Sie sind hier: Home » Markt » Hinweise & Tipps

DORA-Compliance komplex

DORA kommt: Vier Tipps, worauf (Finanz-) Unternehmen jetzt achten sollten
Auch Zahlungsdienstleister sind betroffen, darunter fallen auch E-Geld-Institute und nicht zuletzt weitere Finanzdienstleister

Bereits im Januar 2023 ist der Digital Operational Resilience Act (DORA), eine Verordnung der europäischen Union, in Kraft getreten. Umzusetzen ist das EU-Gesetz bis zum 17.01.2025. Obwohl es sich vorrangig an den Finanzsektor richtet, können auch andere Unternehmen, wie beispielsweise IT-Dienstleister davon betroffen sein. Firmen, die in diese Kategorie fallen oder selbst im Finanzsektor tätig sind, sollten sich also frühzeitig mit der Verordnung befassen. Hendrik Fundermann, COO für den Geschäftsbereich Financial & Professional Services bei der d.velop AG, gibt vier Tipps, wie sie dabei am besten beginnen.

1. Prüfen, ob das eigene Unternehmen betroffen ist
Zunächst zielt die DORA-Verordnung auf das europäische Finanzsystem ab. In Deutschland sind davon in erster Linie alle BaFin-regulierten Unternehmen betroffen. Dies umfasst Banken und Versicherungsgesellschaften. Dazu kommen Wertpapierfirmen wie beispielsweise Broker. Außerdem sind Zahlungsdienstleister betroffen, darunter fallen auch E-Geld-Institute und nicht zuletzt weitere Finanzdienstleister.

Darüber hinaus erstreckt sich DORA aber auch auf Unternehmen der Informations- und Kommunikationstechnik (IKT), falls diese für regulierte Unternehmen als Dienstleister tätig sind und als kritisch eingestufte Infrastrukturen bereitstellen. Software-Anbieter, die beispielsweise Banken in ihrem Kundenstamm haben, sollten sich also ebenfalls mit der Verordnung vertraut machen. Am besten arbeiten sie bereits frühzeitig mit den betroffenen Kunden zusammen.

2. Rechtzeitig handeln
Zwar haben Unternehmen noch bis zum 17.01.2025 Zeit, um DORA umzusetzen. Allerdings sollten sie sich nicht darauf ausruhen. Die Komplexität hinter der Compliance-gerechten Umsetzung sollte man nicht unterschätzen. Neben In-House-Prozessen sind häufig auch Ergänzungen in Verträgen mit Dienstleitern notwendig bis hin zur Anpassung der Systemlandschaft. Dies alles benötigt natürlich seine Zeit in der Umsetzung.

3. Mehrarbeit einkalkulieren
Neben dem Zeitbedarf sollte man auch den personellen Aufwand der Prüfungen und Anpassungen nicht unterschätzen und entsprechend frühzeitig planen. Den Aufwand, der hier geleistet werden muss, sollten Finanzunternehmen allerdings nicht nur als notwendiges Übel, sondern auch als Chance sehen. Es ist die Gelegenheit, ein ganzheitliches Verständnis der technischen Infrastruktur eines Instituts zu erlangen und Silos zwischen einzelnen Abteilungen abzubauen. So können ineffiziente Doppelstrukturen abgebaut und Synergien genutzt werden.

4. Partner einbeziehen
Banken und andere Finanzdienstleister sollten bedenken, dass auch ihre IT-Partner und (Sub-) Dienstleister von der Verordnung betroffen sein können. Das heißt, Verantwortliche sollten hier frühzeitig auf die Anbieter zugehen und gegebenenfalls gemeinsame Strategien abstimmen. DORA verlangt zudem die vollständige Dokumentation von IT-Dienstleistern sowie Exit-Strategien für kritische Services. Nicht zuletzt benötigen die Unternehmen zur Erfüllung der Dokumentations- und Berichtspflichten effiziente Software. Lösungen für das Dokumentenmanagement können beispielsweise dabei helfen, schlanke und automatisierte Prozesse zu etablieren, die Mitarbeiter entlasten.

Fazit
Die Erwartungen an kritische Infrastruktur in Zeiten global exponentiell steigender Cyberangriffe erfordern zielgerichtetes und länderübergreifendes Handeln. DORA ist somit eine Maßnahme, die zu mehr Sicherheit und Resilienz der Systeme führen soll. Die betroffenen Unternehmen sollten dies als Chance sehen, sich mit ihrer Systemlandschaft effizient und effektiv aufzustellen und frühzeitig mit der Umsetzung entsprechender Maßnahmen beginnen. (d.velop: ra)

eingetragen: 29.11.23
Newsletterlauf: 15.02.24

d.velop: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>

Meldungen: Markt / Hinweise & Tipps

Tipps für Security-Audits mit Mehrwert
NIS2, die aktuelle Richtlinie zur Netzwerk- und Informationssicherheit, verfolgt das Ziel, EU-weit das Cybersicherheitsniveau zu steigern. Auf die betroffenen Unternehmen kommen infolgedessen neue Rechenschaftspflichten über ihre Sicherheitslage zu.
Wie werden Aktien und Fonds besteuert?
Als Anlegerin oder Anleger sollten Sie bei Ihren Finanzentscheidungen auch steuerliche Aspekte berücksichtigen. Sie müssen aber nicht selbst aktiv werden: Die auf Kapitalerträge entfallenden Steuern werden von Ihrer Depotbank bei der Auszahlung einbehalten und an das Finanzamt abgeführt. Wichtig ist, dass Sie einen Freistellungsauftrag bei Ihrer Bank einreichen, um den Sparer-Pauschbetrag nutzen zu können.
Geordnet gegen Chaos beim Cyberangriff
Mit der neuen EU-Direktive NIS2 stehen Unternehmen vor der Herausforderung, ihre Cybersecurity-Strategie zu überarbeiten. Um den Anforderungen der Richtlinie gerecht zu werden, ist es entscheidend, ein Kernteam für Sicherheitsbelange zusammenzustellen. Wie Unternehmen dabei vorgehen sollten, erklärt Dirk Wocke, IT Compliance Manager und Datenschutzbeauftragter bei indevis.
Die fünf wichtigsten Auswirkungen von eIDAS 2.0
Starke Identifizierung ist entscheidend für den Aufbau von Vertrauen und die Gewährleistung sicherer Transaktionen in einer zunehmend digitalen Welt. Die jüngste Überarbeitung der eIDAS-Verordnung durch die EU, mit der digitale ID-Wallets für alle Bürger eingeführt werden, kommt zur rechten Zeit.
Crowdfunding: Worauf ist zu achten?
Ob es sich um eine innovative Geschäftsidee, ein neues Produkt oder ein spannendes Projekt handelt: Eine gute Idee braucht Startkapital! Das Crowdfunding bzw. -investing ist eine von vielen Möglichkeiten, an dieses Startkapital zu gelangen und dadurch ein Projekt an den Markt zu bringen.

An der Quelle der Informationen beginnen Umsetzung der ESG-Verordnung