Das Gesetzgebungsverfahren für eine Verordnung über die digitale operationale Resilienz im Finanzsektor (sog. DORA-Verordnung) wurde Ende 2022 abgeschlossen. Am 14. Dezember 2022 unterzeichneten die Präsidenten des Rats und des Europäischen Parlaments den Verordnungstext (deutsche und englische Fassungen), der aus einem Anfang 2021 eingeleiteten Trilogverfahren zwischen Kommission, Rat und Parlament hervorgegangen ist.

Die DORA-Verordnung wurde am 27. Dezember 2022 als Verordnung (EU) 2022/2254 und die sie begleitende Richtlinie als Richtlinie (EU) 2022/56 im Amtsblatt der Europäischen Union veröffentlicht. Deutsche Fassungen der Verordnung und der Richtlinie sind hier abrufbar. Die DORA-Verordnung wird am 16. Januar 2023 (20 Tagen nach der Veröffentlichung) in Kraft treten und ist 24 Monate später anzuwenden. Auch die Umsetzungsfrist für die Richtlinie endet am 17. Januar 2025.

Die Verordnung erfasst einen Großteil aller Finanzmarktteilnehmer, darunter auch EbAV. Komplett ausgenommen sind nur Einrichtungen mit weniger als 15 Versorgungsanwärtern, geringere Anforderungen gelten bei IT-Risikomanagement für Einrichtungen mit weniger als 100 Versorgungsanwärtern. Inhaltlich regelt sie umfassend einen breiten Katalog von IT-sicherheitsrelevanter Fragen, darunter die Ausgestaltung des IKT-Risikomanagements, Reaktions- und Wiederherstellungspläne bei Cyberangriffen, Tests der IT-Sicherheit u.v.m. Umfangreich geregelt ist auch die Ausgestaltung von Verträgen mit IKT-Drittdienstleistern und deren fortlaufende Überwachung.

Im 24-Monatszeitraum bis Anfang 2025 werden die in der DORA-Verordnung vorgesehenen Technischen Regulierungsstandards durch Entwürfe von den Europäischen Aufsichtsbehörden vorbereitet und später von der Kommission verabschiedet werden.

Mit Blick auf die Überlagerungen von Inhalten der DORA-VO mit bestehenden aufsichtlichen Anforderungen hat bereits in einem Beitrag der September-2022-Ausgabe des BaFin-Journals die BaFin angekündigt, die bestehenden Rundschreiben (BAIT, VAIT, KAIT, ZAIT) perspektivisch zu überarbeiten, um sicherzustellen, dass „keine regulatorische[n] Dopplungen entstehen“.

Aktualisierte Fassung eines am 15. Dezember 2022 erschienen Artikels: Überarbeitet wurden die Überschrift und der zweite Absatz nach der Veröffentlichung von Verordnung und begleitender Richtlinie im Amtsblatt der Europäischen Union.