DORA und die Anwendbarkeit für Finanzinstitute: Integration von Leasing- und Factoring-Unternehmen durch das FinmaDiG
Die Verordnung (EU) 2022/2554, bekannt als DORA (Digital Operational Resilience Act), zielt darauf ab, die digitale operationale Resilienz im europäischen Finanzsektor zu stärken. Während Leasing- und Factoring-Unternehmen ursprünglich von den DORA-Vorgaben ausgenommen waren, hat der deutsche Gesetzgeber diese durch das Finanzmarktdigitalisierungsgesetz (FinmaDiG) in den nationalen Anwendungsbereich integriert – allerdings mit Einschränkungen und Proportionalität.
1. DORA: Hintergrund und Zielsetzung
DORA schafft einen einheitlichen Rahmen für das IKT-Risikomanagement, die Behandlung und Meldung von Vorfällen sowie den Umgang mit Risiken, die von Drittanbietern ausgehen. Ziel ist es, Cyberrisiken zu minimieren, den Finanzsektor widerstandsfähiger zu machen und die Stabilität des europäischen Finanzsystems zu gewährleisten.
Wichtige Schwerpunkte der Verordnung sind:
- Harmonisierung der Vorgaben zur digitalen Resilienz im Finanzsektor.
- Einführung eines einheitlichen Standards für die IKT-Sicherheit.
- Verstärkte Regulierung von kritischen IKT-Drittanbietern.
2. Anwendbarkeit auf Finanzinstitute
DORA gilt grundsätzlich für eine Vielzahl von Finanzinstituten, wie Banken, Versicherer und Zahlungsdienstleister. Leasing- und Factoring-Unternehmen wurden in der Positivliste der DORA-VO ursprünglich nicht berücksichtigt. Das FinmaDiG hat jedoch den Anwendungsbereich erweitert und diese Unternehmen unter nationale Regelungen gestellt, die eng mit DORA verknüpft sind.
Erweiterter Anwendungsbereich durch das FinmaDiG
- Leasing- und Factoring-Unternehmen werden unter bestimmten Bedingungen den Regelungen der DORA unterworfen.
- Es gelten erleichterte Anforderungen gemäß Artikel 16 DORA (vereinfachter IKT-Risikomanagementrahmen).
- Spezifische Vorgaben, wie bedrohungsgeleitete Penetrationstests (TLPT) aus Artikel 26 und 27 DORA, sind für diese Unternehmen nicht verpflichtend.
3. Pflichten für Leasing- und Factoring-Unternehmen
Durch die Integration dieser Unternehmen in den nationalen Anwendungsbereich ergeben sich folgende spezifische Pflichten:
Artikel 16 DORA: Vereinfachter IKT-Risikomanagementrahmen
Leasing- und Factoring-Unternehmen müssen:
- Grundlegende Mechanismen zur Identifikation, Bewertung, Steuerung und Überwachung von IKT-Risiken implementieren.
- Eine risikobasierte und proportionale Vorgehensweise anwenden, die an die Größe, Komplexität und das Risikoprofil des Unternehmens angepasst ist.
- Ihre IKT-Infrastruktur und -Prozesse auf einfache Weise dokumentieren und regelmäßig bewerten.
Kapitel III DORA: Vorfallmanagement und Meldewesen
- Meldepflicht für schwerwiegende IKT-Vorfälle (Artikel 19): Leasing- und Factoring-Unternehmen müssen Vorfälle, die erhebliche Auswirkungen auf den Geschäftsbetrieb haben, unverzüglich den zuständigen Behörden melden.
- Klassifizierung von Vorfällen (Artikel 18): Es gelten harmonisierte Kriterien für die Einstufung schwerwiegender Vorfälle, etwa anhand der betroffenen Kunden, finanziellen Auswirkungen und geografischen Reichweite.
- Zusammenarbeit mit Behörden (Artikel 20): Unternehmen müssen bei der Nachverfolgung von Vorfällen und der Bereitstellung zusätzlicher Informationen mit den Behörden kooperieren.
Pflicht zur Führung eines Informationsregisters
Auch wenn Artikel 18 nicht explizit die Führung eines Informationsregisters vorschreibt, ergibt sich diese Pflicht indirekt aus den Anforderungen zur Klassifizierung und Dokumentation von Vorfällen. Ein Informationsregister dient:
- Vorfallmanagement: Der systematischen Erfassung und Nachverfolgung von IKT-Vorfällen, einschließlich Klassifikation und Meldung schwerwiegender Vorfälle.
- Drittparteienrisikomanagement: Artikel 28 DORA fordert explizit ein Register für alle kritischen und wichtigen Vertragsbeziehungen zu IKT-Drittanbietern. Diese Verpflichtung erweitert den Dokumentationsbedarf und macht ein Informationsregister unverzichtbar.
- Zentralisierung von Daten: Um Meldepflichten effizient und vollständig zu erfüllen, benötigen Institute ein zentralisiertes Register als Datenquelle.
4. Erleichterungen und Übergangsfristen
Das FinmaDiG sieht wesentliche Erleichterungen für Leasing- und Factoring-Unternehmen vor:
- Vereinfachte Anforderungen: Der allgemeine IKT-Risikomanagementrahmen gemäß Artikel 5–15 DORA ist nicht anzuwenden.
- Ausnahme von TLPT (Artikel 26 und 27): Bedrohungsgeleitete Penetrationstests sind nicht verpflichtend.
- Übergangsfrist:
- Der vereinfachte IKT-Risikomanagementrahmen muss erst ab dem 1. Januar 2027 umgesetzt werden.
- Meldepflichten nach Kapitel III gelten jedoch bereits ab dem 17. Januar 2025, einschließlich der Klassifikation und Meldung von Vorfällen.
5. Technische Regulierungsstandards (RTS)
Die Einhaltung der DORA-Anforderungen wird durch technische Regulierungsstandards (RTS) konkretisiert. Relevante RTS sind:
- RTS für den IKT-Risikomanagementrahmen (Artikel 16):
- Standards für Methoden und Tools zur Steuerung von IKT-Risiken in einem vereinfachten Rahmen.
- RTS zur Klassifizierung und Meldung von Vorfällen (Kapitel III):
- Einheitliche Schwellenwerte und Meldeverfahren für schwerwiegende IKT-Vorfälle.
- RTS für Drittparteienrisiken (Artikel 28–30):
- Anforderungen an Verträge und Überwachung von Drittanbietern.
6. Nationale Umsetzung und Harmonisierung
Die BaFin hat angekündigt, die bisherigen IT-Aufsichtsvorgaben (z. B. BAIT) schrittweise durch DORA zu ersetzen, um Doppelstrukturen zu vermeiden und die Umsetzung zu erleichtern. Das FinmaDiG zielt darauf ab, die Proportionalität sicherzustellen, insbesondere für kleinere Unternehmen wie Leasing- und Factoring-Firmen.
Fazit
DORA bietet einen robusten Rahmen zur Stärkung der digitalen Resilienz im Finanzsektor. Durch das FinmaDiG werden Leasing- und Factoring-Unternehmen in den Anwendungsbereich integriert, profitieren jedoch von vereinfachten Anforderungen und Erleichterungen. Wesentliche Pflichten betreffen das IKT-Risikomanagement, die Behandlung und Meldung von Vorfällen sowie den Umgang mit Drittanbieter-Risiken.
Übersicht der Umsetzungsfristen:
- 17. Januar 2025: Anforderungen an das Meldewesen (Kapitel III) treten in Kraft.
- 1. Januar 2027: Umsetzung des vereinfachten IKT-Risikomanagementrahmens (Artikel 16) für Leasing- und Factoring-Unternehmen.
Die Führung eines Informationsregisters ist zwar nicht explizit vorgeschrieben, ergibt sich aber praktisch aus den Anforderungen zur Dokumentation von Vorfällen (Artikel 18) und Drittparteienrisiken (Artikel 28). Dieses Register ist ein zentrales Werkzeug, um die DORA-Vorgaben effizient zu erfüllen und den Meldepflichten nachzukommen.