DORA-Verordnung bringt neue Cyberabwehr-Pflichten
Im Januar 2023 ist die Verordnung über die Betriebsstabilität digitaler Systeme des Finanzsektors (Digital Operational Resilience Act – DORA) in Kraft getreten. Die Verordnung soll zur Stärkung des europäischen Finanzmarktes gegenüber Cyberrisiken und Vorfällen im Zusammenhang mit Informations- und Kommunikationstechnologien (IKT) beitragen.
Somit gelten für die erfassten Finanzunternehmen und IKT-Dienstleister nach Ablauf der zweijährigen Umsetzungsfrist am 17. Januar 2025 umfassende Cyberabwehr-Pflichten. Dazu zählen unter anderem umfassende und detaillierte Regelungen zum organisatorischen und inhaltlichen Risikomanagement, zu Störungsmeldungen, zu Informationsaustausch und Penetrationstest und Vorgaben zu Vertragsinhalten mit IKT-Dienstleistern.
Betroffen sind neben Banken, Versicherungen und Wertpapierfirmen auch Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit.
Für Versicherungsvermittler gilt die Verordnung jedoch erst ab einer Unternehmensgröße von 250 oder mehr Beschäftigten und einem Jahresumsatz von mehr als 50 Millionen Euro und / oder einer Jahresbilanzsumme von mehr als 43 Millionen Euro.
Versicherungsvermittler, bei denen es sich um Kleinstunternehmen oder kleine oder mittlere Unternehmen handelt, sind somit nicht erfasst.
Versicherungsvermittler, bei denen es sich um Kleinstunternehmen oder kleine oder mittlere Unternehmen handelt, sind somit nicht erfasst.
- Kleinstunternehmen: weniger als zehn Beschäftigte und Jahresumsatz bzw. - bilanzsumme unter 2 Mio. EUR
- Kleines Unternehmen: zehn oder mehr, aber weniger als 50 Beschäftigte und Jahresumsatz bzw. -bilanzsumme über 2 Mio. EUR und unter 10 Mio. EUR
- Mittleres Unternehmen: weniger als 250 Beschäftigte und Jahresumsatz unter 50 Mio. EUR oder Jahresbilanzsumme unter 43 Mio. EUR
Aufgrund des Umfangs der neuen Pflichten sollten betroffene Unternehmen sich frühzeitig mit der Umsetzung auseinandersetzen.
Betroffene Versicherungsvermittlungsunternehmen sollten diesbezüglich Kontakt mit der für sie zuständigen IHK aufnehmen.
Betroffene Versicherungsvermittlungsunternehmen sollten diesbezüglich Kontakt mit der für sie zuständigen IHK aufnehmen.
Weitere Informationen finden Sie auf der Internetseite der DIHK sowie auf der neuen Info-Seite der Bundesanstalt für Finanzdienstleistungsaufsicht.
Achtung: Gemäß Art. 28 Abs. 3 UAbs. 4 DORA müssen von DORA betroffene Finanzunternehmen mindestens einmal jährlich ihre Informationsregister an die zuständige Aufsicht übermitteln. Für 2026 haben die drei europäischen Aufsichtsbehörden (ESAs) dazu präzisiert, dass sie eine Übermittlung der Register bis zum 30. April 2025 erwarten. In den Registern sollen sämtliche Vertragsinformationen mit Stichtag 31. Dezember 2025 enthalten sein. Betroffene Finanzunternehmen sind daher gehalten Ihre Dateien und Informationsregister zur Weiterleitung an die ESAs rechtzeitig zwischen dem 9. und 30. März 2026 an ihre Aufsichtsbehörden zu übermitteln.
Weiterführende Informationen finden Sie auch auf der Homepage der BaFin.
Weiterführende Informationen finden Sie auch auf der Homepage der BaFin.