Herausforderung für Finanzunternehmen: DORA findet ab heute Anwendung

Die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (DORA) findet ab 17. Januar 2025 Anwendung. Sie gilt für nahezu alle beaufsichtigten Institute und Unternehmen des europäischen Finanzsektors wie Kreditinstitute und Versicherer, aber auch bestimmte IKT-Drittdienstleister.

Von der europäischen Aufsicht als solche eingestuften kritischen IKT-Drittdienstleister fallen direkt in den Anwendungsbereich der DORA. Sie erbringen für Finanzunternehmen Dienstleistungen mit hohen Risiken und müssen zusätzlich zu den durch Verträge ihrer Finanzkunden vorgegebenen Pflichten auch viele eigene Pflichten umsetzen.

Die DORA wird allerdings auch Auswirkungen auf nicht als kritisch eingestufte IKT-Dienstleister haben, denn durch die Verpflichtung von Finanzunternehmen, Dienstleister zu steuern und Risiken von Drittparteien zu managen, entstehen mit DORA auch Auswirkungen auf IKT-Drittdienstleister.

Die DORA soll die digitale operationale Resilienz des gesamten europäischen Finanzsektors stärken. Unter anderem verpflichtet sie die große Mehrheit der Finanzunternehmen dazu, umfangreiche Cybersecurity-Pflichten umzusetzen, zu denen Risikomanagement, Incident Management, Stresstests und das Management von IKT-Drittparteien gehören. Betroffene Finanzunternehmen müssen auf verschiedenen Ebenen tätig werden. Neben dem Entwurf diverser Strategien und Policies muss für die geforderte Sicherheit und Resilienz grundlegend neu geplant und budgetiert werden. Das IKT-Risikomanagement muss dokumentiert und mindestens jährlich oder auf besondere Veranlassung hin überprüft und regelmäßig verbessert werden.

Die DORA bildet den Basisrechtsakt (Level 1) und enthält weitergehende Ermächtigungen für delegierte Rechtsakte und Standards (Level 2: Technischer Regulierungsstandard/RTS und Durchführungsstandard/ITS) sowie gemeinsame Leitlinien der drei ESAs (EBA, EIOPA und ESMA) (Level 3) und legt grundlegende Anforderungen fest. Während einige wichtige Level-2-Rechtsakte bereits im Amtsblatt der EU veröffentlicht wurden, beispielsweise der ITS zur Erstellung einer Standardvorlage für das Informationsregister, liegen weitere Regulierungs- und Durchführungsstandards bisher lediglich der Europäischen Kommission zur Verabschiedung vor.

„Die DORA stellt betroffene Unternehmen angesichts des eng getakteten Zeitplans und bestehender Unsicherheiten vor große Herausforderungen“, so Florian Elsinghorst, Experte für Regulierte Industrien bei Pinsent Masons. „Insbesondere im Rahmen des Managements des IKT-Drittparteienrisikos müssen Finanzunternehmen großen Aufwand betreiben: Der allermeiste Fremdbezug von IT-Dienstleistungen fällt unter die DORA. Finanzunternehmen müssen ihre bestehenden Verträge mit IKT-Drittdienstleistern DORA-konform anpassen, was einen enormen Vertragsmanagement- und Verhandlungsaufwand mit sich bringt.“

„Unsere Beratungserfahrung zeigt, dass DORA auch für IT-Dienstleister einen großen Umsetzungsaufwand bedeuten kann" so Daniel Widmann, ebenfalls von Pinsent Masons. „Sie werden von ihren Kunden aus dem Finanzsektor zu einer Anpassung von bestehenden Verträgen aufgefordert, deren Umsetzung in der Praxis oft Schwierigkeiten bereitet. Das liegt auch daran, dass die IT-Dienstleistungen von den Finanzunternehmen hinsichtlich der Kritikalität oft unterschiedlich eingestuft werden. So sind die IT-Dienstleister vor das Problem gestellt, eine oftmals standardisierte Leistung für Kunden aus dem Finanzbereich anpassen zu müssen. Es liegt auf der Hand, dass sich daraus oft Schwierigkeiten bei der Vertragsverhandlung ergeben können. Es ist daher für IT-Dienstleister umso wichtiger zu verstehen, welche Pflichten nach der DORA zwingend umzusetzen sind, und wo Verhandlungsspielraum besteht.“

Besonders umfangreich sind auch die von der DORA geforderten Berichtspflichten mittels Informationsregister. Dabei muss das Finanzunternehmen alle vertraglichen Vereinbarungen mit IKT-Drittdienstleistern über die Nutzung von IKT-Dienstleistungen in einem äußerst detaillierten Register dokumentieren und der zuständigen Behörde auf Verlangen zur Verfügung stellen. Dies bedeutet einen erheblichen verwaltungstechnischen Aufwand und erfordert aufgrund der stellenweisen unklaren Anforderungen eine vertiefte rechtliche Auseinandersetzung mit den gesetzlichen und behördlichen Vorgaben, so Elsinghorst udn Widmann.

Zwar stellen die ESAs und die BaFin verschiedenste Hilfestellungen zur Verfügung, etwa die Aufsichtsmitteilung vom 8. Juli 2025 zur Umsetzung von DORA im IKT-Risikomanagement und IKT-Drittparteienrisikomanagement.

„Die Summe an Hilfestellungen durch die Aufsichtsbehörden unterstreicht, wie umfangreich und teilweise komplex das Thema ist und wie wichtig es ist, dass sich Unternehmen tief in die Materie einarbeiten oder sich versierte Beratung von extern ins Boot holen“, betont Elsinghorst.