DORA - die EU-Verordnung über die digitale operationale Resilienz im Finanzsektor

Die Verordnung über digitale Betriebssicherheit im Finanzsektor (Digital Operational Resilience Act – DORA) ist bereits 2023 in Kraft getreten. Die erfassten Finanzunternehmen sowie die sogenannten Informations- und Kommunikationstechnik-(IKT-)Drittdienstleister sind bis zum Geltungsbeginn der Verordnung am 17. Januar 2025 gehalten, die gesetzlichen Vorgaben der Verordnung umzusetzen.

Zu den gesetzlichen Vorgaben zählen unter anderem umfassende und detaillierte Regelungen zum organisatorischen und inhaltlichen Risikomanagement, zu Störungsmeldungen, Informationsaustausch und Penetrationstest für Finanzunternehmen. Weiter sind gesetzliche Vorgaben zu Vertragsinhalten mit IKT-Drittdienstleistern umzusetzen.

In den Anwendungsbereich der Verordnung fallen neben Börsen und Versicherungen auch Versicherungsvermittler. Die Verordnung gilt nicht für Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit, bei denen es sich um Kleinstunternehmen oder kleine oder mittlere Unternehmen handelt.

Kleinstunternehmen: weniger als zehn Beschäftigte und Jahresumsatz bzw. - bilanzsumme unter 2 Mio. EUR

Kleines Unternehmen: zehn oder mehr, aber weniger als 50 Beschäftigte und Jahresumsatz bzw. -bilanzsumme über 2 Mio. EUR und unter 10 Mio. EUR

Mittleres Unternehmen: weniger als 250 Beschäftigte und Jahresumsatz unter 50 Mio. EUR oder Jahresbilanzsumme unter 43 Mio. EUR

Unternehmen mit 250 oder mehr Beschäftigten und einem Jahresumsatz von mehr als 50 Mio. EUR oder einer Jahresbilanzsummer von mehr als 43 Mio. EUR müssen die Verordnung in jedem Fall anwenden.

Bei Fragen zur Anwendbarkeit der DORA-Vorschriften kontaktieren Sie gerne die genannte Ansprechperson.