Digital Operational Resilience Act (DORA) – Teil 1

Ein einheitlicher Rechtsrahmen für die IT- und Cybersicherheit

• Dr. Dr. Fabian Teichmann

Die Verordnung über die digitale operationelle Resilienz im Finanzsektor (Digital Operational Resilience Act, DORA) führt einen einheitlichen Rechtsrahmen für die IT- und Cybersicherheit nahezu aller Finanzmarktakteure in der Europäischen Union ein. Ziel ist es, ein hohes, harmonisiertes Sicherheitsniveau zu etablieren und die operationelle Widerstandsfähigkeit der Finanzbranche gegenüber Informations- und Kommunikationstechnologie-(IKT-)Risiken zu stärken. Hierzu normiert DORA Anforderungen in den Bereichen IKT-Risikomanagement, Meldung von Sicherheitsvorfällen, Testverfahren (inklusive Threat-Led Penetration Testing), Umgang mit IKT-Drittanbietern sowie Aufsichts- und Sanktionsmechanismen. Die vorliegende Arbeit legt dar, wie DORA bestehende Standards (unter anderem ISO/IEC 27001, NIST Cybersecurity Framework) zu verbindlichen Mindestanforderungen weiterentwickelt, welche Chancen sich aus dem neuen Aufsichtsrahmen für kritische IKT-Dienstleister ergeben und inwiefern die persönliche Verantwortung der Geschäftsleitung durch DORA besonders betont wird. Abschließend wird ein Ausblick auf mögliche Auswirkungen für die Praxis gegeben, insbesondere im Hinblick auf die noch in Ausarbeitung befindlichen Regulatory Technical Standards (RTS) und Implementing Technical Standards (ITS).