Der Digital Operational Resilience Act, kurz DORA, ist eine EU-Verordnung mit dem Ziel den europäischen Finanzsektor gegenüber Cyberrisiken und IKT-Vorfällen zu stärken. Sie trat am 16. Januar 2023 in Kraft und ist ab dem 17. Januar 2025 anwendbar.
Weitere Informationen finden Sie hier: Bundesanstalt für Finanzdienstleistungsaufsicht
In den Geltungsbereich der Verordnung fallen eine Vielzahl von Finanzinstituten und Dienstleistern. Dazu gehören unter anderem:
In den Anwendungsbereich fallen allerdings nicht ausschließlich Finanzdienstleister, sondern auch Unternehmen, welche IKT-Dienstleistungen für die Finanzindustrie bereitstellen.
Drittanbieter von IKT-Diensten können dabei als „kritisch“ eingestuft werden, wenn sie für die Stabilität und Sicherheit der Finanzinstitute innerhalb der EU von wesentlicher Bedeutung sind. Die Einstufung wird von den Europäischen Aufsichtsbehörden (ESA) – der Europäischen Bankenaufsichtsbehörde (EBA), der Europäischen Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA) und der Europäischen Wertpapier- und Marktaufsichtsbehörde (ESMA) vorgenommen. Eine Einstufung als „kritischer IKT-Dienstleister“ kann zu einer direkten Überwachung durch die zuständigen Behörden führen.
In Deutschland sind neben der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), die Deutsche Bundesbank und die Europäische Zentralbank (EZB) die zuständigen Behörden für die Überwachung der Einhaltung der DORA-Vorschriften. Die BaFin arbeitet dabei eng mit der Deutschen Bundesbank zusammen, um die Stabilität und Sicherheit des deutschen Finanzsektors zu gewährleisten.
DORA legt umfangreiche Anforderungen fest, die Finanzunternehmen zur Sicherstellung ihrer digitalen Betriebsresilienz garantieren müssen. Zu den sechs Hauptbereichen gehören:
Als Hilfestellung zur Umsetzung der Anforderungen hat die BaFin bereits Umsetzungshinweise und Mindestanforderungen veröffentlicht.
Die EU-Verordnung markiert einen wichtigen Schritt hinzu einer sichereren und widerstandsfähigen digitalen Infrastruktur für europäische Finanzdienstleister.
Betroffene Unternehmen müssen interne Systeme und Prozesse an die neuen Vorgaben anpassen, was gegebenenfalls Investitionen erfordern könnte, aber gleichzeitig auch Chancen bietet, durch die hohen Sicherheitsstandards ihre Marktposition zu stabilisieren, das Vertrauen der Kunden zu festigen und vor Allem ihre Resilienz gegenüber digitalen Bedrohungen zu stärken.
Wir verfügen über viele Jahre an Erfahrung in der Bereitstellung von ITK-Services für Banken. Dank unseres Finance-Squats können wir sie proaktiv bei Audits und der Umsetzung neuer und bestehender regulatorischer Anforderungen unterstützen. Dabei berücksichtigen wir ganz individuell Ihre Anforderungen.
Als Renault Financial Services, Dacia Financial Services und Nissan Financial Services vertreibt RCI Bank and Services Deutschland ihre Produkte Finanzierung, Leasing und Versicherungen über die Automobilhändler der Marken Renault, Dacia, Alpine und Nissan. Im Rahmen eines Migrationsprojekts wurde ein Rechenzentrumsdienstleister gesucht. Neben einigen zentralen Systemen in Frankreich sollten zukünftig zahlreiche Systeme in bankensicheren Rechenzentren in Deutschland betrieben werden.
Finanz Informatik Technologie Service (FI-TS) bietet IT-Dienstleistungen für private und öffentliche Banken, Versicherungen und Finanzdienstleister. Ihre Nürnberger Rechenzentren sollten modernisiert werden. Für eines davon sollte ein neuer Standort gefunden werden, was sich als schwierig erwies, auch weil es höchste Sicherheitsstandards nach Trusted Site Infrastructure Level 4 und EN 50600 erfüllen sollte.
