Dieser Beitrag beleuchtet die Herausforderungen bei der Umsetzung von DORA: die Erstellung und Einreichung des Informationsregisters und die Anwendung des Proportionalitätsprinzips 

DORA ist eine EU-weite Verordnung, die den Fokus auf das Management von IKT- („Informations- und Kommunikationstechnologien“) und Cybersicherheits-Risiken im Finanzsektor richtet. Im Fokus steht dabei das Stärken der digitalen operationalen Resilienz. Die Verordnung trat 2023 in Kraft und ist seit dem 17. Januar 2025 in der EU und seit 01.02.2025 in Liechtenstein anwendbar. 

Warum war DORA überhaupt notwendig: Gerade im Finanzsektor hat IKT einen zentralen Stellenwert. Der Schwerpunkt von Dora liegt daher darauf, sicherzustellen, dass der Finanzsektor widerstandsfähig gegenüber Cyberangriffen und anderen digitalen Bedrohungen ist und im Falle von Störungen ihre Dienstleistungen weiterhin erbringen kann. Damit soll die Cybersecurity in der EU erhöht werden.

Die DORA-Anforderungen gelten für fast den gesamten Finanzsektor. Bisher waren nur Teilsektoren von IKT-Regelungen betroffen und es bestanden unterschiedliche Anforderungen in den jeweiligen Sektoren. Mit DORA wurde ein einheitliches Regelwerk für fast alle Sektoren im Finanzbereich geschaffen, womit doppelte Kosten und Unübersichtlichkeit vermieden werden sollen.

Welche Unternehmen sind betroffen: DORA gilt für eine Vielzahl von Akteuren im Finanzsektor, darunter Banken, Versicherungen, Wertpapierfirmen, Verwaltungsgesellschaften, Verwalter alternativer Investmentfonds, Zahlungsdienstleister und Anbieter kritischer IKT-Dienste, die im Finanzwesen tätig sind. 

Erstellung und Einreichung des Informationsregisters 
Gemäß Artikel 28 Absatz 3 DORA-VO müssen Finanzunternehmen der zuständigen Behörde ein vollständiges Informationsregister auf Verlangen zur Verfügung stellen. Für 2025 haben die ESAs (“European Supervisory Authorities“) präzisiert, dass sie eine Übermittlung der Register durch die zuständigen nationalen Behörden bis zum 30. April 2025 erwarten. Hierin sollen sämtliche Vertragsinformationen mit Stichtag 31. März 2025 enthalten sein. 

In das Informationsregister sind sämtliche vertraglichen Vereinbarungen über die Nutzung von durch IKT-Drittdienstleister bereitgestellten IKT-Dienstleistungen mitaufzunehmen. IKT-Dienstleistungen sind digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware. Bei solchen IKT-Drittdienstleistungen, die kritische und wichtige Funktionen unterstützen sind noch weitergehende Informationen erforderlich (Kündigungsfristen, anwendbares Recht, Nennung sämtlicher Subdienstleister etc.). Die Einstufung, welche IKT-Drittdienstleister kritische und wichtige Funktionen erbringen, hat durch jedes Unternehmen selbst zu erfolgen.

Bei juristischen Personen war es zwingend erforderlich, die LEI oder EUID des IKT-Drittdienstleister anzuführen. Nur eine solche Kennung gewährleistet eine kohärente, eindeutige und zuverlässige Identifizierung des Unternehmens. Die Identifizierung von in Drittstaaten niedergelassenen IKT-Drittdienstleistern hingegen war lediglich anhand der LEI möglich. Die LEI ist für Geschäfte mit Finanzinstrumenten erforderlich. Um allerdings das Vertragsverhältnis mit dem Finanzunternehmen nicht zu gefährden, waren viele IKT-Drittdienstleister gezwungen, eine LEI für ihr Unternehmen zu beantragen – zum Missfallen von so manchen. 

Die Informationen wurden in die von der ESA bereitgestellte Excel-Vorlage eingearbeitet. Die EU-VO 2022/2554 und die FAQ der ESA dienten hierfür als Auslegungshilfen. Um die befüllte Excel-Vorlage einreichen zu können, war es erforderlich, diese in das zur Einreichung erforderliche XBRL-CSV-Format zu konvertieren. Eine Weiterreichung durch die zuständigen nationalen Aufsichtsbehörden an die ESA war nur in diesem Format möglich.  Auf Basis von zusätzlichen Validierungsregeln der ESA kam es dort zu Fehlermeldungen. Neue korrigierte Meldungen mussten seitens der Aufsicht manuell bei der ESA eingespielt werden, um die Korrektur zu überprüfen. Natürlich verbunden mit einem erheblichen Zeitaufwand. 

Anwendung des Proportionalitätsprinzips 
Bei der Anwendung der DORA-Vorschriften ist der Grundsatz der Proportionalität – im Hinblick auf die Größe, das Gesamtrisikoprofil sowie die Art, den Umfang und die Komplexität der Dienstleistungen, Tätigkeiten und Geschäfte der Finanzunternehmen – zu beachten. Das Prinzip ermöglicht es, die Anforderungen von DORA risikobasiert anzupassen, damit kleinere Unternehmen, die ein geringeres Risiko darstellen, nicht unverhältnismäßig belastet werden. Dieses Vorgehen ergänzt den weiten Anwendungsbereich von DORA und soll sicherstellen, dass die Maßnahmen zur Stärkung der Cybersicherheit proportional zur Größe und zum Risiko der jeweiligen Institution vorgenommen werden. 

Während dieses Prinzip für manche Kapitel in der DORA-Verordnung grundsätzlich definiert ist (Art. 4 Abs. 1 DORA-VO), gilt es für andere Themenbereiche nur, wenn es in den jeweiligen Vorgaben explizit vorgesehen ist (Art. 4 Abs. 2 DORA-VO). 

Durch das Proportionalitätsprinzip sollen kleinere Unternehmen, die ein geringeres Risiko darstellen, nicht unverhältnismäßig belastet werden. Kleinstunternehmen werden erhebliche Spielräume eingeräumt, um den Aufwand an das IKT-Risikomanagement zu reduzieren. Wie „flexibel“ die nationalen Aufsichtsbehörden den Proportionalitätgrundsatz letztlich auslegen und anwenden werden, bleibt abzuwarten. Fest steht, Dora wird den Finanzsektor sicher auch noch im kommenden Jahr beschäftigen.

Fazit: 
Dora bringt Herausforderungen, aber auch Chancen mit sich. Die Anforderungen sollten nicht nur als regulatorische Pflicht, sondern auch als Chance betrachtet werden. Denn eine starke Resilienz gegenüber Cyberangriffen und anderen digitalen Bedrohungen schützt nicht nur vor Risiken, sondern stärkt auch das Vertrauen von Kunden und Geschäftspartnern. 

Mag. Martina KRESSER
Business Development
ONE Funds AG