|
Wiedergabe
Getting your Trinity Audio player ready...
|
DORA und seine Bedeutung für den Finanzsektor
Am 17. Januar 2025 tritt der Digital Operational Resilience Act (DORA) in Kraft – ein Meilenstein für die Regulierung der IT-Sicherheit im europäischen Finanzsektor. Ziel ist es, die digitale operationelle Resilienz von Finanzunternehmen zu stärken und das europäische Finanzsystem vor Risiken zu schützen. DORA markiert eine neue Ära der Finanzaufsicht, indem die Abhängigkeit von IT-Dienstleistern (IKT-Drittdienstleistern) erstmals systematisch reguliert wird. Insbesondere bei kritischen Dienstleistern, von denen der Finanzmarkt maßgeblich abhängt, bringt DORA tiefgreifende Änderungen.
IKT-Drittdienstleister: Wachsender Einfluss und Risiken
Mit der zunehmenden Digitalisierung setzen Finanzunternehmen verstärkt auf spezialisierte IT-Dienstleister, die Vorteile wie Kosteneffizienz und technologische Expertise bieten. Allerdings entstehen dadurch Konzentrationsrisiken:
- Technologische Konzentration: Wenige große Anbieter – insbesondere die dominanten Cloud-Hyperscaler aus den USA – bedienen den Großteil des Finanzmarktes. Ein Ausfall könnte gravierende Folgen für zahlreiche Unternehmen haben.
- Geografische Konzentration: Die Abhängigkeit von Dienstleistern mit Sitz in Drittstaaten birgt geopolitische Risiken, etwa im Kontext von Sanktionen oder handelspolitischen Konflikten.
Die BaFin hat diese Risiken bereits erkannt und ihre Aufsichtstätigkeit in den letzten Jahren intensiviert. Mit DORA wird die Überwachung solcher Abhängigkeiten jedoch auf eine neue, europaweite Ebene gehoben.
Der neue DORA-Überwachungsrahmen
DORA schafft erstmals ein einheitliches europäisches Rahmenwerk, um die digitale operationelle Resilienz zu gewährleisten. Im Fokus stehen dabei kritische IKT-Drittdienstleister, deren Dienstleistungen nicht einfach durch andere Anbieter ersetzt werden können und deren Ausfall systemische Risiken für den Finanzmarkt darstellen könnte. Die Überwachung dieser Anbieter erfolgt durch speziell zuständige Behörden auf EU-Ebene, um die Stabilität des Finanzsystems zu bewahren.
Zweistufiger Bewertungsprozess: Kritische IKT-Dienstleister identifizieren
Ein zentraler Aspekt von DORA ist der zweistufige Bewertungsprozess, der bestimmt, ob ein IKT-Drittdienstleister als kritisch eingestuft wird:
- Quantitative Kriterien: Wie viele Finanzunternehmen nutzen die Dienste des Anbieters? Wie groß ist der Marktanteil?
- Qualitative Kriterien: Welche Art von Dienstleistungen bietet der Anbieter an? Wie ersetzbar sind diese?
Ausnahmen gelten für interne Dienstleister, etwa innerhalb eines Konzerns, da ihre Auswirkungen in der Regel auf die eigene Gruppe beschränkt sind. Diese Anbieter werden weiterhin von nationalen Aufsichtsbehörden reguliert.
Informationsregister: Transparenz für die Aufsicht
Um die Überwachung zu erleichtern, verlangt DORA von Finanzunternehmen die Führung eines Informationsregisters. Dieses Register muss alle vertraglichen Vereinbarungen mit IKT-Dienstleistern dokumentieren und auf Anfrage der Aufsichtsbehörden bereitgestellt werden. Wichtige Fristen:
- Bis zum 11. April 2025 müssen Finanzunternehmen ihr Register bei der BaFin einreichen.
- Eine erste Liste kritischer IT-Dienstleister wird voraussichtlich in der zweiten Jahreshälfte 2025 veröffentlicht.
Diese Transparenz soll der Aufsicht helfen, Abhängigkeiten frühzeitig zu erkennen und potenzielle Risiken besser zu bewerten.
Zukunftsausblick: Veröffentlichung der Liste kritischer Dienstleister
Ein entscheidender Schritt zur Umsetzung von DORA wird die Veröffentlichung der Liste kritischer IT-Dienstleister durch die europäischen Aufsichtsbehörden in der zweiten Jahreshälfte 2025 sein. Diese Liste wird nicht nur Transparenz schaffen, sondern auch klare Verantwortlichkeiten definieren. Finanzunternehmen können so gezielt Maßnahmen ergreifen, um ihre Resilienz zu stärken, während die Aufsicht effektiv Risiken für das gesamte System überwachen kann.
Fazit: Stärkung der digitalen Resilienz im Finanzsektor
Mit der Einführung von DORA wird der europäische Finanzsektor besser auf die Herausforderungen der digitalen Transformation vorbereitet. Die neue Regulierung schützt nicht nur Unternehmen vor den Risiken technologischer Konzentration, sondern stärkt auch die Stabilität des Finanzsystems. Besonders in Zeiten wachsender geopolitischer Unsicherheiten bietet DORA einen robusten Rahmen, um systemische Risiken zu minimieren. Unternehmen sind nun gefragt, ihre Prozesse anzupassen und aktiv zur Umsetzung der neuen Standards beizutragen – für eine widerstandsfähige, sichere und zukunftsfähige Finanzlandschaft in Europa.