DORA: EU-Verordnung über die digitale operationale Resilienz im Finanzsektor

DORA ist die Verordnung über digitale Betriebssicherheit im Finanzsektor (Digital Operational Resilience Act).

Die erfassten Finanzunternehmen sowie die sogenannten Informations- und Kommunikationstechnik-(IKT-)Drittdienstleister sind bis zum Geltungsbeginn der Verordnung am 17. Januar 2025 gehalten, die gesetzlichen Vorgaben der Verordnung umzusetzen.

Zu den gesetzlichen Vorgaben zählen u. a. umfassende und detaillierte Regelungen zum organisatorischen und inhaltlichen Risikomanagement, zu Störungsmeldungen, Informationsaustausch und Penetrationstest für Finanzunternehmen. Weiter sind gesetzliche Vorgaben zu Vertragsinhalten mit IKT-Drittdienstleistern umzusetzen.

Entsprechende Änderungen der Gewerbeordnung sind durch das Finanzmarktdigitalisierungsgesetz (FinmadiG) zum 30. Dezember 2024 in Kraft getreten. Damit sind die Industrie- und Handelskammern für die Überwachung der Einhaltung der DORA-Vorschriften durch die betroffenen Versicherungsvermittler zuständig. Ein neuer § 147d der Gewerbeordnung regelt die Ordnungswidrigkeiten für den Fall der Verletzung der DORA-Vorschriften. Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu 500.000,00 Euro geahndet werden.

Betroffen sind gewerbetreibende Versicherungsvermittler, die 250 oder mehr Personen beschäftigen und einen Jahresumsatz von mehr als 50 Millionen Euro oder eine Jahresbilanzsumme von mehr als 43 Millionen Euro aufwiesen. Vermittler, bei denen es sich um Kleinstunternehmen oder kleine oder mittlere Unternehmen handelt, sind nicht betroffen.