Was ist DORA?

Am 14. Dezember 2022 verabschiedeten das Europäische Parlament und der Europäische Rat die Verordnung (EU) 2022/2554, bekannt als DORA (Digital Operational Resilience Act), zur digitalen operativen Resilienz im Finanzsektor. Diese Verordnung wurde am 27. Dezember 2022 im Amtsblatt der Europäischen Union veröffentlicht und trat am 17. Januar 2023 in Kraft. Ab dem 17. Januar 2025 wird sie verbindlich angewendet.

Die Europäische Kommission hatte den Legislativvorschlag für DORA bereits am 24. September 2020 im Rahmen eines Maßnahmenpakets zur Digitalisierung des Finanzsektors vorgestellt. Dieses Paket umfasst zudem die Markets in Crypto-Assets Regulation (MiCAR) für Kryptowerte, eine Pilotregelung für Marktinfrastrukturen auf Basis der Distributed-Ledger-Technologie (DLT) sowie eine Strategie für das digitale Finanzwesen.

Zusammenhang DORA und NIS-2

DORA ist gemäß Artikel 1 Absatz 2 als sektorspezifischer Rechtsakt der Europäischen Union im Sinne von Artikel 4 der NIS-2-Richtlinie einzustufen. Das bedeutet, dass die Regelungen der DORA Vorrang vor den Bestimmungen der NIS-2-Richtlinie in Bezug auf das Cybersicherheitsrisikomanagement und die Meldung erheblicher Sicherheitsvorfälle haben und diese in diesen Bereichen ersetzen. 

Wer ist von DORA betroffen?

DORA gilt für viele Branchen von Finanzunternehmen, darunter Kreditinstitute, Zahlungsinstitute, Zentralverwahrer, zentrale Gegenparteien, Handelsplätze und Versicherungen. Eine detaillierte Auflistung findet sich in Artikel 2 Absatz 1 DORA:

• CRR-Kreditinstitute,
• Zahlungsinstitute,
• Kontoinformationsdienstleister,
• E-Geld-Institute,
• Wertpapierfirmen,
• Anbieter von Krypto-Dienstleistungen, die gemäß der Verordnung des Europäischen Parlaments und des Rates über Märkte von Krypto-Werten (MiCA) zugelassen sind, und Emittenten wertreferenzierter Token,
• Zentralverwahrer,
• zentrale Gegenparteien,
• Handelsplätze,
• Transaktionsregister,
• Verwalter alternativer Investmentfonds,
• Verwaltungsgesellschaften
• Datenbereitstellungsdienste,
• Versicherungs- und Rückversicherungsunternehmen,
• Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit,
• Einrichtungen der betrieblichen Altersversorgung,
• Ratingagenturen,
• Administratoren kritischer Referenzwerte,
• Schwarmfinanzierungsdienstleister,
• Verbriefungsregister
• IKT-Dienstleister

Ausnahmen von DORA

Einige Unternehmen sind von der Verordnung ausgenommen, darunter bestimmte Verwalter alternativer Investmentfonds, kleinere Versicherungsunternehmen und Einrichtungen der betrieblichen Altersversorgung mit weniger als 15 Versorgungsanwärtern. Auch Versicherungsvermittler, die als Kleinstunternehmen oder KMU agieren, sind nicht betroffen. Eine vollständige Liste der Ausnahmen findet sich in Artikel 2 Absatz 3 DORA.

• Verwalter alternativer Investmentfonds im Sinne von Artikel 3 Absatz 2 der Richtlinie 2011/61/EU;
• Versicherungs- und Rückversicherungsunternehmen im Sinne von Artikel 4 der Richtlinie 2009/138/EG;
• Einrichtungen der betrieblichen Altersversorgung, die Altersversorgungssysteme mit insgesamt weniger als 15 Versorgungsanwärtern betreiben;
• gemäß den Artikeln 2 und 3 der Richtlinie 2014/65/EU ausgenommene natürliche oder juristische Personen;
• Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit, bei denen es sich um Kleinstunternehmen oder kleine oder mittlere Unternehmen handelt;
• Postgiroämter im Sinne von Artikel 2 Absatz 5 Nummer 3 der Richtlinie 2013/36/EU.

Fragen & Antworten zu DORA-verpflichteten KRITIS-Betreibern

Mehr Informationen

Die zuständige Aufsichtsbehörde für DORA ist die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Detaillierte Informationen für DORA-Verpflichtete finden Sie auf den Webseiten der BaFin dazu.