Der Digital Operational Resilience Act (DORA) ist eine neue Verordnung, die in der Europäischen Union im Januar 2023 in Kraft getreten ist und ab dem 17. Januar 2025 gelten wird. Sein Ziel ist es, den Einsatz von Informations- und Kommunikationstechnologien (IKT) und die digitale operative Widerstandsfähigkeit im Finanzsektor zu regeln. DORA gilt für verschiedene Finanzinstitute, darunter Banken, Versicherungen und Wertpapierfirmen, sowie für Dienstleister, die diesen Unternehmen wichtige IKT-Dienste anbieten.
Eines der Hauptziele von DORA ist es, sicherzustellen, dass die Verwaltungsräte von Finanzinstituten eine aktive Rolle bei der Steuerung und Anpassung der Gesamtstrategie für das IKT-Risikomanagement und die operative Widerstandsfähigkeit übernehmen. Dies bedeutet, dass der Verwaltungsrat letztendlich für das IKT-Risikomanagement des Unternehmens verantwortlich ist. Um dieser Verantwortung gerecht zu werden, muss das Leitungsorgan alle Vorkehrungen im Zusammenhang mit dem IKT-Risikomanagementrahmen festlegen, überwachen und für deren Umsetzung verantwortlich sein. DORA legt spezifische Mindestanforderungen für Risikomanagement-Rahmenwerke fest, einschließlich Strategien, Richtlinien, Verfahren, Protokolle und Instrumente, die zum Schutz aller IKT-Vermögenswerte und -Infrastrukturen vor IKT-Risiken erforderlich sind. Die Finanzinstitute müssen eine Strategie für die mit der Nutzung von IKT-Diensten Dritter verbundenen Risiken festlegen und die mit den vertraglichen Vereinbarungen über die Nutzung dieser Dienste verbundenen Risiken regelmäßig überprüfen.
Gemäß DORA müssen die Verwaltungsratsmitglieder von Finanzinstituten über ausreichende Kenntnisse und Fähigkeiten verfügen, um die IKT-Risiken des Instituts zu verstehen und zu bewerten. Die Nichteinhaltung dieser Verpflichtungen kann auf individueller Ebene zu Verwaltungssanktionen für Verwaltungsratsmitglieder führen. Daher müssen die Finanzinstitute ihre IKT-Risiken und -Praktiken, einschließlich derjenigen ihrer IKT-Dienstleister, rechtzeitig bewerten, um die Anforderungen der DORA zu erfüllen und mögliche Verwaltungssanktionen zu vermeiden. Auf diese Weise können sie auch ihr IKT-Risikomanagement und ihre betriebliche Widerstandsfähigkeit verbessern, was ihnen helfen kann, ihre Vermögenswerte besser zu schützen und kostspielige Unterbrechungen ihrer Geschäftstätigkeit zu vermeiden.
Insgesamt schafft DORA einen umfassenden Rahmen für das Management der mit der Digitalisierung verbundenen Risiken in Finanzinstituten. Es enthält neue Anforderungen an die Cybersicherheit und die operative Widerstandsfähigkeit und erlegt den Verwaltungsräten von Finanzinstituten neue Pflichten auf. Die nationalen Behörden sind befugt, bei Nichteinhaltung der Vorschriften Verwaltungssanktionen und Rechtsmittel zu verhängen, die sich gegen Verwaltungsratsmitglieder von Finanzinstituten und andere verantwortliche Personen richten können.