DORA tritt in Kraft

Mit DORA wird ein europäisches Gesetz wirksam, das die digitale Betriebssicherheit im Finanzsektor stärkt und insbesondere die Aufsicht über IKT-Drittdienstleister intensiviert. Insgesamt gilt es die folgenden wesentlichen 20 Themenfelder umzusetzen:

Allgemein zeichnet sich Im Finanzsektor ein zunehmender Trend zur Auslagerung von IT-Dienstleistungen an spezialisierte IKT-Dienstleister ab, insbesondere zur Bündelung von IT-Betrieb und Informationsrisikomanagement, die wesentliche Aspekte der DORA-Themenfelder betreffen. Aber bereits vor DORA stellte dieser Trend Unternehmen vor Herausforderungen, da sie ihre Auslagerungen ordnungsgemäß steuern müssen. Diese Auslagerungen sind auch stets mit Risiken versehen, etwa durch die Konzentration auf wenige, vor allem große Cloud-Anbieter mit hoher Marktdurchdringung. Solche Konzentrationsrisiken – insbesondere bei Cloud-Hyperscalern mit Sitz in den USA – können bei Störungen gravierende Folgen für die Unternehmen und auch den gesamten Finanzmarkt haben, auch wenn derartige Ereignisse selten auftreten.

Konzentrationsrisiken bestehen jedoch nur, wenn Finanzunternehmen auf spezialisierte Dienstleistungen angewiesen sind und ein Wechsel aufgrund begrenzter Alternativen oder hoher Migrationskosten schwierig ist. Besonders hoch ist das Risiko bei individuell konfigurierter Software, die einen Vendor-Lock-in begünstigt – die Abhängigkeit von einem bestimmten Anbieter, verbunden mit hohen Kosten und Komplexität. Zur Risikominimierung setzen Unternehmen oft auf eine Multi-Vendor-Strategie, die jedoch zusätzliche Aufwände und Kosten mit sich bringt.

Die Einstufung eines IKT-Drittdienstleisters als „kritisch“ unter DORA erfolgt anhand seiner Marktpräsenz und der Abhängigkeit der Finanzunternehmen von seinen Leistungen. Ein Dienstleister gilt als kritisch, wenn er mindestens 10 % der Finanzunternehmen einer bestimmten Kategorie unterstützt, deren Gesamtvermögen einen signifikanten Anteil am europäischen Finanzmarkt ausmacht. Auch die Substituierbarkeit des Anbieters und die Komplexität der angebotenen Dienstleistungen fließen in die Bewertung ein. Ein hoher Grad an Abhängigkeit erfordert eine intensivere Überwachung, um systemische Risiken zu mindern.

Um diesen Risiken weiter Herr zu werden, verlangt DORA von Finanzunternehmen die Führung eines Informationsregisters, in dem alle vertraglichen Vereinbarungen mit IKT-Dienstleistern dokumentiert sind. Diese Register müssen bis spätestens 11. April 2025 bei der BaFin eingereicht werden, um den Aufsichtsbehörden die Identifizierung relevanter Dienstleister zu ermöglichen. Eine Liste kritischer IKT-Drittdienstleister wird voraussichtlich in der zweiten Jahreshälfte 2025 veröffentlicht.

Vier Schritte zur erfolgreichen Übermittlung des Informationsregisters

Falls Ihr Unternehmen noch nicht mit der strukturierten Befüllung des Informationsregisters begonnen hat, ist es ratsam, dies umgehend zu tun:

1. Bewertung der IKT-Dienstleistungen

Bestimmen Sie, welche externen Dienstleistungen gemäß BaFin- und DORA-Kriterien als IKT-Dienstleistungen einzustufen sind, und führen Sie gleichzeitig eine Risikobewertung sowie DORA-konforme Vertragsanpassungen durch.

2. Erhebung relevanter Informationen

Sammeln Sie technische, organisatorische und sicherheitsrelevante Daten zu den identifizierten IKT-Dienstleistern und ­Dienstleistungen und stellen Sie sicher, dass alle DORA-Anforderungen abgedeckt sind.

3. Erstellung und Pflege des Informationsregisters

Etablieren Sie ein strukturiertes Vorgehen inklusive klarer Verantwortlichkeiten und Qualitätssicherungsschleifen, um alle erforderlichen Informationen rechtzeitig ins Register einfließen zu lassen. Lassen Sie sich dabei nach Möglichkeit systemseitig unterstützen.

4. Übermittlung an die BaFin

Bereiten Sie die DORA-konforme Übermittlung des Informationsregisters vor, indem Sie die Anmeldung im MVP-Portal und die zugehörigen Prozesse frühzeitig intern testen.

Sollten Sie die Umsetzung der DORA-Anforderungen noch nicht abgeschlossen haben oder kurzfristig schnelle Erfolge erzielen müssen, können wir Sie gezielt unterstützen. Mit bewährten Praxisbeispielen und pragmatischen, effizienten Ansätzen bereiten wir unsere Mandanten seit Langem auf die DORA-Umsetzung vor, kennen die Herausforderungen und verfügen über Benchmarks, die bei Ihnen Quick Wins realisieren können.