In Kraft getreten ist Dora (nachzulesen unter eur-lex.europa.eu) bereits im Januar 2023. National umgesetzt wurde die Dora-Verordnung mit dem Finanzmarktdigitalisierungsgesetz (FinmadiG), das am 27. Dezember 2024 im Bundesgesetzblatt verkündet worden ist. Dora findet seit dem 17. Januar 2025 Anwendung. Umfangreiche und aktuelle Informationen zu Dora bietet die Bundesanstalt für Finanzdienstleistungsaufsicht unter www.bafin.de.

FAQ zu Dora

Versicherungsvermittler und -berater

Auch Versicherungsvermittler und -berater müssen die neuen Vorschriften beachten. Ausgenommen vom Geltungsbereich der Verordnung (EU) 2022/2554 sind Gewerbetreibende, die weniger als 250 Personen beschäftigen und deren Jahresumsatz 50 Millionen Euro und/oder deren Jahresbilanzsumme 43 Millionen Euro nicht überschreitet.

Regelmäßige Risikokontrollen

Zentrales Element von Dora ist die regelmäßige Evaluierung der Abwehrbereitschaft gegen Cyberrisiken. Mithilfe von Schwachstellenbewertungen und -scans, Penetrationstests, Netzsicherheitsbewertungen, Open-Source-Analysen, Überprüfungen der physischen Sicherheit, Scans von Softwareprodukten, wenn möglich Quellcodeüberprüfungen, Kompatibilitäts- und Leistungstests sowie End-to-End-Tests müssen kritische IKT-Systeme künftig mindestens einmal jährlich auf Einfallstore für Cyberangriffe überprüft werden.

Vornehmen sollen die Prüfungen externe Dienstleister, die im Bereich Penetrationstests besonders akkreditiert und zertifiziert werden, über technische und organisatorische Fähigkeiten verfügen und spezifische Fachkenntnisse in den Bereichen Bedrohungsanalyse, Penetrationstests und Red-Team-Tests nachweisen können. Lediglich im Ausnahmefall und nur wenn spezifische Bedingungen eingehalten werden, können interne Tester zum Einsatz kommen. Diese müssen aber durch die Aufsichtsbehörden zugelassen werden. Es gilt dabei auch Interessenkonflikte durch Design und Ausführung der Tests auszuschließen. Die für den Test erforderlichen Bedrohungsinformationen müssen darüber hinaus von einem unabhängigen dritten Unternehmen stammen.

Umfangreiche Meldepflichten

Zudem vereinheitlicht Dora die Meldepflichten bei schwerwiegenden IKT-Vorfällen und weitet diese auf den gesamten Finanzsektor aus. So werden Finanzunternehmen verpflichtet, einen Managementprozess zur Überwachung und Protokollierung IKT-bezogener Sicherheitsvorfälle einzurichten. Schwerwiegende Vorfälle müssen den Finanzaufsichtsbehörden gemeldet werden. Zusätzlich können Finanzinstitute sich bei erkannten Cyberbedrohungen freiwillig an die Aufsicht wenden.

Auch externe Dienstleister betroffen

Grundsätzlich gilt Dora für alle Banken und Kreditinstitute, Versicherungs- und Rückversicherungsunternehmen, Investmentfirmen, Zentralverwahrer, Dienstleister für Krypto-Assets, Zahlungsdienstleister und elektronische Zahlungsanbieter, Kreditratingunternehmen, Kapitalverwaltungsunternehmen, Dienstleister im Bereich des Crowdfunding, Entwickler von Banking-Apps, Hersteller von Geldautomaten sowie für weitere Unternehmen wie Transaktions- und Verbriefungsregister, Handelsplätze und Datenbereitstellungsdienste – in der Summe als "Finanzunternehmen" definiert.

Ausgenommen sind einzelne Unternehmensgruppen wie Verwalter alternativer Investmentfonds und Einrichtungen der betrieblichen Altersversorgung, Versicherungsvermittler in Nebentätigkeit sowie kleine Versicherungsvermittler und Rückversicherungsvermittler und kleine Unternehmen mit kumulativ weniger als zehn Mitarbeitern beziehungsweise unter zehn Millionen Euro Bilanzsumme.

Des Weiteren gilt Dora nicht für Hardwarehersteller, allgemeine oder elektronische Kommunikationsdienste, wohl aber für externe IKT-Anbieter, die digitale Dienste und Datendienste erbringen, einschließlich Anbietern von Cloud-Computing-Diensten, Software, Datenanalysediensten und Rechenzentren. Finanzinstitute sind mit der neuen Verordnung verpflichtet, ein Verzeichnis ihrer IKT-Verträge mit Dritten zu führen und den Aufsichtsbehörden auf Verlangen vorzulegen. Außerdem müssen sie die IKT-Dienstleister vor Vertragsabschluss sorgfältig prüfen.

Gemäß Dora müssen die Drittanbieter zudem bestimmte IT-Sicherheitsstandards einhalten – und die Verträge haben Kündigungsmöglichkeiten für bestimmte Szenarien zu enthalten. Werden kritische oder wichtige Funktionen von den Finanzinstituten outgesourct, kommen zusätzliche Pflichten hinzu. Die Aufsichtsbehörden werden ermächtigt, weitere Vorgaben einschließlich technischer Standards für solche Verträge zu definieren.