Kennen Sie schon DORA?

Die DORA zielt darauf ab, einen umfassenden Rahmen für die digitale operative Belastbarkeit mit Regeln für regulierte Finanzdienstleister in der EU zu schaffen. Banken, Wertpapierfirmen, Clearingstellen, Versicherer, Fintechs und andere Unternehmen des Finanzsektors (Finanzunternehmen) in der EU werden strenge Standards anwenden müssen, um die Auswirkungen von ICT-bezogenen Risiken zu begrenzen. ICT-Anbieter in der Schweiz und weltweit, die ihre Dienstleistungen Finanzunternehmen in der EU anbieten, werden voraussichtlich betroffen sein. Dies unabhängig davon, ob es sich bei diesen ICT-Anbietern um unabhängige Dritte oder um mit einem EU-Finanzunternehmen verbundene Konzerngesellschaften handelt.

Im September 2020 veröffentlichte die Europäische Kommission den Entwurf der ‘Digital Operational Resilience Act’ (DORA) als Teil ihres grösseren digitalen Finanzpakets. Der Legislativvorschlag baut weitgehend auf Initiativen auf, die von verschiedenen europäischen Regulierungsbehörden eingeführt wurden, und fasst sie in einer Verordnung zusammen. DORA verlagert den Schwerpunkt von der Gewährleistung der finanziellen Belastbarkeit eines Finanzinstituts auf die Sicherstellung, dass es seinen Betrieb auch im Falle einer schwerwiegenden Betriebsstörung aufrechterhalten kann.

Der gesetzgeberische Handlungsbedarf ergibt sich aus der zunehmenden Abhängigkeit des Finanzsektors von Software und digitalen Prozessen, die in jüngster Zeit durch die Covid-19-Krise noch verstärkt wurde, angefangen beim Fernzugriff aus dem Home Office, über Zahlungsdienste bis hin zu allen Arten komplexer Finanzdienstleistungen. Dies bedeutet auch, dass ICT-Risiken im Finanzsektor allgegenwärtig sind.

Welche Pflichten bringt die DORA mit sich?

Die DORA sieht verschiedene Verpflichtungen, Restriktionen und weitere Regelungen vor, insbesondere:

a) für Finanzunternehmen geltende Anforderungen in Bezug auf:

• Meldung grösserer ICT-bezogener Vorfälle an die zuständigen Behörden;
• Prüfung der digitalen operativen Belastbarkeit;
• Austausch von Informationen und Erkenntnissen über Cyber-Bedrohungen und -Schwachstellen zwischen Finanzunternehmen und ICT-Drittanbietern
• Massnahmen für ein robustes Management von ICT-Risiken durch Finanzunternehmen;

b) Anforderungen in Bezug auf vertragliche Vereinbarungen zwischen ICT-Drittanbietern und Finanzunternehmen und bestimmte Restriktionen in Bezug auf ICT-Drittanbieter ausserhalb der EU;

c) einen Aufsichtsrahmen für bestimmte ‘kritische’ ICT-Drittanbieter, die Dienstleistungen für Finanzunternehmen erbringen; und

d) Regeln für die Zusammenarbeit zwischen den zuständigen Behörden und für die Überwachung und Durchsetzung in Bezug auf alle unter die DORA fallenden Angelegenheiten.

Welche Auswirkungen hat die DORA auf Schweizer Unternehmen?

Die DORA (gemäss der aktuellen Fassung des Entwurfs) legt Finanzunternehmen in der EU ausdrücklich bestimmte zusätzliche Pflichten auf, wenn sie mit ICT-Anbietern in Ländern ausserhalb der EU (einschliesslich der Schweiz) zusammenarbeiten. Die DORA wird sich daher voraussichtlich sowohl auf ICT-Anbieter als auch auf Finanzunternehmen in der Schweiz auswirken:

• Schweizer ICT-Anbieter (oder Unteranbieter) sind indirekt von der DORA betroffen, wenn sie beabsichtigen, ICT-Dienstleistungen für Finanzunternehmen in der EU zu erbringen. Zu den ICT-Dienstleistungen gelten gemäss dem aktuellen Entwurf allgemein digitale Dienstleistungen und Datendienste, die über ICT-Systeme bereitgestellt werden, z. B. Datenspeicherung / Cloud, Datenverarbeitungs- und ‘Reporting’-Dienste, Datenüberwachung und datengestützte ‘Business Support’-Dienste.
• Schweizer Unternehmen, die mit Finanzunternehmen in der EU verbunden sind und konzerninterne ICT-Dienstleistungen für ihre Konzerngesellschaften in der EU erbringen - d.h. konzerninterne Auslagerungen - werden ebenfalls betroffen sein (der Konzern wird wohl unabhängig von den spezifischen ICT-Dienstleistungen DORA-konforme globale Mindeststandards anwenden).
• Schliesslich müssen Finanzunternehmen in der Schweiz (oder weiteren Ländern ausserhalb der EU) möglicherweise auch DORA-Standards anwenden, wenn sie mit anderen Finanzunternehmen in der EU und/oder ihren Kunden zu tun haben.

Was passiert, wenn Schweizer ICT-Anbieter nicht reagieren?

Es ist derzeit noch unklar, welche rechtlichen Sanktionen im Falle eines Verstosses gegen das Gesetz gelten werden (laut Entwurf bleibt dies weitgehend den Mitgliedstaaten überlassen), und dies wird voraussichtlich auch keine direkten Auswirkungen auf Schweizer Unternehmen haben. Um wettbewerbsfähig zu bleiben, werden die Schweizer ICT-Anbieter jedoch zwangsläufig bestimmte Anforderungen übernehmen müssen.

Wie ist der aktuelle Stand der Gesetzgebung und welches sind die nächsten Schritte?

Es finden in Kürze Trilog-Verhandlungen statt zwischen der Europäischen Kommission, dem Europäischen Parlament und dem Rat statt, welche schliesslich in der Publikation des endgültigen Entwurfs münden werden. Das Inkrafttreten der DORA wird derzeit zirka im Q4 2022 oder Q1 2023 erwartet. Unter Berücksichtigung der 24-monatigen Übergangsfrist (gemäss aktuellem Entwurf) die Anforderungen ab Q4 2024 umgesetzt sein.