Das Inkrafttreten der sog. DORA-Verordnung (DORA-VO) über die Betriebsstabilität digitaler Systeme des Finanzsektors rückt näher. Nach dem im Trilog-Verfahren erzielten Kompromiss und dessen Bestätigung am 29. Juni 2022 im Ausschuss der Ständigen Vertreter im Rat wird jetzt die endgültige Verabschiedung in Rat und EP im November 2022 erwartet. Die DORA-VO soll unmittelbar nach Veröffentlichung in Kraft treten und muss 24 Monate danach von den Adressenten angewendet werden.

Im Anwendungsbereich der DORA-VO, der nahezu alle Arten von Finanzmarktinstitutionen erfasst, sind auch EbAV. Ausgenommen sind lediglich Kleinsteinrichtungen mit 15 Mitgliedern. Für sehr kleine EbAV (mit weniger als 100 Mitgliedern) soll es verringerte Anforderungen an das IT-Risikomanagement geben.

An den überwiegend hohen materiellen Anforderungen an die IT-Sicherheit des VO-Vorschlags haben die Trilog-Verhandlungen nur wenig Änderungen bewirkt. Gestärkt wurde aber das Proportionalitätsprinzip. Der Kompromisstext verwendet dabei in Artikel 3a („Proportionality principle“) eine Definition von Proportionalität, die dem Proportionalitätsbegriff der EbAV-II-Richtlinie stark ähnelt: „taking into account their size, the nature, scale and complexity of their services, activities and operations, and their overall risk profile“.

Bereits jetzt ist absehbar, dass die DORA-VO in Teilbereichen zu neuen und höheren Anforderungen führen wird, beispielsweise bei Meldeverpflichtungen gegenüber der BaFin nach IT-Sicherheitsvorfällen. Eine genaue Einschätzung des Mehraufwands ist aber dadurch erschwert, dass die DORA-VO zu vielen Fragen der Kommission die Befugnis zum Erlass konkretisierender technischer Regulierungsstandards verleihen wird, etwa über die Harmonisierung der IT-Risikomanagement-Tools, die Klassifizierung IKT-bezogener Vorfälle, Meldeverpflichtungen, die Messung von Drittanbieterrisiken und über die Form und den Inhalt von Ausgliederungsvereinbarungen.

Immerhin fordert die DORA-VO in der Trilog-Fassung die Europäischen Aufsichtsbehörden (ESA), die mit der Erstellung der Entwürfe der technischen Regulierungsstandards beauftragt werden, dazu auf, ihrerseits das Proportionalitätsprinzip zu beachten: „When developing those draft regulatory technical standards, the ESAs shall take into account the size, nature, scale, complexity and overall risk profile of the financial entities, while duly taking into consideration any specific feature arising from the distinct nature of activities across different financial services sector).“

Für einen erleichterten Abgleich bestehender mit neuen Anforderungen (ab Ende 2024) hat in einem Beitrag der September-2022-Ausgabe des BaFin-Journals die BaFin angekündigt, die bestehenden Rundschreiben (BAIT, VAIT, KAIT, ZAIT) perspektivisch zu überarbeiten, um sicherzustellen, dass „keine regulatorische[n] Dopplungen entstehen“.