DORA-Verordnung: Einheitliche Regelungen zur Stärkung der digitalen Resilienz im europäischen Finanzsektor

Mit der Verordnung (EU) 2022/2554 vom 14. Dezember 2022 über die digitale operationelle Resilienz im Finanzsektor (Digital Operational Resilience for the Financial Sector, „DORA-VO“) hat der EU-Gesetzgeber ein mit Blick auf die Digitalisierung des Finanzwesens lange gehegtes regulatorisches Vorhaben in die Tat umgesetzt. Im Finanzwesen stellen sich hierzu nun allerorten Fragen. Einige der wichtigsten sind folgende:

Was ist DORA und für wen wird sie relevant?

Die DORA-VO entstand im Zuge des EU-Maßnahmenpaketes aus September 2020 zur Digitalisierung des Finanzsektors. Sie folgt den Regulierungen des europäischen Kryptomarkts MiCA und TOFR (wir berichteten in unseren Blogbeiträgen in Teil 1 und Teil 2).

Bisher sind die Vorgaben zur operationellen Resilienz im IT-Bereich in Europa uneinheitlich und nach Branchen fragmentiert. Für den deutschen Markt enthalten insbesondere einige Rundschreiben der BaFin Anforderungen an die IT: BAIT (Kredit- und Finanzdienstleistungsinstitute), KAIT (Kapitalverwaltungsgesellschaften), VAIT (Versicherungen) sowie ZAIT (Zahlungs- und E-Geld-Institute) geben die Verwaltungspraxis der BaFin in diesem Punkt wieder, basierend jeweils auf der gesetzlichen Vorgabe einer ordnungsgemäßen Geschäftsorganisation für den jeweiligen Bereich (z.B. § 25a KWG für Kredit- und Finanzdienstleistungsinstitute). Bei der Auslegung von Vorgaben sind außerdem die in der Verwaltungspraxis der BaFin vollständig umgesetzten EBA-Leitlinien für das Management von IKT- und Sicherheitsrisiken (EBA/GL/2019/04, 28. November 2019) zu beachten. Speziell mit Blick auf den Bezug von Cloud-Diensten haben die BaFin und die Deutsche Bundesbank schließlich das Merkblatt „Orientierungshilfe zu Auslagerungen an Cloud-Anbieter“ veröffentlicht.

Die DORA-VO hingegen schafft einheitliche Regelungen zur IT-Sicherheit für einen großen Teil des Finanzsektors. Artikel 2 Abs. 1 und 2 der Verordnung listet die Unternehmen auf, für die DORA-VO gilt und definiert sie als „Finanzunternehmen“ (nachfolgend auch hier „Finanzunternehmen“). Ausnahmen gelten aber etwa für Kleinstunternehmen sowie z.B. Versicherung- und Rückversicherungsunternehmen, die aufgrund des Volumens auch von der Solvabilitätsrichtlinie ausgenommen sind.

Das Folgende erleichtert die Übersicht:

DORA-VO gilt für:

Kreditinstitute, Zahlungsinstitute, Kontoinformationsdienstleister, E-Geld-Institute, Wertpapierfirmen, Anbieter von Krypto-Dienstleistungen (die gemäß der MiCA-VO zugelassen sind), Emittenten wertereferenzierter Token, Zentralverwahrer, zentrale Gegenparteien, Handelsplätze, Transaktionsregister, Verwalter alternativer Investmentfonds, Verwaltungsgesellschaften Datenbereitstellungsdienste, Versicherungs- und Rückversicherungsunternehmen, Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit, Einrichtungen der betrieblichen Altersversorgung, Ratingagenturen, Administratoren kritischer Referenzwerte, Schwarmfinanzierungsdienstleister, Verbriefungsregister, IKT-Drittdienstleister

DORA-VO gilt nicht für:

AIFM, soweit sie einen oder mehrere AIF verwalten, deren einzige Anleger der AIFM oder die Mutter- oder Tochtergesellschaften des AIFM, sofern keiner dieser Anleger selbst ein AIF ist (Art. 3 Abs. 1 AIFM-RI); Versicherung- und Rückversicherungsunternehmen, die aufgrund des Volumens auch von der Solvabilität-Richtlinie ausgenommen sind (Art. 4 der RL); Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit, bei denen es sich um Kleinstunternehmen oder kleine oder mittlere Unternehmen handelt, Postgiroämter, etc.

Ein besonderes Augenmerkt ist darauf zu richten, dass auch Unternehmen, die im Bereich der Informations- und Kommunikationstechnologien („IKT“) Dienstleistungen bereitstellen („IKT-Drittdienstleister“, vgl. Art. 3 Nr. 19 DORA-VO), von der Verordnung betroffen sind und die durch die DORA-VO auferlegten Pflichten einzuhalten haben. Der Begriff IKT-Drittdienstleister umfasst ein breites Spektrum an Unternehmen, darunter beispielsweise Anbieter von Cloud-Computing-Diensten, Software, Datenanalysediensten und Anbieter von Rechenzentrumsdienstleistungen (vgl. Erwägungsgrund 63 DORA-VO).

Welche Ziele hat die Verordnung im Blick?

Die DORA-VO soll die bisherige Fragmentierung beenden und bestehende Lücken schließen. Durch die neuen Vorgaben und Regelungen soll insbesondere das Risiko, das sich im Zusammenhang mit der Nutzung von IKT ergibt, minimiert werden. Generelles Ziel der Verordnung ist ein reibungsloses Funktionieren des Binnenmarktes in der Union sowie die Erreichung eines hohen Niveaus an digitaler operationaler Resilienz in beaufsichtigten Finanzunternehmen. Durch die Aufdeckung von Schwachstellen und Risiken sowie Tests der Verteidigungsfähigkeit und Fortführung der Geschäftstätigkeit der Finanzunternehmen soll zudem das Vertrauen in die Finanzsysteme gestärkt und deren Stabilität gesichert werden.

Was regelt die DORA-VO inhaltlich?

Die DORA-VO verpflichtet Finanzunternehmen, einen umfassenden Ansatz in personeller, physischer sowie technischer Art zur digitalen operationellen Resilienz zu entwickeln, der insbesondere die IKT-Sicherheit, das Krisenmanagement und die Geschäftskontinuität fokussiert.

Auch wenn die Verordnung im Grundsatz alle Finanzunternehmen zur Umsetzung der Regelungen verpflichtet, richten sich die tatsächlichen Umsetzungsanforderungen aus Gründen der Verhältnismäßigkeit nach der Größe, dem Unternehmensprofil oder dem Ausmaß digitaler Risiken. Insbesondere für kleinere Unternehmen, die weder die Ressourcen noch die Strukturen für komplexe Risikomanagement-Maßnahmen haben, enthält die Verordnung Erleichterungen. So haben beispielsweise Kleinstunternehmen im Gegensatz zu allen anderen Finanzunternehmen nicht die Pflicht, die Zuständigkeit für das IKT-Management und die Überwachung des IKT-Risikos an eine unabhängige Kontrollfunktion zu übertragen (vgl. Art. 6 Abs. 4 DORA-VO).

Im Rahmen des Risikomanagements werden Finanzunternehmen verpflichtet, einen internen Governance- und Kontrollrahmen einzurichten (vgl. Art. 5 und 6 der DORA-VO) und insbesondere für das eigene IKT-Risikomanagement als auch für das Drittparteienrisiko Strategien, Leit- und Richtlinien zu entwerfen (vgl. Art 6, 28 DORA-VO). Weiterhin sollen Verfahren, IKT-Protokolle und Tools sowie Infrastruktur bereitgestellt werden, um die digitale Resilienz sicherzustellen, zu überwachen und zu schützen (vgl. Art. 6 ff DORA-VO). Die Verantwortung dafür wird gem. Art. 5 Abs. 2 DORA-VO der Geschäftsleitung auferlegt.

Eine weitere Neuerung ist das System der Meldungen schwerwiegender IKT-bezogener Vorfälle sowie die freiwillige Meldung erheblicher Cyberbedrohungen (vgl. Art. 17ff. DORA-VO). Dadurch soll es den Behörden ermöglicht werden, einen besseren Überblick über Art, Häufigkeit, Ausmaß sowie Auswirkungen solcher Vorfälle zu erhalten. Die Details dieser Meldungen – beispielsweise Schwellenwerte und Fristen – sollen im Rahmen delegierter Rechtsakte festgelegt werden. Geplant ist eine Zentralisierung von Meldungen via einer europäischen Plattform, deren Details jedoch noch in Ausarbeitung sind. Die europäischen Aufsichtsbehörden werden in Abstimmung mit der Europäischen Zentralbank (EZB) und der Agentur der Europäischen Union für Cybersicherheit (ENISA) einen gemeinsamen Bericht hierzu erstellen und dem Europäischen Parlament, dem Rat und der Kommission bis Januar 2025 übermitteln.

Ein wichtiger Aspekt der Verordnung betrifft ferner die Errichtung eines Programms für das Testen der digitalen operationellen Resilienz, das ebenfalls von den Behörden zur Überprüfung der Finanzunternehmen herangezogen werden kann. Ziel dieser Maßnahme ist es, sicherzustellen, dass die Finanzunternehmen über hinreichende Ressourcen und Fähigkeiten verfügen, um auf digitale Bedrohungen und Störungen wirksam zu reagieren.

Zur Durchsetzung aufsichtlicher Maßnahmen nach der DORA-VO enthält Art. 50 f. DORA-VO einen Abhilfemaßnahmen- und Sanktionskatalog, der bei Verstößen gegen die Verordnung durch die nationalen Behörden angewandt werden kann. Hierzu zählen beispielsweise die Verhängung von Bußgeldern oder Einschränkung der Geschäftstätigkeit des Finanzunternehmens. Auch können die Aufsichtsbehörden die Öffentlichkeit über einen Verstoß informieren und in schweren Fällen sogar die jeweilige Erlaubnis widerrufen. Die Verordnung erlaubt auch die Festlegung strafrechtlicher Sanktionen, was den Mitgliedstaaten überlassen bleibt. Sie regelt tägliche Zwangsgelder bei vollständiger oder teilweiser Nichteinhaltung von Maßnahmen, die von den Behörden auferlegt wurden. Gemäß Art. 35 Abs. 8 DORA-VO können diese Zwangsgelder bis zu 1 % des durchschnittlichen weltweiten Tagesumsatzes des Unternehmens betragen.

Was sagt die DORA-VO zum Drittbezug von IKT-Diensten?

Im Fokus der DORA-VO stehen besondere Anforderungen an den Leistungsbezug von IKT-Drittdienstleistern (vgl. Art. 3 Nr. 19 DORA-VO) und das damit zusammenhängende Risiko (sog. IKT-Drittparteienrisiko). Insgesamt werden strengere Regeln im Zusammenhang mit der Nutzung von IKT-Drittdienstleistern durch die Verordnung aufgestellt, die sich vor allem auf die Überwachung der Drittanbieter, diesbezügliche Meldungen an Behörden sowie auf Mindestinhalte von Dienstleistungsverträgen mit diesen Anbietern beziehen.

Zur Regelung des IKT-Drittparteienrisikos definiert die DORA-VO in Art. 28 bestimmte „Schlüsselprinzipien“ für Finanzunternehmen. Hierzu gehören, etwa die fortbestehende Verantwortlichkeit des Finanzunternehmens für allgemeine IKT-Compliance (Art. 28 Abs. 1 lit a DORA-VO) sowie das Management des IKT-Drittparteienrisikos gemäß dem Verhältnismäßigkeitsgrundsatz (Art. 28 Abs. 1 lit b DORA-VO) und die Entwicklung einer Strategie für das Management des Drittparteienrisikos (Art. 28 Abs. 2 S. 1 DORA-VO). Finanzunternehmen haben insbesondere sicherzustellen, dass ihre IKT-Drittdienstleister „angemessene Standards für Informationssicherheit“ einhalten (Art. 28 Abs. 5 S. 1 DORA-VO).

Art. 30 Abs. 2 DORA-VO macht den Finanzunternehmen inhaltliche Vorgaben für Verträge mit IKT-Drittdienstleistern, die unabhängig von der Kritikalität der fremdbezogenen IKT-Dienste zu beachten sind. Die Verträge müssen danach insbesondere stets eine Bestimmung enthalten, in der sich der IKT-Dienstdienstleister zur „vollumfänglichen“ Zusammenarbeit mit den für das jeweilige Finanzunternehmen zuständigen Aufsichtsbehörden verpflichtet (Art. 30 Abs. 2 lit. g DORA-VO). Daneben fordert der Katalog u.a. vertragliche Regelungen über „Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit in Bezug auf den Datenschutz“ (lit. c), „Beschreibungen der Dienstleistungsgüte“ (lit. e) und Kündigungsregelungen „entsprechend den Erwartungen der zuständigen Behörden“ (lit. h).

Besondere Pflichten sind zu beachten, sofern Finanzunternehmen IKT-Dienstleistungen zur Unterstützung „kritischer oder wichtiger Funktionen“ bezieht. Die Einordung hat das Finanzunternehmen selbst vorzunehmen und – ähnlich dem Auslagerungsregister nach § 25b Abs. 1 S. 4 KWG / § 40 Abs. 1 S. 3 WpIG / § 26 Abs. 1 S. 8 ZAG – in einem Informationsregister festzuhalten, das sämtliche Verträge über die Nutzung von IKT-Dienstleistungen aufführt (Art. 28 Abs. 3 DORA-VO).

Als „kritische oder wichtige Funktion“ sind nach Art. 3 Nr. 22 DORA-VO Funktionen zu verstehen, „deren Ausfall die finanzielle Leistungsfähigkeit eines Finanzunternehmens oder die Solidität oder Fortführung seiner Geschäftstätigkeiten und Dienstleistungen erheblich beeinträchtigen würde[n] oder deren unterbrochene, fehlerhafte oder unterbliebene Leistung die fortdauernde Einhaltung der Zulassungsbedingungen und -verpflichtungen eines Finanzunternehmens oder seiner sonstigen Verpflichtungen nach dem anwendbaren Finanzdienstleistungsrecht erheblich beeinträchtigen würde[n]“.

Stellt ein Finanzunternehmen fest, dass fremdbezogene IKT-Dienstleistungen „kritische oder wichtige Funktionen“ i.S.d. DORA-VO unterstützen, hat dies insbesondere Auswirkungen auf die rechtlichen Anforderungen für den zugrundeliegenden Dienstleistungsvertrag. Vorzusehen sind

• detailliertere Regelungen zur Dienstleistungsgüte (Art. 30 Abs. 3 lit. a DORA-VO);

• bestimmte Berichtspflichten (lit. b);

• eine Pflicht des IKT-Drittdienstleisters zur Implementierung eines Notfallplans und angemessener IKT-Sicherheitsmaßnahmen (lit. c);

• die Mitwirkung an Penetrationstests des Finanzunternehmens (lit, d, siehe dazu Art. 26 und 27 DORA-VO);

• Möglichkeiten zur Überwachung des IKT-Drittdienstleisters (insbesondere durch Zugangs-, Inspektions- und Auditrechte des Finanzunternehmens und der für das Finanzunternehmen zuständigen Aufsichtsbehörde) (lit. e); sowie

• Regelungen zum Exit-Management (lit. f).

Eine Besonderheit gilt schließlich für Verträge mit IKT-Dienstleistern aus Drittländern. Hier hat das Finanzunternehmen zum einen sicherzustellen, dass die europäischen Datenschutzvorschriften eingehalten werden (vgl. Art. 29 Abs. 2 Unterabs. 3 DORA-VO).

Werden IKT-Dienstleister nach der DORA-VO unmittelbar durch die Aufsicht überwacht?

IKT-Drittdienstleister sind nach der DORA-VO zum einen mittelbar über das beschriebene Pflichtenprogramm für Finanzinstitute betroffen, das sich insbesondere maßgeblich auf die Gestaltung ihrer Dienstleistungsverträge auswirken wird. Bei „kritischen oder wichtigen Funktionen“ müssen diese Dienstleistungsverträge auch vertragliche Prüfungs- und Kontrollrechte der Aufsicht vorsehen.

Zum anderen aber sieht die DORA-VO auch eine unmittelbare Überwachung von IKT-Drittdienstleistern vor, sofern diese als „kritisch“ eingestuft werden. Diese Einstufung wird anhand der in Art. 31 Abs. 2 DORA-VO aufgelisteten Kriterien erfolgen, auf deren Basis der Gemeinsame Ausschuss der Europäischen Finanzaufsichtsbehörden (ESA) eine Bewertung vornimmt und den IKT-Dienstleister über das Ergebnis der Bewertung informiert. Kriterien sind

• die systemischen Auswirkungen auf die Stabilität, Kontinuität oder Qualität der Erbringung von Finanzdienstleistungen, falls der betreffende IKT-Drittdienstleister bei der Erbringung seiner Dienste einer umfassenden Betriebsstörung ausgesetzt wäre (Art. 31 Abs. 2 DORA-VO lit. a);

• die Bedeutung der auf den IKT-Drittdienstleister zurückgreifenden Finanzunternehmen (lit. b),

• die Abhängigkeit von Finanzunternehmen von den Dienstleistungen des betreffenden IKT-Drittdienstleisters mit Blick auf „kritische oder wichtige Funktionen“ (lit. c) und

• die Substituierbarkeit des IKT-Drittdienstleisters (lit. d).

Eine Einstufung als kritischer Dienstleister führt zu einer direkten Überwachung durch die federführende europäische Aufsichtsbehörde, welche in jedem Einzelfall vom Gemeinsamen Ausschuss der ESA ernannt wird.

Gegenstand der Überwachung durch die federführende Aufsichtsbehörde sind umfassende, fundierte und wirksame Vorschriften, Verfahren und Mechanismen sowie Vorkehrungen für das Management von IKT-Risiken verfügt beim kritischen IKT-Drittdienstleister. Die aufsichtlichen Befugnisse der federführenden Behörde umfassen auch Untersuchungen sowie Vor-Ort-Inspektionen beim IKT-Drittdienstleister.

Sobald ein IKT-Drittdienstleister mit Sitz in einem Drittland als kritisch eingestuft wurde, dürfen Finanzunternehmen von ihm nur dann Dienstleistungen in Anspruch nehmen dürfen, wenn er innerhalb von zwölf Monaten nach Einstufung ein Tochterunternehmen in der Union gegründet hat (vgl. Art. 31 Abs. 12 DORA-VO). Damit werden IKT-Drittdienstleister mittelbar verpflichtet, eine geschäftliche Präsenz in der Union zu errichten. Auch wenn die Dienstleistungen von jedem beliebigen Ort der Welt erbracht werden dürfen, sollen die Überwachungstätigkeiten der Behörde im Wege der Interaktion mit den in der Union gelegenen Tochterunternehmen durchgeführt werden können (vgl. Erwägungsgrund Nr. 83 DORA-VO).

Wie verhält sich der Fremdbezug von IKT-Dienstleistungen zu Auslagerungen?

Die Vorschriften zu IKT-Drittdienstleistern in der DORA-VO erinnern vielerorts an die rechtlichen Vorgaben für wesentliche Auslagerungen (§ 25b KWG i.V.m. AT 9 MaRisk / § 40 WpIG / § 26 ZAG). Sie treten zukünftig jedoch neben diese Regelungen, sofern es sich um IKT-Dienstleistungen handelt.

Das hat eine Erweiterung des Pflichtenapparats von Kredit-, Finanzdienstleistungs-, Wertpapier- und Zahlungsinstituten zur Folge. Zum einen sind die Regelungen zum Fremdbezug von IKT-Dienstleistungen – einschließlich der Regelungen zum Vertragsinhalt nach Art. 30 Abs. 2 – auch dann einzuhalten, wenn es sich überhaupt nicht um eine Auslagerung handelt, sondern nur um einen sog. „sonstigen Fremdbezug“ von IKT-Dienstleistungen.

Zum anderen ist der Begriff der „kritischen oder wichtigen Funktionen“ in Art. 3 Nr. 22 DORA-VO zwar dem entsprechenden Begriff in Ziff. 12 der EBA-Leitlinien zur Auslagerung (EBA/GL/2019/02, 25. Februar 2019) nachempfunden, welcher in der deutschen Nomenklatur zur Bestimmung der Wesentlichkeit einer Auslagerung herangezogen wird. Im Unterschied zur Definition für Auslagerungen sollen gemäß Erwägungsgrund 70 der DORA-VO aber ausdrücklich auch „kritische Funktionen“ im Sinne des Artikel 2 Abs. 1 Nr. 35 der Richtlinie 2014/59/EU des Europäischen Parlamentes und des Rates (für Zwecke des Sanierungs- und Abwicklungsrahmens) mit umfasst sein. Kritisch oder wichtig i.S.d. DORA-VO sind damit auch „Tätigkeiten, Dienstleistungen oder Geschäfte, deren Einstellung aufgrund der Größe, des Marktanteils, der externen und internen Verflechtungen, der Komplexität oder der grenzüberschreitenden Tätigkeiten eines Instituts oder einer Gruppe wahrscheinlich in einem oder mehreren Mitgliedstaaten die Unterbrechung von für die Realwirtschaft wesentlichen Dienstleistungen oder eine Störung der Finanzstabilität zur Folge hat, besonders mit Blick auf die Substituierbarkeit dieser Tätigkeiten, Dienstleistungen oder Geschäfte“. Die Begriffe sind also nicht deckungsgleich. Hierdurch wird es auch möglich (wenngleich in der Praxis vermutlich selten) sein, dass eine an einen IKT-Drittdienstleister ausgelagerte IKT-Leistung nicht als wesentliche Auslagerung i.S.d. KWG / WpIG / ZAG einzustufen ist, aber dennoch als „kritisch oder wichtig“ nach der DORA-VO bewertet wird – mit allen rechtlichen Folgen für das Finanzunternehmen, insbesondere im Hinblick auf die Vertragsgestaltung.

Ab wann gilt die DORA-VO und welche Auswirkungen sind zu erwarten?

Die Verordnung ist bereits am 16. Januar 2023 in Kraft getreten, entfaltet aber erst ab dem 17. Januar 2025 Geltung.

Die Anforderungen an Finanzunternehmen sind nicht zu unterschätzen. Insbesondere aufgrund der Komplexität der erforderlichen Risikomanagement-Maßnahmen, umfassender Regeln zu Vertragsinhalten sowie Melde- sowie Berichtspflichten sollten Finanzunternehmen sich gründlich auf die Umsetzung der Regelungen vorbereiten. Gegebenenfalls sind Bestandsverträge mit IKT-Drittdienstleistern an die neuen rechtlichen Anforderungen anzupassen, was aufgrund der hierfür erforderlichen Neuverhandlungen durchaus einige Zeit in Anspruch nehmen kann. Die Prüfung, ob und inwieweit derartiger Anpassungsbedarf besteht, sollte daher frühzeitig erfolgen. Bei Neuverträgen mit IKT-Drittdienstleistern hingegen sollte die Konformität mit der DORA-VO nach Möglichkeit direkt sichergestellt werden, damit nicht zeitnah erneut verhandelt werden muss.

Auch für IKT-Drittdienstleister erscheint es sinnvoll, sich rechtzeitig mit den für sie geltenden Anforderungen der DORA-VO auseinanderzusetzen, damit sie ihre Dienstleistungen auch über den 17.01.2025 hinaus friktionslos gegenüber Finanzunternehmen erbringen können.

Trotz des bedeutenden Umsetzungsaufwands für Finanzunternehmen und IKT-Drittdienstleister ist die Verordnung im Ergebnis zu begrüßen. Die zunehmende Digitalisierung hat Verflechtungen und Abhängigkeiten innerhalb des Finanzsektors sowie von Infrastrukturen Dritter und Drittdienstleistern verstärkt, so dass die Früherkennung, Meldung und Vermeidung damit verbundener Risiken an Bedeutung gewonnen hat. Dies wie bisher vornehmlich auf nationaler Ebene zu lösen, würde sich auf Dauer zu einem bedeutenden Hindernis des Binnenmarkts entwickeln und zusätzlich die Kapazitäten der Aufsichtsbehörden in einem unnötigen Maß binden. Durch die unionsweiten Regelungen der DORA-VO werden diese Risiken effektiv vermieden.

---