Michael Kirschbaum, Referent Auslagerungsmanagement, LBBW
Khalid Ahmad, Abteilungsleiter Business Resilience und DOR-Beauftragter, Deutsche Wertpapierservices Bank AG
I. Einleitung
Der Digital Operational Resilience Act (DORA), EU 2022/2554, ist der europäische Rahmen für digitale Resilienz im EU-Finanzsektor. Ziel ist die Harmonisierung von Cybersecurity und resilienten Infrastrukturen im Finanzmarkt. Damit wird eine Regelungslücke geschlossen, die in Deutschland teilweise durch die BAIT unter der MaRisk abgedeckt wurde. Ähnlich den EBA-Guidelines on Outsourcing orientiert sich DORA am Lebenszyklus eines Drittbezuges.
DORA fügt sich nahtlos in bestehende regulatorische Anforderungen ein. Deutsche Finanzinstitute kennen bereits viele Vorgaben aus BAIT, VAIT und KAIT, die jedoch primär auf Informationssicherheit fokussiert waren. DORA verfolgt einen umfassenderen Ansatz, bei dem digitale Resilienz im Mittelpunkt steht. Sicherheitsmaßnahmen bleiben essenziell, werden aber als Mittel zur Resilienz betrachtet. Die Anforderungen passen sich gut in bestehende Regularien ein – sowohl durch ihre systematische Ähnlichkeit als auch durch die Schließung inhaltlicher Lücken mit Fokus auf bisher vernachlässigte IKT-Themen.
Dieser Beitrag beleuchtet Neuerungen, vergleicht bisherige und neue Ansätze und zeigt Herausforderungen im Umgang mit DORA – insbesondere hinsichtlich Auslagerungen und IKT-Drittparteienrisikomanagement.
Die Autoren setzen voraus, dass die Leserschaft je nach Institutssituation die MaRisk/BAIT und/oder EBA-Guidelines kennt, besonders bei Unterstellung unter den SSM – Single Supervisory Mechanism. Da die MaRisk wesentliche Elemente der EBA-Guidelines in nationales Recht integriert haben, wird nur bei Besonderheiten explizit darauf verwiesen. [...]
Beitragsnummer: 22912