DORA-Verordnung bringt neue Cyberabwehr-Pflichten

Im Januar 2023 ist die Verordnung über die Betriebsstabilität digitaler Systeme des Finanzsektors (Digital Operational Resilience Act – DORA) in Kraft getreten. Die Verordnung soll zur Stärkung des europäischen Finanzmarktes gegenüber Cyberrisiken und Vorfällen im Zusammenhang mit Informations- und Kommunikationstechnologien (IKT) beitragen.
Mit dem Ende 2024 in Kraft getretenen Finanzmarktregulierungsgesetz (FinmadiG) wurde DORA auch auf nationaler Ebene umgesetzt.
Somit gelten für die erfassten Finanzunternehmen und IKT-Dienstleister nach Ablauf der zweijährigen Umsetzungsfrist am 17. Januar 2025 umfassende Cyberabwehr-Pflichten. Dazu zählen unter anderem umfassende und detaillierte Regelungen zum organisatorischen und inhaltlichen Risikomanagement, zu Störungsmeldungen, zu Informationsaustausch und Penetrationstest und Vorgaben zu Vertragsinhalten mit IKT-Dienstleistern.

Regelungsinhalt und Pflichten

Die DORA Verordnung (Digital Operational Resilience Act) definiert europaweit einheitliche Anforderungen an die digitale Widerstandsfähigkeit von Finanzunternehmen und ihren IKT Dienstleistern. Sie umfasst folgende zentrale Bausteine:
  • IKT-Risikomanagementrahmen
  • Management und Meldung von IKT Vorfällen
  • regelmäßige Tests der digitalen Resilienz
  • Umgang mit IKT-Drittparteien
  • EU-weiter Aufsichtsrahmen kritische IKT Dienstleister
  • Austausch von Informationen z.B. über Cyberbedrohungen (information sharing)

Anwendungsbereich

Betroffen sind neben Banken, Versicherungen und Wertpapierfirmen auch Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit.
Für Versicherungsvermittler gilt die Verordnung jedoch erst ab einer Unternehmensgröße von 250 oder mehr Beschäftigten und einem Jahresumsatz von mehr als 50 Millionen Euro und / oder einer Jahresbilanzsumme von mehr als 43 Millionen Euro.

Versicherungsvermittler, bei denen es sich um Kleinstunternehmen oder kleine oder mittlere Unternehmen handelt, sind somit nicht erfasst.
  • Kleinstunternehmen: weniger als zehn Beschäftigte und Jahresumsatz bzw. - bilanzsumme unter 2 Mio. EUR
  • Kleines Unternehmen: zehn oder mehr, aber weniger als 50 Beschäftigte und Jahresumsatz bzw. -bilanzsumme über 2 Mio. EUR und unter 10 Mio. EUR
  • Mittleres Unternehmen: weniger als 250 Beschäftigte und Jahresumsatz unter 50 Mio. EUR oder Jahresbilanzsumme unter 43 Mio. EUR
Auch externe Dienstleister betroffen
Auch externe IKT-Anbieter, die digitale Dienste oder Datendienste erbringen, sowie Anbieter von Cloud-Computing-Diensten, Software, Datenanalysediensten, Rechenzentren etc. können von DORA betroffen sein. Sie müssen dann bestimmte IT-Sicherheitsstandards einhalten Anforderungen hinsichtlich der Vertragsgestaltung einhalten.
Aufgrund des Umfangs der neuen Pflichten sollten betroffene Unternehmen sich frühzeitig mit der Umsetzung auseinandersetzen.

Betroffene Versicherungsvermittlungsunternehmen sollten diesbezüglich Kontakt mit der für sie zuständigen IHK aufnehmen.
Hinweis: Bei der Umsetzung der neuen Aufsichtspflichten haben sich in der Praxis verschiedene Auslegungs- und Anwendungsfragen ergeben. Die DIHK bietet Betroffenen in Form einer FAQ-Liste eine erste Orientierung. Geklärt wird insbesondere, ab wann Versicherungsvermittler in Bezug auf die Schwellenwerte unter die DORA-Vorschriften fallen, ob eine freiwillige Unterwerfung unter DORA möglich ist oder wie sich DORA und das Finanzmarktdigitalisierungsgesetz zueinander verhalten.


IKT-Risikomanagementrahmen

Finanzunternehmen müssen einen vollständigen und belastbaren IKT Risikomanagementrahmen einrichten, dokumentieren, regelmäßig prüfen und der jeweils zuständigen Aufsicht vorlegen.
Für Banken und Versicherungen übernimmt diese Aufgabe die BaFin, für Versicherungsvermittler die IHK, sofern keine Erlaubnis nach § 32 Abs. 1 KWG besteht.

Der Rahmen muss u. a. enthalten:
  • umfassende Governance-Regelungen
  • Strategien und Prozesse zum Schutz von Hardware, Software und kritischen IT- Räumlichkeiten wie bspw. Rechenzentren
  • Vorgaben zur Vermeidung, Erkennung, Nachverfolgung und Protokollierung von IKT-/IT-Sicherheitsvorfällen
  • klare Regeln zum Umgang mit externen Drittparteien

Steuerung und Meldung von IKT Vorfällen

Schwerwiegende IKT Vorfälle sind unverzüglich der zuständigen Aufsichtsbehörde zu melden, welche im Falle von Versicherungsvermittlern die örtlich zuständige IHK ist. Diese leitet die Meldung an die Europäischen Aufsichtsbehörden (ESA) weiter.
Ob ein Vorfall als schwerwiegend einzustufen ist, bestimmt das Unternehmen anhand der von den ESA veröffentlichten Kriterien (Delegierte Verordnung EU 2024/1772).
Zusätzlich müssen Unternehmen:
  • bei wesentlichen Veränderungen einen Zwischenbericht vorlegen
  • nach Abschluss der Ursachenanalyse und -behebung einen Abschlussbericht einreichen
Achtung: Gemäß Art. 28 Abs. 3 UAbs. 4 DORA müssen von DORA betroffene Finanzunternehmen mindestens einmal jährlich ihre Informationsregister an die zuständige Aufsicht übermitteln. Für 2026 haben die drei europäischen Aufsichtsbehörden (ESAs) dazu präzisiert, dass sie eine Übermittlung der Register bis zum 31. März 2026 erwarten. In den Registern sollen sämtliche Vertragsinformationen mit Stichtag 31. Dezember 2025 enthalten sein. Betroffene Finanzunternehmen sind daher gehalten Ihre Dateien und Informationsregister zur Weiterleitung an die ESAs rechtzeitig zwischen dem 9. und 30. März 2026 an ihre Aufsichtsbehörden zu übermitteln.

Weiterführende Informationen finden Sie auch auf der Homepage der BaFin und auf der Internetseite der DIHK sowie auf der neuen Info-Seite der Bundesanstalt für Finanzdienstleistungsaufsicht.


Hinweis:
Diese Informationen dienen als erste Orientierungshilfe und erheben keinen Anspruch auf Vollständigkeit. Trotz sorgfältiger Recherchen bei der Zusammenstellung der Informationen kann eine Haftung für den Inhalt nicht übernommen werden. Die hier dargestellten Erläuterungen erfolgen vorbehaltlich etwaiger Änderungen durch anstehende verordnungsrechtliche oder gesetzliche Änderungen.