DORA - die EU-Verordnung über die digitale operationale Resilienz im Finanzsektor

Im Januar 2023 ist die Verordnung über digitale Betriebssicherheit im Finanzsektor (Digital Operational Resilience Act – DORA) in Kraft getreten. Die erfassten Finanzunternehmen sowie die sogenannten Informations- und Kommunikationstechnik-(IKT-)Drittdienstleister sind bis zum Geltungsbeginn der Verordnung am 17. Januar 2025 gehalten, die gesetzlichen Vorgaben der Verordnung umzusetzen.

Zu den gesetzlichen Vorgaben zählen unter anderem umfassende und detaillierte Regelungen zum organisatorischen und inhaltlichen Risikomanagement, zu Störungsmeldungen, Informationsaustausch und Penetrationstest für Finanzunternehmen. Weiter sind gesetzliche Vorgaben zu Vertragsinhalten mit IKT-Drittdienstleistern umzusetzen.

In den Anwendungsbereich der Verordnung fallen neben Börsen und Versicherungen auch Versicherungsvermittler. Die Verordnung gilt nicht für Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit, bei denen es sich um Kleinstunternehmen oder kleine oder mittlere Unternehmen handelt.

Bedeutung: Die Verordnung ist nur von Unternehmen mit 250 oder mehr Beschäftigten und einem Jahresumsatz von mehr als 50 Mio. EUR und/oder einer Jahresbilanzsummer von mehr als 43 Mio. EUR anzuwenden.