DORA: Regulierung für die Finanzbranche
Die Finanzbranche ist besonders streng reguliert. Im Vergleich zum Digital Operational Resilience Act (DORA) wirken die Anforderungen von NIS2 geradezu harmlos.
Die EU möchte das Finanzsystem robuster gegenüber Cyberangriffen machen. Alle Unternehmen des Finanzsektors sollen über die notwendigen Sicherheitsvorkehrungen verfügen, um Cyberangriffe und andere Risiken der Informations- und Kommunikationstechnologie (IKT) einzudämmen. Die EU-Verordnung 2022/2554 zur digitalen operationalen Resilienz im Finanzsektor (Digital Operational Resilience Act, DORA) umfasst die gesamte Bandbreite an Anforderungen – angefangen beim Informationssicherheits- und IT-Risikomanagement über das IT-Notfallmanagement bis zu einem soliden Management der IT-Services, die von IT-Dienstleistern bezogen werden.
Die Verordnung trat am 17. Januar 2023 mit einer Umsetzungsfrist von 24 Monaten in Kraft. Als EU-Verordnung gilt DORA nach dieser Frist ab dem 17. Januar 2025 unmittelbar in allen Mitgliedsstaaten der EU, ohne dass sie zunächst – wie die NIS2-Richtlinie – in nationales Recht umgesetzt werden muss. DORA gilt für alle Finanzunternehmen, darunter Banken, Versicherungsunternehmen, Zahlungsdienstleister, Ratingagenturen und Anbieter von Kryptodienstleistungen. Ausnahmen oder vereinfachte Regelungen gelten nur für einzelne Finanzunternehmen, beispielsweise für sehr kleine Firmen. Deutsche Banken müssen die DORA-Anforderungen immer komplett umsetzen.