Data protection in the internet

Digital Operational Resilience Act (DORA)

1. Einleitung

Der „Digital Operational Resilience Act“ (DORA) der Europäischen Union (EU) ist eine neue Verordnung, die den wachsenden Cyberrisiken Rechnung tragen soll und so die Widerstandsfähigkeit und Sicherheit von Finanzdienstleistungen stärkt. Sie ist am 16. Januar 2023 in Kraft getreten und muss bis zum 17. Januar 2025 umgesetzt werden. Betroffen von der DORA sind Anbieter von Informations- und Kommunikationstechnologiedienstleistungen (IKT), die Unternehmen im Finanzsektor der EU betreuen. IKT-Anbieter in der Schweiz sind ebenfalls von der DORA betroffen.

 2. Wenn betrifft die DORA?

Nach Art. 2 Abs. 1 lit. a-u DORA gilt die Verordnung für folgende Finanzunternehmen:

Kreditinstitute, Zahlungsinstitute, Kontoinformationsdienstleister, Wertpapierfirmen, Anbieter von Krypto-Dienstleistungen, Zentralverwahrer, zentrale Gegenparteien, Handelsplätze, Transaktionsregister Verwalter alternativer Investmentfonds, Verwaltungsgesellschaften, Datenbereitstellungsdienste, Versicherungs- und Rückversicherungsunternehmen, Versicherungsvermittler, Rückversicherungsvermittler, Einrichtungen der betrieblichen Altersversorgung, Ratingagenturen, Administratoren kritischer Referenzwerte, Crowd-Funding-Anbieter, Verbriefungsregister und IKT-Drittdienstleister.

 3. Welche Themen werden geregelt

DORA bezieht sich explizit auf IKT-Risiken. Sie soll die digitale operationale Widerstandsfähigkeit des gesamten europäischen Finanzsektors stärken. Insbesondere legt DORA Regeln für das IKT-Risikomanagement, die Meldung von Vorfällen, die Prüfung der operationellen Widerstandsfähigkeit, die Überwachung von IKT-Risiken durch Dritte und die Vereinbarungen über den Austausch von Informationen sowie Cyberkrisen- und Notfallübungen fest.

 4. Welche Pflichten sind nach der DORA einzuhalten?

DORA verlangt insbesondere von betroffenen Unternehmen, dass sie systematisch Risiken identifizieren, Schutz- und Präventionsmassnahmen ergreifen sowie Vorfälle frühzeitig erkennen und darauf reagieren. Auch die Wiederherstellung nach Vorfällen ist ein zentraler Bestandteil der Vorgaben. Aus vergangenen Vorfällen sollen Lehren gezogen und die Prozesse kontinuierlich verbessert sowie transparent kommuniziert werden. Für ein Finanzunternehmen könnten die einzuhaltenden Pflichten beispielsweise folgendermassen aussehe

Schaubild zu Finanzunternehmen DORA
  1. 5. Rechtliche Auswirkungen der DORA auf Schweizer Unternehmen

Eine wichtige Komponente der DORA betrifft die Beziehungen von Finanzunternehmen mit IKT-Anbietern ausserhalb der EU, namentlich die Schweiz. Diese Komponente auferlegt relevante Pflichten für Schweizer Unternehmen, die mit EU-Partnern zusammenarbeiten. Schweizer Unternehmen müssen mit den folgenden Pflichten rechnen:

Schweizer Unternehmen, welche im Finanzsektor tätig sind, sind indirekt von der DORA betroffen, insbesondere wenn sie Geschäftsbeziehungen mit EU-Partnern unterhalten oder Tochter- und Konzerngesellschaften in der EU betreiben. Diese Unternehmen müssen ihre internen Richtlinien und Verfahren zur Risikobewertung und digitalen Sicherheit überarbeiten, um den Standards der DORA zu entsprechen und den regulatorischen Anforderungen gerecht zu werden. Zu den Standards der DORA zählen unter anderem das Risikomanagement, IT-Sicherheitsanforderungen, das Risikomanagement bei Drittdienstleistern sowie Schulungen und Sensibilisierung (Art. 6 ff. DORA). Konkret umfasst dies:

   a. Risikomanagement

Das Risikomanagement umfasst die Verpflichtung, dass Unternehmen systematische Verfahren zur Identifizierung, Bewertung und Verwaltung digitaler Risiken einführen (Art. 6 DORA)

   b. IT-Sicherheitsanforderungen

Die IT-Sicherheitsanforderungen umschliessen die Massnahmen zur Gewährleistung der Sicherheit von Netz- und Informationssystemen, einschliesslich der Verhinderung und Erkennung von Cyberrisiken (Art. 9 DORA)

   c. Risikomanagement bei Drittdienstleistern

Das Risikomanagement bei Drittanbietern beinhaltet Regelungen zur Bewertung und Überwachung von Risiken, die mit der Auslagerung von IT-Dienstleistungen und der Zusammenarbeit mit Drittdienstleister verbunden sind (Art. 8 Abs. 5 DORA)

   d. Schulungen und Sensibilierung

Schlussendlich hält die DORA fest, dass regelmässig Schulungen und Sensibilisierungsmassnahmen für Mitarbeiter hinsichtlich der Anforderungen und Massnahmen zur digitialen Sicherheit zu implentieren sind (Art. 13 Abs. 6 DORA)

Die DORA könnte auch zu zusätzlichen Kosten für Schweizer Unternehmen führen, sei es durch Investitionen in verbesserte IKT-Systeme und Sicherheitsmassnahmen oder durch Schulungen für Mitarbeiter, um die Compliance sicherzustellen. Unternehmen, die nicht in der Lage sind, die Anforderungen der DORA zu erfüllen, könnten einen Wettbewerbsnachteil erfahren, insbesondere im Vergleich zu EU-Finanzunternehmen, die den Standards entsprechen.

Insgesamt sind Schweizer Finanzunternehmen aufgrund der DORA mit regulatorischen Anpassungen und Herausforderungen konfrontiert, um den Anforderungen an IKT-Risikomanagement und digitale Sicherheit gerecht zu werden.

 6. Rechtliche Konsequenzen bei Nichteinhaltung

Was sind die Konsequenzen, wenn die DORA-Anforderungen bis zur Frist (17. Januar 2025) nicht von den Unternehmen oder ihren IT-Dienstleistern umgesetzt werden und die Aufsichtsbehörden dies in ihren Prüfungen feststellen?

In solchen Fällen kann die Europäische Aufsichtsbehörde erhebliche Geldstrafen verhängen, die bis zu einem Prozent des weltweiten Tagesumsatzes betragen können. Zudem können Finanzunternehmen gezwungen werden, Verträge mit Dienstleistern aufgrund von Nichteinhaltung der Anforderungen zu kündigen. Dies bedeutet, dass Unternehmen stets alternative Lieferanten bereithalten müssen, um die Kontinuität ihrer Dienstleistungen sicherzustellen.

 7. Mögliche Schritte für ein Unternehmen

  1. Schritt: DORA-Compliance

Unternehmen müssen im Rahmen von DORA in verschiedenen Bereichen aktiv werden. Der erste Schritt sollte eine umfassende Bestandsaufnahme der eigenen DORA-Compliance sein. Oftmals erfüllen Unternehmen bereits einige der neuen Anforderungen, weshalb eine Gap-Analyse sinnvoll ist, um den bestehenden Handlungsbedarf zu identifizieren. Diese Analyse ist Teil des ersten Massnahmenblocks des Operational Resilience Frameworks. Dabei werden die aktuellen Geschäftsprozesse und IT-Wertschöpfungsketten überprüft und dokumentiert. Beispielsweise sollte untersucht werden, welche Auswirkungen der Ausfall eines Zahlungsdienstleisters auf die Fähigkeit zur Schadensregulierung hätte.

  1. Schritt: Cyber Risk Management

Der zweite Schritt des Frameworks konzentriert sich auf das Cyber Risk Management. Hier wird zunächst der aktuelle IT- und Cyber-Reifegrad ermittelt. Anschliessend erfolgt eine Bewertung der Anfälligkeit durch die Verflechtung von IT und Betriebstechnologie (Operative Technologie, OT, welche physische Geräte steuert und überwacht), immer im Abgleich mit dem Kerngeschäft, den identifizierten Werttreibern und relevanten Bedrohungsszenarien.

  1. Schritt: IKT-Dienstleister

Der dritte Schritt fokussiert sich auf die IT-Dienstleister, die Auslagerung von Dienstleistungen und das Management von Drittpartei-Risiken. Ziel ist es, stabile Wertschöpfungsketten sicherzustellen, einschliesslich Dokumentation und Kontrollen. Ein Vertragsregister aller Service Agreements (IT und nicht-IT) bildet die Grundlage für das Governance-Framework. Auch in Umgebungen mit mehreren Anbietern und geteilter Verantwortung muss Resilienz gewährleistet werden. Die Prozesse für das Management von Störungsvorfällen und die anschliessende Fehler-Ursachen-Analyse werden koordiniert.

 8. Fazit

Wie geht es weiter? Schweizer Unternehmen haben bis zum 17. Januar 2025 Zeit, um die DORA umzusetzen. In der Praxis stehen Unternehmen oft vor typischen Hürden auf dem Weg zur DORA-Compliance. Es ist sicherzustellen, dass die damit verbundenen Risiken ausreichend gemanagt werden, um eine rechtzeitige Umsetzung der DORA zu gewährleisten. Besonders zu beachten ist, dass diese Verordnung auch Schweizer IT-Unternehmen betriff, die ihre Dienstleistungen an Finanzunternehmen in Europa anbieten.

Share:

LinkedIn
Das könnte Sie interessieren

Zusammenhängende Posts

Swiss-U.S. Data Privacy Framework

Einleitung Am 14. August 2024 hat der Bundesrat beschlossen, die USA auf die Liste der Länder mit einem angemessenen Datenschutzniveau zu setzen. Diese Entscheidung ermöglicht

Data protection in the internet

Digital Operational Resilience Act (DORA)

1. Einleitung Der „Digital Operational Resilience Act“ (DORA) der Europäischen Union (EU) ist eine neue Verordnung, die den wachsenden Cyberrisiken Rechnung tragen soll und so

Sterne zur Feier des Top Anwalts

Top Anwaltskanzlei 2024 LezziLegal

2024 gehören wir gemäss der BILANZ Wirtschaftsmagazin- und PME-Evaluation zu den besten Schweizer Anwaltskanzleien in unserem Kerngebiet Technologie- und Telekommunikationsrecht.Wir danken all unseren Klienten und Kollegen herzlich für