HomeWissenVeröffentlichungenVerordnung über die Digitale Resilienz im Finanzsektor (DORA)
03.05.2023

Verordnung über die Digitale Resilienz im Finanzsektor (DORA)


Die Verordnung (EU) 2022/2554 über die Digitale Resilienz im Finanzsektor (Digital Operations Resilience Act - „DORA“) führt zu verbindlich normierten und detaillierteren Anforderungen an die Governance, das Risikomanagement und die Auslagerungsprozesse. Es geht dabei um Aspekte der Informationstechnologie und der Kommunikation (ITK-Risiken). Die Inhalte der DORA betreffen jedenfalls mittelbar auch ITK-Drittanbieter. So enthält sie verbindliche Vorgaben zum Inhalt entsprechender Auslagerungsverträge. Die DORA ist am 16.1.2023 in Kraft getreten. Nach Art. 288 Abs. 3 AEUV stellt sie verbindliches und unmittelbar geltendes Recht in allen EU-Mitgliedstaaten dar. Sie gilt ab dem 17.1.2025.
Im Gegensatz zur aktuellen Praxis der BaFin, die mit sektorenspezifischen Anforderungen, wie den VAIT oder den BAIT agiert, verfolgt DORA einen sektorenübergreifenden Ansatz. Es sollen für alle Finanzdienstleistungssektoren einheitliche Anforderungen gelten. Daher müssten die VAIT jedenfalls angepasst werden. Allerdings hat die Richtlinie (EU) 2022/2556 den Art. 41 der Richtlinie Solvabilität II geändert. Folge dieser Änderung ist, dass die Versicherungsunternehmen ihre Netzwerk- und Informationssysteme gemäß den Vorgaben der DORA verwalten müssen. Damit werden die materiellen Anforderungen im IKT-Bereich aus der Solvabilität II-Regulierung ausgelagert. Mit der Transformation dieses Richtlinieninhalts stellt sich dann die Frage, welche Governance-Vorgaben die BaFin mit den VAIT weiterhin auslegen will.

Bewertung: Die DORA führt zu erheblichen Änderungen im Bereich der ITK-Governance, des IKT-Risikomanagements und der Beziehungen zu ITK-Dienstleistern. Die Versicherungsunternehmen sind daher gut beraten, sich bereits jetzt intensiv mit den weitreichenden Konsequenzen der DORA zu beschäftigen, zumal hier wie bei allen neuen Regelungen komplexe Auslegungs- und Anwendungsfragen auftauchen. Hinzu kommt, dass der bereits jetzt beachtliche Umfang der DORA durch Delegierte Rechtsakte weiter deutlich zunehmen wird.

Praxishinweis: Die verbindlichen Vorgaben der DORA gehen den unverbindlichen Interpretationen der BaFin vor und sollten daher bereits jetzt primär berücksichtigt werden, vor allem bei der Auslegung der allgemeinen, prinzipienbasierten Governance-Vorgaben. Dieser Vorrang betrifft auch die Frage der rechtlichen Belastbarkeit von Ergebnissen der "VAIT-Prüfungen" der BaFin.

Rechtsgebiete

WEITERE VERÖFFENTLICHUNGEN

linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram