Datenschutzeinstellungen

Beim Besuch dieser Webseite werden personenbezogene Daten verarbeitet und Cookies auf Ihrem Endgerät gespeichert. Wir verwenden Cookies, um Ihnen ein optimales Webseiten-Erlebnis zu bieten. Dazu gehören technisch erforderliche Cookies, die zwingend für den Betrieb der Seite notwendig sind, sowie Cookies von Drittanbietern, die uns anonymisierte Daten für Analyse- und statistische Zwecke generieren oder für die Anzeige von Medien und personalisierten Inhalten genutzt werden. Sie entscheiden welche davon Sie zulassen möchten oder nicht. Bitte beachten Sie dabei, dass Ihnen auf Basis dieser Einstellungen dann eventuell nicht mehr alle Funktionalitäten unserer Webseite zur Verfügung stehen. Weitere Informationen zum Thema Cookies und Datenschutz finden Sie in unserer Datenschutzerklärung.
Hier können Sie die gewünschten Einstellungen vornehmen:

Technisch erforderliche Cookies Es werden nur die technisch erforderlichen Cookies verwendet
Statistik
Details

IMPRESSUM

JORDAN & WAGNER Rechtsanwaltsgesellschaft mbH

News-Details

DORA (Digital Operational Resilience Act) einfach erklärt: Rechte, Pflichten, Rechtsfolgen

Schutzzweck führt zu enormem Gewinn an IT-Sicherheit

  1. DORA: Regelungsinhalt

DORA ist eine EU-Verordnung, die seit 17.01.2025 gilt und die digitale Betriebsstabilität im Finanzsektor regelt. Betroffen sind: Banken, Versicherungen, Kapitalverwaltungsgesellschaften, Zahlungsdienstleister, Krypto-Dienstleister, kritische IT-Dienstleister, die für Finanzunternehmen tätig sind. Bezweckt wird, Finanzsysteme auch bei Cyberangriffen, IT-Ausfällen oder Drittanbieterproblemen funktionsfähig zu erhalten.

  1. Bedeutung für Unternehmen

DORA verlangt fünf zentrale Pflichtbereiche:

(1) IT-Risikomanagement: Unternehmen müssen nachweisen, dass sie:

- Cyberrisiken erkennen,

- Angriffe abwehren,

- Systeme regelmäßig testen und

- Notfallpläne haben.

Es besteht die Pflicht, dokumentierte IT-Strategien und Verantwortlichkeiten, mithin Governance-Strukturen vorzuhalten.

(2) Vorfälle melden: Schwere IT-Sicherheitsvorfälle müssen innerhalb von 4 Stunden gemeldet werden. Das bedeutet, Meldewege, Prozesse und Verantwortliche müssen implementiert sein.

(3) Resilienz-Tests: Es müssen regelmäßige technische Tests durchgeführt werden, wie Penetrationstests, Krisenübungen, Wiederanlauftests. Diese Tests müssen bei wichtigen Unternehmen durch externe unabhängige Prüfer erfolgen.

(4) Drittanbieter-Kontrolle: Es genügt nicht, selbst sicher zu sein; auch die IT-Dienstleister müssen überwacht werden, insbesondere Cloud-Provider, Softwareanbieter, kritische Outsourcing-Partner. Das bedeutet, dass Verträge müssen DORA-konform gestaltet werden müssen.

(5) Informationsaustausch: Unternehmen dürfen Informationen über Cyberangriffe austauschen, um sich besser zu schützen.

  1. Bedeutung für Verbraucher

Verbraucher und Kunden profitieren von DORA, v.a. durch mehr Sicherheit. Denn Online-Banking, mobile Zahlungssysteme, Versicherungsportale und digitale Geldanlage sollen auch bei Cyberangriffen zuverlässig funktionieren. Durch den Schutzzweck der Ausfallsicherheit soll verhindert werden, dass Systeme einfach „offline“ gehen. Zudem gibt es schnellere Reaktionen bei Störungen. Dies wirkt sich positiv auf die Risikomatrix aus, weil die Gefahr für Datenverlust oder Zahlungsausfälle sinkt.

Sofern Unternehmen Compliance-Verstöße begehen, können Schadensersatzansprüche entstehen und aufsichtsrechtliche Maßnahmen verhängt werden, z.B. durch Geldbußen.

Letztlich verbessert sich die rechtliche Kundenposition bei IT-Schäden im Finanzsektor.

  1. Warum ist anwaltliche Beratung sinnvoll?

DORA ist juristisch und technisch anspruchsvoll. Anwaltliche Beratung hilft insbesondere bei:

  • der Bewertung der eigenen Verpflichtungen
  • der Einordnung konkreter Rechtspflichten
  • der Erfassung von vorgeschriebenen Tests
  • der Geltung von Meldepflichten
  • der Sanktionen-Prüfung
  • der Etablierung von GRC-Strukturen (Governance, Risk & Compliance)
  • der Integration des Pflichtenkataloge in CMS (Compliance Management Systeme, in Anlehnung an ISO 37301)
  • der Stärkung von Awareness im „Dialog der Fachabteilungen“, einer spezifischen Jordan & Wagner-Methodik und z.B. dem Aufbau interner Prozesse und von IT-Compliance-Handbüchern
  • der Vertragsprüfung mit IT-Dienstleistern, u.a. Audit-Rechte, Exit-Strategien, Daten-Lokalisierung, Subdienstleister-Kontrolle, Risiko- und Resilienzanforderungen
  • der Prüfung von Haftungsszenarien und des Risikomanagements
  • der Anspruchsprüfung bei IT-Vorfällen, Cyberattacken, z.B. Auskunfts-, Erstattungs- und Schadensersatzansprüchen: Beispiel: Haftet die Bank bei einem Cyberangriff oder Systemausfall?
  • der Gewährleistung von Incident-Response-Plänen, Meldeprozessen und Policies
  • der Kommunikation mit Aufsichtsbehörden (wie BaFin, EZB, EBA)
  • der Absicherung des Reputationsschutzes.
  1. Ansprechpartner

DORA verpflichtet Finanzunternehmen zu starken IT-Sicherheits- und Cyberrisikostandards und bezweckt Stabilität für Unternehmen und Verbraucher. Anwaltliche Beratung ist notwendig, da komplexe Pflichten, technische Anforderungen und Haftungsrisiken eröffnet werden, insbesondere bei IT-Verträgen, Vorfallmeldungen und Governance.

Ihre Ansprechpartner bei Jordan & Wagner: Peter Wagner, Dr. Thomas A. Degen, Dr. Hanns-Georg Pipping, Tilo Schindele, Marzia Carla Iosini, LL.M., Dr. Arnd-Christian Kulow, Mathias Lang, LL.M.

Zurück