur noch wenige Monate Zeit für die Umsetzung!
Für was steht DORA?
DORA steht für einen einheitlichen aufsichtsrechtlichen Ansatz und setzt auf die Harmonisierung der Sicherheitspraktiken in der EU.
Für die Einführung und Überwachung sind drei europäische Aufsichtsbehörden (European Supervisory Authorities – kurz ESA) verantwortlich. Im Einzelnen sind dies die Europäische Aufsichtsbehörde für
das Versicherungswesen und die betriebliche Altersversorgung (EIOPA),
die Europäische Bankenaufsichtsbehörde (EBA) sowie
die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA).
Was will die EU mit DORA erreichen?
Einen einheitlichen gesetzlichen Rahmen für das Management von Cybersicherheits- und IKT-Risiken auf den Finanzmärkten zu schaffen.
Unter Berücksichtigung der Schwerpunkt zur Sicherstellung der Aufrechterhaltung eines widerstandsfähigen Betriebs im Falle einer schwerwiegenden Betriebsunterbrechung.
Verhinderung einer Gefährdung der Sicherheit des Netzes und der Informationssysteme.
Welche Unternehmen müssen sich darum „kümmern“?
DORA ist nicht nur für Finanzdienstleister und Versicherungen selbst, sondern gleichwohl, vielleicht sogar insbesondere, für die IT-Dienstleister für den Finanz- und Versicherungssektor von gehobenem Interesse.
Für kritische IT-Drittanbieter und Subunternehmen geht aus der DORA hervor, dass z.B. ausschließlich Dienstleister und Anbieter aus der EU zuzulassen sind.
IT-Dienstleister können von den ESAs ihren Auftrag entzogen bekommen, für Institutionen tätig zu sein!
Die ESAs haben erweiterte Befugnisse zur Durchsetzung erhalten wie Vertragskündigungs- bzw. -durchsetzungsforderungen oder die Verhängung von Geldstrafen. So ist beispielsweise vorgesehen, dass die ESA Geldstrafen von bis zu einem Prozent des weltweiten Tagesumsatzes verhängen und Finanzunternehmen auffordern können, Verträge mit Dienstleistern aufgrund von Nichteinhaltung der Anforderungen zu kündigen, was bedeutet, dass immer Ersatzlieferanten vorzuhalten sind.
Wer sollte sich in den Unternehmen damit beschäftigen?
Zu den Unternehmensbereichen, auf die die regulatorischen Anforderungen in einem Versicherungs- bzw. Finanzunternehmen Auswirkungen haben, zählen unter anderem:
Um dir ein optimales Erlebnis zu bieten, verwenden wir Technologien wie Cookies, um Geräteinformationen zu speichern und/oder darauf zuzugreifen. Wenn du diesen Technologien zustimmst, können wir Daten wie das Surfverhalten oder eindeutige IDs auf dieser Website verarbeiten. Wenn du deine Zustimmung nicht erteilst oder zurückziehst, können bestimmte Merkmale und Funktionen beeinträchtigt werden.
Funktional
Immer aktiv
Die technische Speicherung oder der Zugang ist unbedingt erforderlich für den rechtmäßigen Zweck, die Nutzung eines bestimmten Dienstes zu ermöglichen, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wird, oder für den alleinigen Zweck, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz durchzuführen.
Vorlieben
Die technische Speicherung oder der Zugriff ist für den rechtmäßigen Zweck der Speicherung von Präferenzen erforderlich, die nicht vom Abonnenten oder Benutzer angefordert wurden.
Statistiken
Die technische Speicherung oder der Zugriff, der ausschließlich zu statistischen Zwecken erfolgt.Die technische Speicherung oder der Zugriff, der ausschließlich zu anonymen statistischen Zwecken verwendet wird. Ohne eine Vorladung, die freiwillige Zustimmung deines Internetdienstanbieters oder zusätzliche Aufzeichnungen von Dritten können die zu diesem Zweck gespeicherten oder abgerufenen Informationen allein in der Regel nicht dazu verwendet werden, dich zu identifizieren.
Marketing
Die technische Speicherung oder der Zugriff ist erforderlich, um Nutzerprofile zu erstellen, um Werbung zu versenden oder um den Nutzer auf einer Website oder über mehrere Websites hinweg zu ähnlichen Marketingzwecken zu verfolgen.