Inhaltsverzeichnis:
1 DORA Verordnung – Digital Operational Resilience Act
2 Die wichtigsten aktuellen Informationen zu DORA
3 DORA Verordnung – für Maklerpools und Vermögensverwalter

Die DORA Verordnung – Digital Operational Resilience Act ist eine EU-Verordnung (EU) 2022/2554, die darauf abzielt, die digitale Widerstandsfähigkeit des Finanzsektors in Europa zu stärken. Der Schwerpunkt liegt darauf, sicherzustellen, dass Unternehmen im Finanzwesen widerstandsfähig gegenüber Cyberangriffen und anderen digitalen Bedrohungen sind und im Falle von Störungen ihre Dienstleistungen weiterhin erbringen können. WICHTIG: Die DORA Verordnung gilt unter bestimmten Bedingungen auch für Maklerpools und Vermögensverwalter.

Info – zu beachten ist:

► Compliance: Vorgaben des DORA einhalten, um regulatorische Strafen zu vermeiden
► Bei Nichteinhaltung – erhebliche negative Auswirkungen auf die Reputation (Hinweise im Beitrag)
► Kontinuierliche Überwachung: IKT-Risiken – kontinuierliche Überwachung und Anpassung der Sicherheitsmaßnahmen
► Cybersecurity-Budgets: Ressourcen und Budgets für die Umsetzung und den Erhalt ihrer digitalen Resilienz bereitstellen
► Schulung und Sensibilisierung: Mitarbeiterschulungen im Bereich Cybersicherheit
Anwendung der Verordnung muss bis zum 17. Januar 2025 erfolgen

DORA Verordnung - für Maklerpools und Vermögensverwalter - Digital Operational Resilience Act

DORA Verordnung – Digital Operational Resilience Act

 

Wesentliche Bestandteile der DORA Verordnung:

  1. Geltungsbereich: die DORA Verordnung (EU-Verordnung 2022/2554) gilt für eine Vielzahl von Akteuren im Finanzsektor, darunter Banken, Versicherungen, Investmentfirmen, Zahlungsdienstleister und Anbieter kritischer IKT-Dienste (Informations- und Kommunikationstechnologie), die im Finanzwesen tätig sind.

  2. Risikomanagement: Unternehmen müssen robuste Rahmenwerke für das Management von IKT-Risiken (Informations- und Kommunikationstechnologie) implementieren. Dazu gehört die Identifizierung, Bewertung, Überwachung und Bewältigung von Cyberrisiken.

  3. Meldung von Vorfällen: Unternehmen sind verpflichtet, erhebliche IKT-bezogene Vorfälle unverzüglich an die zuständigen Behörden zu melden. Dies trägt dazu bei, ein besseres Verständnis und eine schnellere Reaktion auf Bedrohungen zu gewährleisten.

  4. Kontinuitätsplanung: Finanzinstitute müssen sicherstellen, dass sie Pläne und Maßnahmen zur Sicherstellung der Geschäfts- und Dienstleistungskontinuität im Falle von Cybervorfällen oder Störungen haben. Diese Maßnahmen sollen sicherstellen, dass der Betrieb auch bei einem Ausfall wichtiger IKT-Dienste aufrechterhalten werden kann.

  5. Anbieter von Drittanbietern (Outsourcing): Der Umgang mit externen Anbietern von IKT-Diensten, insbesondere Cloud-Services und andere digitale Infrastrukturdienstleister, wird genauer reguliert. Finanzinstitute müssen die Abhängigkeit von solchen Drittanbietern überwachen und sicherstellen, dass diese ebenfalls hohe Sicherheitsstandards einhalten.

  6. Tests zur Widerstandsfähigkeit: Regelmäßige Tests der Cyberresilienz, einschließlich Penetrationstests und anderer Sicherheitsüberprüfungen, sind notwendig, um sicherzustellen, dass Unternehmen auf Angriffe vorbereitet sind.

  7. Kooperation zwischen Behörden: DORA fördert die Zusammenarbeit und den Informationsaustausch zwischen nationalen und europäischen Aufsichtsbehörden, um Cyberbedrohungen effizienter zu bekämpfen.

Der Digital Operational Resilience Act (DORA) ist eine wichtige EU-Verordnung zur Stärkung der digitalen Widerstandsfähigkeit im Finanzsektor.  DORA wird als ein wesentliches Element zur Erhöhung der Sicherheit im europäischen Finanzwesen gesehen und wird voraussichtlich ab 2025 in Kraft treten. Betroffene Unternehmen sollten sich jetzt darauf vorbereiten, die Anforderungen zu erfüllen.

 

Die wichtigsten aktuellen Informationen zu DORA

 

Inkrafttreten und Anwendung – DORA ist am 17. Januar 2023 in Kraft getreten – Die vollständige Umsetzung und verpflichtende Anwendung der Verordnung durch die betroffenen Unternehmen muss bis zum 17. Januar 2025 erfolgen.

Geltungsbereich – Die Verordnung gilt für eine breite Palette von Finanzunternehmen, darunter:

  • Banken und Kreditinstitute
  • Zahlungsinstitute
  • Wertpapierfirmen
  • Krypto-Dienstleister
  • Versicherungs- und Rückversicherungsunternehmen
  • Einrichtungen der betrieblichen Altersvorsorge
  • IKT-Drittdienstleister für den Finanzsektor

Hauptziele und Anforderungen – DORA zielt darauf ab, die digitale Widerstandsfähigkeit des europäischen Finanzmarkts zu erhöhen. Die wichtigsten Regelungsbereiche umfassen:

  • IKT-Risikomanagement
  • Meldung schwerwiegender IKT-Vorfälle
  • Testen der digitalen operationellen Resilienz
  • Management von IKT-Drittparteienrisiken
  • Informationsaustausch und Krisenübungen

Die europäischen Aufsichtsbehörden (ESAs) werden bis Januar 2025 technische Regulierungs- und Implementierungsstandards vorlegen, um die Umsetzung von DORA zu konkretisieren. In Deutschland wird die BaFin als nationale Meldestelle für IKT-Vorfälle im Finanzsektor fungieren.

 
Betroffene Unternehmen sollten bereits jetzt mit den Vorbereitungen zur Umsetzung von DORA beginnen. Dies umfasst unter anderem:
  • Anpassung des IKT-Risikomanagements
  • Überprüfung und Anpassung von Verträgen mit IKT-Drittanbietern
  • Implementierung von Prozessen zur Erkennung und Meldung von IKT-Vorfällen
  • Vorbereitung auf verpflichtende Resilienz-Tests

Die vollständige Umsetzung von DORA wird erhebliche Anstrengungen von den betroffenen Unternehmen erfordern, bietet aber auch die Chance, die digitale Widerstandsfähigkeit des Finanzsektors insgesamt zu stärken.

 
Bei Nicht-Einhaltung der DORA-Anforderungen drohen Finanzinstituten erhebliche Strafen:
  • Geldstrafen von bis zu 10 Millionen Euro oder 5% des gesamten weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist.
  • Alternativ werden Strafen von bis zu 2% des gesamten jährlichen weltweiten Umsatzes genannt.
  • Tägliche Geldbußen in Höhe von bis zu 1% des durchschnittlichen täglichen Gesamtumsatzes für einen Zeitraum von bis zu sechs Monaten.
  • Öffentliche Zensur oder Bekanntmachung der Verstöße.
  • Einschränkungen der Geschäftstätigkeit.
  • Im schlimmsten Fall droht der Entzug von Lizenzen.
  • Einzelpersonen können mit Geldstrafen von bis zu 1.000.000 Euro belegt werden.
  • Kritische IKT-Drittanbieter können bei Nichteinhaltung mit Geldstrafen von bis zu 5.000.000 Euro belegt werden.
  • Einzelpersonen bei IKT-Drittanbietern drohen Strafen von bis zu 500.000 Euro.

Die Höhe der Strafen hängt von Faktoren wie der Schwere des Verstoßes und der Kooperationsbereitschaft des Unternehmens ab. Neben den finanziellen und rechtlichen Konsequenzen kann die Nichteinhaltung auch zu erheblichen Reputationsschäden führen und das Vertrauen von Kunden und Investoren untergraben.

 
JDC Group - Squarevest

DORA Verordnung – für Maklerpools und Vermögensverwalter

  • Maklerpools, die im Versicherungsbereich tätig sind, fallen unter DORA, wenn sie:
    • Mehr als 250 Mitarbeiter beschäftigen ODER
    • Mehr als 50 Millionen Euro Jahresumsatz erwirtschaften
  • Eines dieser beiden Kriterien muss erfüllt sein, um unter die Verordnung zu fallen
  • Vermögensverwalter sind grundsätzlich von DORA betroffen
  • Es gibt jedoch Ausnahmen für kleinere und mittlere Unternehmen
  • Pools oder Vermögensverwalter, die nur eine Zulassung nach §34f Gewerbeordnung haben, fallen nicht unter DORA
  • Gleiches gilt für die meisten Versicherungsvermittler
  • In manchen Fällen muss genau geprüft werden, ob DORA anwendbar ist, z.B. wenn ein nicht betroffener Versicherungspool ein Wertpapierinstitut als Tochter hat
  • Maklerpools könnten auch als IKT-Dienstleister unter DORA fallen, wenn sie Software-Angebote für DORA-verpflichtete Vermittlerbetriebe bereitstellen

Insgesamt zeigt sich, dass DORA durchaus Relevanz für größere Maklerpools und Vermögensverwalter hat. Kleinere Unternehmen sind häufig von den Anforderungen ausgenommen, sollten aber die genauen Kriterien prüfen.

 
Die Nichteinhaltung der DORA-Anforderungen kann erhebliche negative Auswirkungen auf die Reputation eines Unternehmens haben:
  • Ein Verstoß gegen DORA kann das Vertrauen von Kunden, Partnern und Investoren stark erschüttern.
  • Der Reputationsschaden durch mangelnde Cybersicherheit und digitale Resilienz kann langfristig sein und schwerer wiegen als finanzielle Strafen.
  • Bei Verstößen droht eine öffentliche Bekanntmachung durch die Aufsichtsbehörden.
  • Dies führt zu negativer Publicity und kann den Ruf des Unternehmens in der Branche nachhaltig schädigen.
  • Ein schlechter Ruf in Bezug auf digitale Sicherheit kann zu Wettbewerbsnachteilen führen.
  • Kunden könnten zu Wettbewerbern abwandern, die als vertrauenswürdiger und sicherer wahrgenommen werden.
  • Der Reputationsschaden kann schwieriger zu beheben sein als finanzielle Einbußen.
  • Für kleinere und mittlere Unternehmen kann ein solcher Imageschaden sogar existenzbedrohend sein.
  • Unternehmen, die gegen DORA verstoßen, müssen mit verstärkter regulatorischer Überwachung rechnen.
  • Dies kann zu weiteren Reputationsrisiken führen, wenn zusätzliche Probleme aufgedeckt werden.

Die Einhaltung von DORA sollte daher nicht nur als regulatorische Pflicht, sondern auch als Chance gesehen werden, das Vertrauen von Stakeholdern zu stärken und sich als verantwortungsvolles, sicheres Unternehmen zu positionieren.

 
Nach einer Nichteinhaltung der DORA-Anforderungen kann ein Unternehmen folgende Schritte unternehmen, um seine Reputation wiederherzustellen:
  • Transparente und ehrliche Kommunikation über die Gründe der Nichteinhaltung und die ergriffenen Korrekturmaßnahmen.
  • Proaktive Information aller Stakeholder, einschließlich Kunden, Partner und Aufsichtsbehörden.
  • Gründliche Untersuchung der Ursachen für die Nichteinhaltung.
  • Implementierung verbesserter Prozesse und Kontrollen zur Sicherstellung zukünftiger Compliance.
  • Dokumentation der Lehren und Erstellung eines aktualisierten Krisenhandbuchs.
  • Investition in verbesserte IKT-Systeme und Cybersicherheitsmaßnahmen.
  • Schulung und Sensibilisierung der Mitarbeiter für DORA-Anforderungen.
  • Regelmäßige interne und externe Audits zur Überprüfung der Compliance.
  • Verstärkte Aktivität in sozialen Medien mit Fokus auf Cybersicherheit und Resilienz.
  • Veröffentlichung von Fachbeiträgen und Whitepapers zu digitaler Sicherheit.
  • Teilnahme an Branchenveranstaltungen und Konferenzen als Experte für digitale Resilienz.
  • Direkter Dialog mit Kunden und Partnern zur Wiederherstellung des Vertrauens.
  • Regelmäßige Updates über Fortschritte bei der Compliance-Verbesserung.
  • Einbeziehung von Stakeholder-Feedback in den Verbesserungsprozess.
  • Entwicklung einer umfassenden Strategie zur nachhaltigen Verbesserung der digitalen Resilienz.
  • Kontinuierliches Monitoring der Reputation und Anpassung der Maßnahmen.
  • Positionierung als Vorreiter für Best Practices in der digitalen Sicherheit.

Die Wiederherstellung der Reputation erfordert Zeit, Konsistenz und ein echtes Engagement für Verbesserungen. Durch diese Maßnahmen kann ein Unternehmen das verlorene Vertrauen zurückgewinnen und sich langfristig als zuverlässiger und sicherer Partner im Finanzsektor positionieren.

 
Die Umsetzung dieser Prozesse erfordert erhebliche organisatorische und technische Anstrengungen. Kleinere Unternehmen können von bestimmten Ausnahmen profitieren, sollten aber die grundlegenden IT-Governance-Strukturen dennoch implementieren.