Im Januar 2023 ist die Verordnung über die digitale operationelle Resilienz im Finanzsektor (EU) 2022/2554 (DORA) in Kraft getreten, ab Januar 2025 ist sie anzuwenden. DORA soll die digitale Widerstandsfähigkeit des gesamten europäischen Finanzsektors in folgenden sechs Bereichen stärken:
- IKT-Risikomanagement
- Meldewesen zu IKT-Vorfällen und wesentlichen Cyberbedrohungen
- Testen der digitalen operationellen Resilienz einschließlich Threat-led Penetration Testing (TLPT)
- IKT-Drittparteimanagement
- Europäisches Überwachungsrahmenwerk für kritische IKT-Drittdienstleister
- Information Sharing sowie Cyberkrisen- und Notfallübungen
Betroffen von DORA sind Finanzunternehmen, d. h. u. a. Kreditinstitute, Zahlungsdienstleister, Versicherungen, Rückversicherungen, Versicherungsvermittler und Rückversicherungsvermittler – allerdings mit Ausnahmen. Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit, bei denen es sich um Kleinstunternehmen oder kleine oder mittlere Unternehmen handelt, fallen nicht unter die Vorschrift.
Es wird empfohlen rechtzeitig zu prüfen, ob Ihr Unternehmen unter den Anwendungsbereich fällt. Weitere Informationen finden Sie auf der Seite der BaFin unter www.bafin.de.
