Grundlegendes zu DORA

Ein Blick in die Historie

Die VERORDNUNG (EU) 2022/2554 DES EUROPÄISCHEN PARLAMENTS UND DES RATES, vom 14. Dezember 2022 ist lange diskutiert und immer wieder angepasst worden. Seit dem 16.01.2023 ist sie nun durch Unternehmen im Finanzsektor und deren IT-Dienstleister zu berücksichtigen bzw. entsprechend umzusetzen – und die Zeit läuft.

Anfrage zu DORA

Weitere Infos oder Fragen zu diesem Thema?

Anfrage zu DORA

Gerne unterstützen wir Sie mit unserer langjährigen Erfahrung in der Umsetzung von regulatorischen Anforderungen in Ihrem Unternehmen. 

Vorname
Nachname
Firma
Postition
E-Mail
Nachricht
Datenschutz

Vielen Dank für Ihre Anfrage.
Beim Absenden des Formulars ist ein Fehler aufgetreten. Bitte überprüfen Sie noch einmal alle Formularfelder.

2020

Vorbereitungen auf DORA unter deutscher EU Ratspräsidentschaft
24.09.2020 erfolgt die erste Veröffentlichung der DORA durch die EU Kommission

2021 / 2022

In 2021

Verhandlungen unter unterschiedlichen Ratspräsidentschaften.
Durch das EU Parlament ein Bericht als Grundlage für ein Verhandlungsmandat im Trilog zwischen Rat, Kommission und EU Parlament erstellt.

In 2022

Durchführung der Trilogverhandlungen
10.11.22 stimmt EU Parlament DORA zu
28.11.22 nimmt EU Rat Rechtsakt an

2023 / 2024

16.01.2023 Inkrafttreten
Zwei delegierten Verordnungen werden erstellt
Verschiedene technische Regulierungs- und Durchführungsstandards sind durch ESAs (European Supervisory Authorities) zu erstellen (RTS und ITS), mit Fertigstellung / Veröffentlichung in 2023/2024

2025

Vollumfängliche Anwendung ab 2025

Für was steht DORA?

DORA steht für einen einheitlichen aufsichtsrechtlichen Ansatz und setzt auf die Harmonisierung der Sicherheitspraktiken in der EU.
Für die Einführung und Überwachung sind drei europäische Aufsichtsbehörden (European Supervisory Authorities – kurz ESA) verantwortlich. Im Einzelnen sind dies die Europäische Aufsichtsbehörde für
das Versicherungswesen und die betriebliche Altersversorgung (EIOPA),
die Europäische Bankenaufsichtsbehörde (EBA) sowie
die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA).

Was will die EU mit DORA erreichen?

Einen einheitlichen gesetzlichen Rahmen für das Management von Cybersicherheits- und IKT-Risiken auf den Finanzmärkten zu schaffen.
Unter Berücksichtigung der Schwerpunkt zur Sicherstellung der Aufrechterhaltung eines widerstandsfähigen Betriebs im Falle einer schwerwiegenden Betriebsunterbrechung.
Verhinderung einer Gefährdung der Sicherheit des Netzes und der Informationssysteme.

Welche Unternehmen müssen sich darum „kümmern“?

DORA ist nicht nur für Finanzdienstleister und Versicherungen selbst, sondern gleichwohl, vielleicht sogar insbesondere, für die IT-Dienstleister für den Finanz- und Versicherungssektor von gehobenem Interesse.
Für kritische IT-Drittanbieter und Subunternehmen geht aus der DORA hervor, dass z.B. ausschließlich Dienstleister und Anbieter aus der EU zuzulassen sind.
IT-Dienstleister können von den ESAs ihren Auftrag entzogen bekommen, für Institutionen tätig zu sein!
Die ESAs haben erweiterte Befugnisse zur Durchsetzung erhalten wie Vertragskündigungs- bzw. -durchsetzungsforderungen oder die Verhängung von Geldstrafen. So ist beispielsweise vorgesehen, dass die ESA Geldstrafen von bis zu einem Prozent des weltweiten Tagesumsatzes verhängen und Finanzunternehmen auffordern können, Verträge mit Dienstleistern aufgrund von Nichteinhaltung der Anforderungen zu kündigen, was bedeutet, dass immer Ersatzlieferanten vorzuhalten sind.

Wer sollte sich in den Unternehmen damit beschäftigen?

Zu den Unternehmensbereichen, auf die die regulatorischen Anforderungen in einem Versicherungs- bzw. Finanzunternehmen Auswirkungen haben, zählen unter anderem:

Geschäftsführung und Vorstände
Auslagerungsmanagement
Risikomanagement
Meldewesen
IT-Management (Projektmanagement, Betriebsabläufe, Notfallmanagement, Drittdienstleister, …)
CISO / ISB – Management
Compliance-Management
Geschäftsfortführungsmanagement (BCM)

Gerne unterstützen wir Sie mit unserer langjährigen Erfahrung in der Umsetzung von regulatorischen Anforderungen in Ihrem Unternehmen.