DORA: neue digitale Resilienz im Finanzsektor
Das Europäische Parlament und der Europäische Rat haben am 14. Dezember 2022 die Verordnung (EU) 2022/2554 über die digitale operationelle Resilienz im Finanzsektor (DORA) verabschiedet. Sie ist am 17. Januar 2023 in Kraft getreten und gilt ab dem 17. Januar 2025. Die EUKommission hat den Vorschlag für DORA am 24. September 2020 als Teil eines Pakets zur Digitalisierung des Finanzsektors vorgelegt, das auch einen Rechtsakt über Märkte für Kryptowerte (MiCAR), eine Pilotregelung für DLT-basierte Marktinfrastrukturen und eine Strategie für digitale Finanzsysteme umfasst
DORA zielt darauf ab, den Finanzsektor, der in hohem Mass von Informationsund Kommunikationstechnologie (IKT) abhängig ist, vor IKT-Risiken zu schützen, und legt Regeln für das IKT-Risikomanagement, die Meldung von Cybervorfällen, die Prüfung der operationellen Belastbarkeit und die Überwachung von IKT-Risiken durch Dritte fest. Sie harmonisiert die Vorschriften für 20 verschiedene Arten von Finanzinstituten und IKT-Drittdienstleistern, um die Widerstandsfähigkeit gegen schwerwiegende Betriebsstörungen zu gewährleisten. Als «lex specialis» wird DORA alle sich überschneidenden Rechtstexte, wie zum Beispiel die NIS-Richtlinie (Network and Information Security Directive), ersetzen und als Hauptbezugspunkt für die Compliance von Finanzinstituten dienen. Rechtswirkung in Liechtenstein und mittelbare Auswirkungen auf die Schweiz Damit DORA im EWR-Mitgliedstaat Liechtenstein Rechtswirkung entfalten kann, bedarf es zunächst eines Beschlusses des Gemeinsamen EWR-Ausschusses und der damit verbundenen Übernahme in das EWR-Abkommen. Eine Übernahme von DORA in das EWR-Abkommen ist derzeit noch nicht erfolgt. Es wird jedoch von einem zeitgleichen Inkrafttreten mit der EU ausgegangen. Da die Schweiz weder Mitglied der EU noch des EWR ist, muss sie DORA nicht direkt umsetzen – und auch die Verordnung ist in der Schweiz nicht direkt anwendbar. Indirekt betroffen sind jedoch Schweizer IKT-Dienstleister, die Services für Finanzinstitute in der EU erbringen wollen. Dies gilt ungeachtet der Frage, ob es sich um unabhängige Dritte oder um mit einem EU-Finanzinstitut verbundene Gruppengesellschaften handelt. DORA erlegt EU-Finanzunternehmen zusätzliche Pflichten auf, wenn sie mit IKT-Dienstleistern ausserhalb der EU, einschliesslich der Schweiz, zusammenarbeiten.
Ausführliche Informationen zu diesem Thema bietet der Gastbeitrag von Ivica Kuzmic in der aktuellen PAY-Ausgabe.