News

Digital Operation Resilience Act – Überblick zu den neuen Regelungen der digitalen Betriebsstabilität von EU-Finanzunternehmen

Am 24. September 2020 wurde der Entwurf einer EU-Verordnung über die Betriebsstabilität digitaler Systeme des Finanzsektors (Digital Operation Resilience Act, „DORA“) veröffentlicht. Der Vorschlag ist Teil des Pakets zur Digitalisierung des Finanzsektors und in den kommenden Jahren sind noch weitere (vor allem die Finanzdienstleister betreffende) neue Verordnungen und Richtlinien zu erwarten.

Zweck der Verordnung

Mit DORA verfolgt der europäische Gesetzgeber zwei große Ziele. Die Verordnung soll die Resilienz von Unternehmen in der Finanzbranche gegen Informations- und Kommunikationstechnologie („IKT“)-bezogene Risiken stärken. Gleichzeitig wird die EU-weite Harmonisierung der Anforderungen an Finanzdienstleister angestrebt. In Deutschland wurden Teile von DORA-Regelungen schon früher durch das IT-Sicherheitsgesetz 2.0 sowie Finanzmarktintegritätsstärkungsgesetz (FISG) umgesetzt.

Das IKT-Risikomanagement von Finanzunternehmen soll mit der Einführung von DORA verbessert und gestrafft werden. Es werden neue Anforderungen und Prüfungsmechanismen für IKT-Systeme eingeführt. Auf der Behördenseite soll DORA das Bewusstsein für Cyberrisiken und IKT-bezogene Vorfälle, mit denen Finanzunternehmen konfrontiert sind, schärfen.

Es werden neue Überwachungsmechanismen für Risiken, die auf die Zusammenarbeit zwischen den Finanzunternehmen und IKT-Drittanbietern zurückzuführen sind, sowie diverse behördlichen Kontrollbefugnisse eingeführt. Auch ein kohärenter Mechanismus für die Meldung von Vorfällen wird mit DORA geschaffen, der den Verwaltungsaufwand für Finanzunternehmen verringern und die Beaufsichtigung wirksamer machen soll. Die Regelungen werden durch die Förderung des Informationsaustausches in Bezug auf die Risiken und Vorfälle zwischen den Unternehmen im Finanzsektor erweitert.

Betroffene Unternehmen

Von der neuen Regelung sind vor allem jene Finanzunternehmen betroffen, welche in Art. 2 Abs. 1 lit. a – t des Entwurfs aufgelistet sind. Dazu gehören u.a. Kredit- und Zahlungsinstitute, Versicherungsunternehmen und -vermittler, Ratingagenturen sowie Prüfungsgesellschaften. Auch die Anbieter von Krypto-Dienstleistungen und Crowdfunding-Dienstleister sind erfasst. Schließlich gilt die Verordnung auch für die IKT-Drittanbieter, einschließlich Anbietern von Cloud-Computing-Diensten, Software, Datenanalysediensten und Rechenzentren.

Die Anbieter von Hardware sind dagegen explizit aus dem Anwendungsbereich der Verordnung ausgeschlossen. Auf Kleinstunternehmen sind die Regelungen nur zum Teil anwendbar.

Relevante Vorgaben und Auswirkungen auf Praxis

Betroffenen Unternehmen werden mit DORA neue Pflichten auferlegt. Die Verordnung setzt vor allem auf Schutz und Prävention: so betreffen z. B. mehrere Artikel den Bereich des Risikomanagements. Sorgfältige Auswahl von IKT-Systemen, regelmäßige Überprüfung, Erkennung, Klassifizierung und Dokumentation von neuen Risiken spielen dabei eine zentrale Rolle. Auch soll i.R.d. IKT-Strategie die Möglichkeit der Wiederherstellung und Fortführung des Geschäftsbetriebs u.a. durch Backups sichergestellt werden.

In der Verordnung wird der Datenschutz als ein Teil der IKT-Sicherheit anerkannt. Durch die Informationsaustauschmechanismen, Dokumentation und Meldung von Vorfällen, sowie die Zusammenarbeit mit IKT-Dienstleistern werden große Mengen von Daten erhoben und weiterverarbeitet, darunter auch personenbezogene Daten. Die damit einhergehenden Risiken und datenschutzrechtliche Probleme adressiert die Verordnung durch Verweise auf DSGVO und weitere einschlägige Regelungen. So wird z. B. in Art. 3 Nr. 4 des Entwurfs explizit erwähnt, dass das IKT-Risiko auch Verstöße gegen den Datenschutz erfasst. Bei Datenübermittlungen an IKT-Dienstleister in Drittländer sollen DSGVO-Vorgaben strikt eingehalten werden und die Vereinbarungen mit den IKT-Drittanbietern müssen auch die Bestimmungen über die Zugänglichkeit, Verfügbarkeit, Integrität, Sicherheit und Schutz personenbezogener Daten beinhalten.

Eine extrem praxisrelevante Vorgabe: sollte der Drittanbieter nachweisliche Schwächen im Hinblick auf den Datenschutz aufweisen, müssen die Vereinbarungen über die Nutzung von Diensten gem. Art. 25 Abs. 8 lit. c DORA-Entwurf gekündigt werden.

Zu begrüßen ist, dass durch die Schaffung einer Rechtsgrundlage für den Datenaustausch über Bedrohungen und Anfälligkeiten zwischen den Unternehmen die Unsicherheit hinsichtlich der Vereinbarkeit eines solchen Austausches mit den Datenschutzvorschriften beseitigt wird.

Sanktionen

DORA sieht diverse Sanktionen bei Verstößen vor. Dabei müssen die Sanktionen nicht nur wirksam und verhältnismäßig, sondern auch laut Art. 44 Abs. 3 des Entwurfs abschreckend sein. Dazu gehören vor allem mögliche Untersagungsverfügungen, aber auch ein Zwangsgeld (1 % des durchschnittlichen globalen Tagesumsatzes im vorangegangenen Geschäftsjahr) und ggf. auch strafrechtliche Sanktionen nach nationalem Recht. Die genaue Umsetzung der Sanktionsmechanismen ist aber den Mitgliedsstaaten vorbehalten.

Aktueller Stand – wann ist DORA zu erwarten?

Die im Januar 2022 gestarteten interinstitutionellen Verhandlungen wurden nach vorläufiger Einigung am 10. Mai 2022 beendet. Die Einigung muss nun vom Rat und vom Europäischen Parlament gebilligt werden, das förmliche Annahmeverfahren folgt im Anschluss. Voraussichtlich Ende 2022 wird die Verordnung in Kraft treten. Jedoch bedarf es noch der Erstellung von Leitlinien sowie der delegierten Verordnungen und diversen technischen Regulierungsstandards (RTS) und Durchführungsstandards (ITS), so dass mit der Anwendbarkeit von DORA erst ab Ende 2024 zu rechnen ist.

Da die Verordnung aber eine große Anzahl an praxisrelevanten Vorgaben enthält, ist zu empfehlen, dass sich betroffene Unternehmen schon in den kommenden Monaten mit der Umsetzung zu beschäftigen.

Rechtsanwalt, Partner
Dr. Carlo Piltz
Rechtsanwalt, Partner
Dr. Carlo Piltz

Zurück

News

Der FOCUS zeichnet Piltz Legal erneut als eine der TOP - Wirtschaftschaftskanzleien aus

Im aktuellen Heft des FOCUS wurde Piltz Legal wieder als eine der TOP-Wirtschaftkanzleien 2023 im Bereich Datenschutz ausgezeichnet.

Der Digital Services Act – Überblick zu den einzelnen Adressaten und deren Pflichten

Der am 16. November 2022 in Kraft getretene Digital Services Act (Verordnung (EU) 2022/2065, „DSA“) wird ab dem 17. Februar 2024 vollständig gelten. Einige Pflichten, wie die Angabe der monatlichen Zahl der aktiven Nutzer durch Online-Plattformen, gelten bereits seit dem Inkrafttreten.

Der kommende EU Digital Services Act – Pflicht zu Melde- und Abhilfeverfahren für Hosting-Dienste

Der vollständige Geltungsbeginn des Digital Services Act (DSA) am 17. Februar 2024 rückt stetig näher. Und mit ihm auch die Verpflichtung zahlreicher Unternehmen. Wichtig: der DSA gilt, anders als oft öffentlich wahrgenommen, nicht nur für die „Großen“. Nachfolgend wird deshalb die Pflicht von Hostingdiensteanbietern vorgestellt, die ein Melde- und Abhilfeverfahren nach dem DSA implementieren müssen.

Wichtige Änderungen des TTDSG durch das deutsche DSA-Umsetzungsgesetz in Sicht

Der (vollständige) Geltungsbeginn des Digital Services Act (DSA), der teilweise auch als „Grundgesetz des Internets“ bezeichnet wird, rückt näher. Erste Vorschriften der europäischen Verordnung gelten bereits jetzt, wozu u. a. die Verpflichtung von Anbietern für Online-Plattformen und -Suchmaschinen zur Nennung ihrer durchschnittlichen monatlichen Nutzeranzahl in der EU gehört. Nähere Informationen zum DSA und dessen Inhalt können auch unserer EU-Digitalgesetzgebungsübersicht entnehmen werden.

Beitragsempfehlung zum UN-Kaufrecht

Aus der aktuellen Ausgabe der „Neuen Juristischen Wochenschrift“ möchten wir Ihnen den von Prof. Piltz verfassten Beitrag „Neue Entwicklungen im UN-Kaufrecht“ ans Herz legen.

Weiterer Ausbau der Kompetenz im Bereich der Beratung im IT-Sicherheitsrecht

Im Rahmen unserer Beratungsstrategie bauen wir bei Piltz Legal kontinuierlich unsere Kompetenzen im Bereich IT-Sicherheitsrecht aus. Bei der Beratung unserer Mandanten ist es uns wichtig, nicht nur fachspezifisches rechtliches Know How zu liefern, sondern auch die Sprache der IT sprechen zu können.