Der Digital Operational Resilience Act (DORA) ist am 17. Januar 2025 in Kraft getreten und zielt darauf ab, die digitale Widerstandsfähigkeit des europäischen Finanzsektors zu stärken. Ein zentrales Anliegen ist die Überwachung von IKT-Drittdienstleistern, von denen die Finanzindustrie zunehmend abhängig ist.

Die Auslagerung bzw. Ausgliederung von IKT-Dienstleistungen bietet Finanzunternehmen Vorteile wie Kosteneinsparungen und Zugang zu spezialisiertem Know-how. Allerdings birgt die Konzentration auf wenige große Anbieter, insbesondere im Cloud-Bereich, erhebliche Risiken (Konzentrationsrisiken). Ein Ausfall oder eine Störung eines solchen IKT-Drittdienstleisters könnte weitreichende Folgen für den gesamten Finanzsektor haben. Zudem befinden sich viele dieser Anbieter in Drittstaaten wie den USA, was zusätzliche geopolitische Risiken mit sich bringt.

DORA setzt genau hier an und verpflichtet Finanzunternehmen zu einem strukturierten Umgang mit IKT-Drittparteienrisiken. Finanzunternehmen müssen ihre Abhängigkeiten von IKT-Drittdienstleistern genau analysieren und ein effektives Risikomanagement implementieren. Dazu gehören die sorgfältige Auswahl von IKT-Drittdienstleistern, die Durchführung von umfassenden Risikoanalysen, die kontinuierliche Überwachung der erbrachten Leistungen und die Entwicklung von Notfallplänen für den Fall von Dienstleisterausfällen. Zusätzlich sollten Unternehmen die geografische Lage ihrer IKT-Drittdienstleister berücksichtigen und mögliche geopolitische Risiken in ihre Analysen einbeziehen.

Darüber hinaus sind alle Finanzunternehmen dazu verpflichtet, ein Informationsregister gemäß Art. 28 Abs. 3 DORA zu führen. Dieses ist bis zum 11. April 2025 bei der BaFin einzureichen und soll der Aufsicht helfen, Konzentrationsrisiken besser zu erkennen. Die nationalen Aufsichtsbehörden werden bis zum 30. April 2025 die Informationsregister an die Europäischen Aufsichtsbehörden übermitteln. Diese legen anschließend fest, welche IKT-Drittdienstleister als kritisch einzustufen sind. Diese Einstufung erfolgt anhand von Kriterien wie der Systemrelevanz des IKT-Drittdienstleisters und der Anzahl der von ihm bedienten Finanzunternehmen. Kritisch eingestufte IKT-Drittdienstleister unterliegen dann einer verstärkten Aufsicht, um potenzielle Risiken frühzeitig zu erkennen und zu minimieren.

DORA stellt einen bedeutenden Schritt zur Stärkung der digitalen Resilienz des europäischen Finanzsektors dar. Die neuen Regelungen zielen darauf ab, die Abhängigkeit von IKT-Drittdienstleistern kritisch zu hinterfragen und Konzentrationsrisiken zu minimieren. Für Finanzunternehmen ist es unerlässlich, sich mit den Anforderungen von DORA auseinanderzusetzen und entsprechende Maßnahmen zu ergreifen. Dies wird nicht nur zur Einhaltung der regulatorischen Vorgaben beitragen, sondern auch die operative Widerstandsfähigkeit gegenüber potenziellen IKT-Risiken erhöhen. Ein proaktiver Umgang mit DORA wird in den kommenden Jahren entscheidend sein, um als Finanzunternehmen in einem zunehmend digitalen und vernetzten Finanzsektor erfolgreich zu bleiben.