Keine Neuigkeiten mehr verpassen!
Der Digital Operational Resilience Act (DORA) der EU verfolgt das Ziel, die Widerstandsfähigkeit von Finanzunternehmen gegenüber digitalen Risiken zu stärken. Die Umsetzung der Verordnung, welche mit 17.01.2025 gültig ist, bringt jedoch die Erfüllung neuer Compliance-Anforderungen mit sich.
Inhalt
Die DORA-Verordnung
Was regelt die DORA-Verordnung?
Der Digital Operational Resilience Act (DORA) setzt klare Vorgaben für Finanzunternehmen, um ihre digitale Betriebsstabilität zu sichern und Risiken im Bereich Informations- und Kommunikationstechnologie zu minimieren. Ziel ist es, die Resilienz gegenüber Cyberangriffen, IT-Ausfällen und anderen Störungen zu stärken, das Vertrauen der Verbraucher:innen in digitale Dienstleistungen zu fördern und die Stabilität des Finanzsektors zu gewährleisten.
DORA verpflichtet Unternehmen, robuste Cybersicherheitsmaßnahmen einzuführen, regelmäßige Sicherheitsüberprüfungen durchzuführen und die Betriebskontinuität sicherzustellen. Der risikobasierte Ansatz der Richtlinie erfordert, dass Unternehmen ihre IT-Systeme nach Risikokategorien bewerten – von minimalen bis hin zu kritischen Risiken – und entsprechende Maßnahmen implementieren. Besonders für hochriskante Bereiche gelten strenge Anforderungen, wie detaillierte Dokumentation und Schadensbegrenzungsstrategien.
Die Verordnung bietet Finanzunternehmen nicht nur Schutz vor potenziellen Bedrohungen, sondern auch die Chance, ihre Sicherheitsstandards zu erhöhen und ihre Marktposition zu stärken.
Sanktionen
Verstöße gegen DORA werden von den nationalen Behörden mit Sanktionen bestraft. Die nationale DORA-VG sieht Strafbestimmungen bei Verstößen gegen DORA sowohl für natürliche als auch juristische Personen vor. Für natürliche Personen sind Verwaltungsstrafen von bis zu 150.000,- Euro, für juristische Personen von bis zu 500.000,- Euro oder bis zu 1% des jährlichen Gesamtnettoumsatzes, je nachdem welcher Betrag höher ist, vorgesehen. Neben diesen Geldstrafen kann die FMA zudem die verhängten Verwaltungsstrafen und die davon betroffenen Unternehmen auf ihrer Website veröffentlichen (sog. "Naming & Shaming").
Inkrafttreten
Im November 2022 wurde der Digital Operational Resilience Act (DORA) auf EU-Ebene verabschiedet. Die Verordnung trat nach Veröffentlichung im Amtsblatt der Europäischen Union am 17. Januar 2025 in Kraft. Als EU-Verordnung ist keine Umsetzung in nationales Recht erforderlich. Seit dem 17. Januar 2025 müssen alle betroffenen Unternehmen die DORA-Anforderungen vollständig erfüllen. Eine zusätzliche Umsetzungsfrist gibt es nicht.
Sind Sie Betroffen?
Zu den Betroffenen zählen Unternehmen aus den Kategorien des Artikels 2 Absatz 1 der DORA-Verordnung:
So unterstützen wir Sie
- Klärung der Anwendbarkeit & Verhältnismäßigkeit der DORA-Verordnung für Ihr Unternehmen
- Erhebung des Status-Quo der Umsetzung der DORA-Verordnung
- Identifizierung möglicher Implementierungslücken
- Unterstützung bei der Finalisierung der Umsetzung
- Vorbereitung und Begleitung bei Prüfungen durch Aufsichtsbehörden
- Hilfestellung bei der Implementierung behördlicher Empfehlungen bzw. Feststellungen
Newsletter Anmeldung
