Site Search

Loading Results

Digital Operational Resilience Act (DORA)

Die neue Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates ist nun in Kraft.

Sind Sie bereits darauf vorbereitet?

Der Digital Operational Resilience Act (DORA) ist eine neue europäische Verordnung für ein wirksames und umfassendes Management digitaler Risiken auf den Finanzmärkten und gilt für mehr als 22.000 Finanzunternehmen und IKT-Dienstleister in der EU.

Durch die Einführung eines einheitlichen, kohärenten Aufsichtskonzeptes für alle relevanten Bereiche soll DORA sicherstellen, dass Finanzunternehmen ihren Betrieb auch bei schwerwiegenden Störungen der Cybersicherheit oder der IKT aufrechterhalten können.

Welche Organisationen sind betroffen?

  • DORA hat mit seinem ganzheitlichen Ansatz ein breites Spektrum von Finanzunternehmen im Blick. Nicht nur Banken und Versicherungsunternehmen, die bereits durch die EBA/EIOPA-Leitlinien zur IKT-Sicherheit und zum Outsourcing mit derartigen Vorschriften vertraut sind, sondern auch Handelsplätze, Einrichtungen der betrieblichen Altersversorgung, Anbieter von Krypto-Dienstleistungen, Versicherungsvermittler und zahlreiche weitere Finanzunternehmen fallen in den Anwendungsbereich des neuen Regelwerks.

  • IKT-Anbieter - einschließlich Cloud-Service-Provider, die Dienstleistungen für Finanzunternehmen erbringen, können nun dem Aufsichtsrahmen unterliegen, wenn sie als "kritische IKT-Anbieter" eingestuft werden. Die Kriterien für diese Einstufung werden von den Europäischen Aufsichtsbehörden (ESAs) weiter spezifiziert, basieren aber hauptsächlich darauf, wie kritisch die erbrachten Leistungen für den Finanzmarkt sind, sowie in welchem Maße Abhängigkeit vom IKT-Anbieter besteht oder wie leicht dieser ausgetauscht werden kann.

Pflichtfelder sind mit Sternchen markiert(*)

Mit dem Klick auf „Senden“ bestätige ich, die Datenschutzerklärung und die vertrauliche Verwendung meiner Daten zur Kenntnis genommen zu haben. Ich habe jederzeit die Möglichkeit, die zugesandten Informationen durch eine E-Mail über die Kontaktseite abzubestellen.

DORA führt einen ganzheitlichen Rahmen für ein effektives Risikomanagement, Resilienz in den Bereichen IKT- und Cybersicherheit bis hin zum Management von Drittanbietern ein, der eine sichere Bereitstellung von Dienstleistungen über die gesamte Wertschöpfungskette hinweg gewährleistet.

  • FinTechs und Start-ups sind aufgrund ihrer begrenzten Größe nicht ausgenommen, wenn sie unter den in der DORA-Verordnung genannten Unternehmensarten tätig sind. Für Unternehmen, die weniger als 10 Personen beschäftigen und deren Jahresumsatz begrenzt ist, gelten jedoch weniger strenge Anforderungen.

Wir unterstützen Sie.

Kontaktieren Sie uns!
DORA - Digital Operational Resilience Act | Which organisations are in scope? ICT Risk Management, Incident Reporting, Oversight Framework of critical ICT providers

Durch die Einführung eines einheitlichen, kohärenten Aufsichtskonzeptes für alle relevanten Bereiche soll DORA sicherstellen, dass Finanzunternehmen ihren Betrieb auch bei schwerwiegenden Störungen der Cybersicherheit oder der IKT aufrechterhalten können.

Mairead McGuinnessEU-Kommissarin für Finanzdienstleistungen, Finanzstabilität und Kapitalmarktunion

Seit wann ist DORA in Kraft?

DORA ist seit 16. Januar 2023 in Kraft. Angesichts einer Umsetzungsfrist von zwei Jahren und technischen Regulierungsstandards, die von den Europäischen Aufsichtsbehörden (ESAs) zu entwickeln sind, wird von den Finanzunternehmen erwartet, dass sie die Verordnung spätestens am 17. Januar 2025 umgesetzt haben.

  • Am 24. September 2020 veröffentlichte die Europäische Kommission den Entwurf des Digital Operational Resilience Act (DORA) als Teil des Digital Finance Package (DFP).

  • Verhandlungen unter portugiesischer und slowenischer EU-Präsidentschaft

  • Der Rat der EU nimmt sein Mandat für die Verhandlungen mit dem EU-Parlament an

  • Nach der Veröffentlichung der Vorschläge des Europäischen Parlaments und des Rates für DORA halten die Mitgesetzgeber während des ersten Halbjahres 2022 politische und technische Triloge ab. 

  • Der Europäische Rat nimmt DORA am 28. November 2022 an, nachdem das Europäische Parlament am 10. November für die Annahme des Rechtsaktes gestimmt hat.

  • DORA tritt am 16. Januar 2023 in Kraft.

  • Bis Juni 2023 sollen die Europäischen Aufsichtsbehörden (ESAs) ihre Konsultationspapiere zu verschiedenen technischen Regulierungs- und Durchführungsstandards (RTS & ITS) der Stufe 2 veröffentlichen, um bestimmte Anforderungen zu präzisieren

  • Vorlage von technischen Regulierungs- und Durchführungsstandards durch die ESA bei der EU-Kommission, die den Unternehmen Spezifikationen und Leitlinien für die Umsetzung bestimmter DORA-Anforderungen an die Hand geben

  • Vorschlag weiterer delegierter Rechtsakte (Kritikalität, Aufsichtsgebühren) durch die EU-Kommission auf Grundlage der ESA-Empfehlungen

  • Die DORA-Anforderungen sind ab dem 17. Jänner 2025 einzuhalten.

Was ist davon abgedeckt und welche Themen sollten behandelt werden?

IKT-Risikomanagement

Finanzunternehmen müssen einen umfassenden Rahmen für das IKT-Risikomanagement einrichten, der Folgendes umfasst:

  • Einrichtung und Pflege von belastbaren IKT-Systemen und -Werkzeugen, die die Auswirkungen von IKT-Risiken minimieren,

  • Identifizierung, Klassifizierung und Dokumentation kritischer Funktionen und Vermögenswerte,

  • kontinuierliche Überwachung aller Quellen von IKT-Risiken, um Schutz- und Präventionsmaßnahmen aufzubauen,

  • sofortige Erkennung anomaler Aktivitäten,

  • Einführung spezieller und umfassender Strategien zur Aufrechterhaltung des Geschäftsbetriebs sowie von Notfall- und Wiederherstellungsplänen, einschließlich jährlicher Tests der Pläne, die alle unterstützenden Funktionen abdecken,

  • Einrichtung von Mechanismen, um sowohl aus externen Ereignissen als auch aus eigenen IKT-Vorfällen zu lernen und sich weiterzuentwickeln.

Reporting von IKT-bezogenen Vorfällen

Finanzunternehmen sind verpflichtet:

  • ein rationalisiertes Verfahren zu entwickeln, um alle IKT-Vorfälle zu protokollieren/zu klassifizieren und schwerwiegende Vorfälle gemäß den in der Verordnung aufgeführten und von den europäischen Aufsichtsbehörden (EBA, EIOPA und ESMA) weiter spezifizierten Kriterien zu bestimmen,

  • einen Anfangs-, Zwischen- und Abschlussbericht über IKT-bezogene Vorfälle vorzulegen,

  • die Berichterstattung über IKT-bezogene Vorfälle mithilfe der von der ESA entwickelten Standardvorlagen zu harmonisieren.

Digital Operational Resilience Testing

Die Verordnung verlangt von allen Finanzunternehmen, dass sie:

  • jährlich grundlegende IKT-Tests von IKT-Tools und -Systemen durchzuführen,

  • Schwachstellen, Mängel oder Lücken identifizieren, entschärfen und umgehend beseitigen, indem Gegenmaßnahmen ergriffen werden,

  • in regelmäßigen Abständen umfassende bedrohungsorientierte Penetrationstests (TLPT) für IKT-Dienste durchführen, die sich auf kritische Funktionen auswirken. Drittanbieter von IKT-Diensten sind verpflichtet, an den Tests teilzunehmen und uneingeschränkt zu kooperieren.

IKT- Risikomanagement für Drittparteien

Finanzunternehmen sind verpflichtet:

  • für eine solide Überwachung der Risiken zu sorgen, die sich aus der Inanspruchnahme von Diensten von IKT-Drittanbietern ergeben,

  • ihr vollständiges Verzeichnis der ausgelagerten Tätigkeiten, einschließlich der gruppeninternen Dienstleistungen und aller Änderungen bei der Auslagerung kritischer Dienstleistungen an IKT-Drittanbieter, zu melden,

  • das IT-Konzentrationsrisiko und die Risiken, die sich aus Sub-Outsourcing-Aktivitäten ergeben, zu berücksichtigen,

  • die vereinbarten Services der Dienstleistung zu überwachen und die Beziehung zu IKT-Drittanbietern zu steuern, um eine "vollständige" Überwachung zu ermöglichen,

  • sicherzustellen, dass die Verträge mit den IKT-Drittanbietern alle notwendigen Details zur Überwachung und Erreichbarkeit enthalten, wie z. B. eine vollständige Beschreibung des Leistungsumfangs, die Angabe der Standorte, an denen Daten verarbeitet werden, usw.,

  • sicherzustellen, dass kritische IKT-Drittanbieter einem EU-Aufsichtsrahmen unterliegen, der es den kompetenten Behörden erlaubt, Empfehlungen zur Minderung festgestellter IKT-Risiken auszusprechen. Finanzunternehmen müssen die IKT-Drittrisiken ihrer Dienstleister berücksichtigen, die sich nicht an die festgelegten Empfehlungen halten.

Austausch von Informationen

  • Die Verordnung erlaubt es Finanzunternehmen, untereinander Vereinbarungen zum Austausch von Informationen und Erkenntnissen über Cyber-Bedrohungen zu treffen.

  • Die Aufsichtsbehörde wird den Finanzunternehmen relevante anonymisierte Informationen und Erkenntnisse über Cyber-Bedrohungen zur Verfügung stellen. Daher sollten die Unternehmen Mechanismen einrichten, um die von den Behörden weitergegebenen Informationen zu überprüfen und entsprechende Maßnahmen zu ergreifen.

Weitere technische Standards, die von den Europäischen Aufsichtsbehörden festgelegt werden

DORA beauftragt die Europäischen Aufsichtsbehörden (EBA, EIOPA und ESMA), technische Standards und Besonderheiten im Rahmen von Rechtsakten zu definieren, die den Finanzunternehmen als weitere Orientierungshilfe dienen sollen.

DORA - Digital Operational Resilience Act | Level 2 Regulatory Technical Standard

Wie wir Sie bei der Umsetzung begleiten können

Gezielte Workshops

Wir bieten gezielte Workshops an, die auf Ihren aktuellen Prozessreifegrad abgestimmt sind:

  • DORA-Einführungsworkshops für das Management mit Schwerpunkt auf die strategischen DORA-Anforderungen

  • Erläuterung der Unterschiede zu den bestehenden EBA-/EIOPA-/PSD2-Richtlinien und der zusätzlichen Anforderungen, die DORA mit sich bringt

  • Vertiefende technische Workshops zu spezifischen DORA-Säulen, um die Akzeptanz auf allen Organisationsebenen sicherzustellen

  • Interne Kontrollen und Vorlagen

  • Und vieles mehr!

Reifegrad- und Fit-Gap-Bewertungen

Unsere Reifegradbewertungen sorgen dafür, dass Sie Ihren Implementierungsfahrplan klar und einfach festlegen können.

  • ​Wir führen unterschiedliche Analysen, angepasst an Ihren Compliance Stand, durch:
     

    1. Vollständiger DORA Fit-Gap
    2. Fokussierung auf zusätzliche DORA-Anforderungen gegenüber bestehenden EBA/EIOPA-Richtlinien
    3. Analyse der Umsetzung von spezifischen technischen Standards

  • Bottom-Up-Prozessüberprüfungen, basierend auf angeleiteten Interviews sowie dokumentenbasierter Analyse

  • Strategische top-down Resilienzplanung

  • Klare Priorisierung der Empfehlungen

  • Verknüpfung mit anderen bestehenden Verordnungen und Richtlinien

Cyber Compliance Dashboard

Bei PwC Österreich haben wir im Cybersecurity-Team einen klaren Fokus auf IT- und Informationssicherheitsvorschriften und -richtlinien, weshalb wir ein eigenes Cyber-Compliance-Dashboard entwickelt haben, das es Ihnen ermöglicht:

  • Ihre regulatorischen Cybersecurity-Risiken zu identifizieren

  • Die regulatorischen Anforderungen zu vergleichen

  • Inhalte nach Rollen, Funktionen und Sicherheitsrahmenwerken aufzuteilen und zu analysieren

  • Exemplarische interne Kontrollen und sonstige Templates zu nutzen

Fahrplan für die Implementierung von DORA

Ausgehend von Ihrer aktuellen Prozesslandschaft erstellen wir einen Fahrplan, mit der Sie die gewünschte Ausfallsicherheit erreichen und gleichzeitig die DORA-Anforderungen und regulatorischen Erwartungen erfüllen.

  • Priorisierung von Lücken und Empfehlungen sowie deren Aufwand und Zusammenhänge

  • Entwicklung eines zweckmäßigen Rahmens für die digitale operative Belastbarkeit

  • Optimierung und Rationalisierung von Prozessen

  • Erfüllung der DORA-Anforderungen in Übereinstimmung mit den regulatorischen Erwartungen

Sobald der Plan feststeht, können wir Sie bei der Umsetzung mit unserem Fachwissen und unseren Tools unterstützen.

Eine lange Reise

Es handelt sich keineswegs um eine einmalige Initiative zur Einhaltung der Vorschriften. In Anbetracht der Komplexität und der noch zu entwickelnden technischen Regelungen, erfordert DORA in den kommenden Jahren regelmäßige Steuerung und Anpassung.

Lassen Sie uns Ihr zuverlässiger Partner sein und Sie mit klarer Anleitung und regelmäßigen Abstimmungen über Jahre hinweg dabei begleiten, die DORA-Vorschriften einzuhalten.

Folgen Sie uns

Required fields are marked with an asterisk(*)

By submitting your email address, you acknowledge that you have read the Privacy Statement and that you consent to our processing data in accordance with the Privacy Statement (including international transfers). If you change your mind at any time about wishing to receive the information from us, you can send us an email message using the Contact Us page.

Contact us

Georg Beham

Georg Beham

Partner, Cybersecurity & Privacy Leader, PwC Austria

Tel: +43 699 163 054 54

Linkedin Follow X Follow Email
Peter Kleebauer

Peter Kleebauer

Senior Manager, Cybersecurity & Privacy, PwC Austria

Tel: +43 699 16305907

Linkedin Follow Email
Serhat Ada

Serhat Ada

Manager, Cybersecurity & Privacy, PwC Austria

Tel: +43 676 833 771 114

Linkedin Follow Email
Hide