Die fortschrei­tende Digita­li­sierung und der zuneh­mende Einfluss techno­lo­gi­scher Systeme auf den Finanz­sektor haben die Bedeutung von digitaler Resilienz und Cyber­si­cherheit weltweit erhöht. Die Fähigkeit von Banken, Versi­che­rungen und anderen Finanz­dienst­leistern, auf Cyber­an­griffe, technische Störungen und operative Ausfälle effektiv zu reagieren, ist entscheidend – nicht nur zum Schutz sensibler Kunden­daten, sondern auch zur Sicherung der Stabi­lität des gesamten Finanz­marktes.

Der Digital Opera­tional Resilience Act (DORA) der Europäi­schen Union markiert einen bedeu­tenden Schritt hin zu einem einheit­lichen regula­to­ri­schen Rahmen für die digitale Resilienz von Finanz­markt­teil­nehmern. Ziel ist es, eine robuste digitale Infra­struktur zu schaffen und Unter­nehmen in die Lage zu versetzen, auch in Krisen­zeiten stabil und betriebs­fähig zu bleiben.

Dieser Beitrag beleuchtet zunächst die nationale Rechtslage in Deutschland vor der Einführung von DORA, anschließend die Inhalte und Zielset­zungen der Verordnung sowie die konkreten Sorgfalts­pflichten für betroffene Unter­nehmen.

Bereits vor dem Inkraft­treten von DORA war die Cyber­si­cherheit im deutschen Finanz­sektor ein zentrales Thema. Der recht­liche Rahmen bestand aus einer Vielzahl europäi­scher und natio­naler Vorschriften, darunter u.a.:

• NIS-Richt­­linie & IT-Sicher­heits­­­gesetz 2.0: Verpflich­tungen zur IT-Sicherheit, Melde­pflichten bei Vorfällen, Notfall­ma­nagement.
• Aufsicht durch die BaFin: Mindest­an­for­de­rungen an das Risiko­ma­nagement (MaRisk): Berück­sich­tigung von IT-spezi­­fische Risiken in den Risiko­ma­nage­ment­pro­zessen der Finanz­in­stitute unter Imple­men­tierung von Minde­stan­dards.
• DSGVO: insb. Schutz perso­nen­be­zo­gener Daten, Melde­pflichten bei Sicher­heits­vor­fällen.
• Cyber­ver­si­che­rungen: Als Teil der Risiko­vor­sorge optional, aber empfohlen, zur finan­zi­ellen Absicherung bei IT-Vorfällen.

Der recht­liche Rahmen in Deutschland vor Einführung der Dora war bereits durch eine Vielzahl natio­naler und europäi­scher Regelungen geprägt, die sicher­stellen sollten, dass Finanz­in­stitute ihre digitale Resilienz aufbauen und ihre IT-Sicherheit konti­nu­ierlich verbessern. Es existierten klare Anfor­de­rungen an die Cyber­si­cherheit, Notfall­ma­nagement und der Überwa­chung von Dritt­an­bietern. Aller­dings fehlte eine verbind­liche, europa­weite harmo­ni­sierte Verordnung, die alle Aspekte der digitalen Resilienz in einem kohärenten Regelwerk zusam­men­fasste.

Die Verordnung (EU) 2022/2554 über die digitale Resilienz im Finanz­sektor ist im Januar 2023 in Kraft getreten. Seit Januar 2025 müssen Unter­nehmen ihre Umset­zungs­ver­pflich­tungen erfüllen. Ziel ist der Schutz des europäi­schen Finanz­systems vor zuneh­menden Cyber­ri­siken durch:

• Einheit­liche Sicher­heits­an­for­de­rungen.
• Risiko­ba­sierte Prozesse zur Identi­fi­kation und Bewäl­tigung von Infor­­ma­­tions- und Kommunikationstechnologien(IKT) ‑Risiken.
• Mitar­bei­ter­schu­lungen und technische Prüfungen.
• Sicher­stellung der Dienst­leis­tungs­kon­ti­nuität auch im Krisenfall.

DORA gilt sektor­über­greifend für Banken, Versi­che­rungen, Kapital­ver­wal­tungs­ge­sell­schaften, Krypto-Diens­t­­leister und viele weitere Finanz­ak­teure.

DORA legt umfas­sende Pflichten für die Unter­neh­mens­leitung und das Risiko­ma­nagement fest:

• IKT-Gover­­nance: Im Zusam­menhang mit der IT-Sicherheit des Unter­nehmens obliegt die Verant­wortung für organi­sa­to­rische Struk­turen und Geschäfts­pro­zesse, Standards und die Einhaltung dieser, der Geschäfts­leitung (inklusive Budget­planung und strate­gi­scher Kontrolle).
• Melde­pflichten: IKT-Vorfälle sind an die BaFin zu melden, diese leitet relevante Infor­ma­tionen an EU-Aufsichts­­be­hörden weiter.
• Tests: Verpflich­tende regel­mäßige Tests der Resilienz, einschließlich sogenannter bedro­hungs­ori­en­tierter Penetra­ti­ons­tests (TLPT), Szena­rio­ana­lysen und Sicher­heits­über­prü­fungen.
• In der Zusam­men­arbeit mit Dritt­dienst­leistern: Risiko­analyse und konti­nu­ier­liche Überwa­chung, Ausstiegs­stra­tegien bei kriti­schen Funktionen.
• Krisen­ma­nagement: Entwicklung, Durch­führung und jährliche Überprüfung von Notfall- und Wieder­her­stel­lungs­plänen.
  Bei Verstößen drohen Sanktionen und Beschrän­kungen – etwa das Verbot, bestimmte IT-Diens­t­­leister weiter zu beauf­tragen.

Bei Verstößen drohen Sanktionen und Beschrän­kungen – etwa das Verbot, bestimmte IT-Diens­t­­leister weiter zu beauf­tragen.

DORA schließt eine zentrale Lücke im regula­to­ri­schen Rahmen für die digitale Resilienz des Finanz­sektors. Durch die Einführung einheit­licher Vorgaben und die klare Zuordnung der Verant­wortung schafft, die Verordnung nicht nur Trans­parenz und Sicherheit, sondern stärkt auch das Vertrauen in die Stabi­lität des europäi­schen Finanz­systems – ein Schritt, der angesichts zuneh­mender Cyber­be­dro­hungen dringend notwendig war.

Die Einführung von DORA hat weitrei­chende Konse­quenzen für Geschäfts­führer von Finanz­in­sti­tuten, insbe­sondere im Hinblick auf D&O Risiken. DORA legt klare Sorgfalts­pflichten und Verant­wort­lich­keiten in Bezug auf die digitale Resilienz und Cyber­si­cherheit fest, die unmit­telbar die Haftung der Unter­neh­mens­führung betreffen. Diese Pflichten erhöhen die Haftungs­ri­siken für Geschäfts­führer erheblich, insbe­sondere wenn es zu Sicher­heits­vor­fällen kommt, die aufgrund mangelnder Prävention, unzurei­chender Tests oder Versäum­nissen bei der Überwa­chung von Dritt­an­bietern entstehen.

Ein solcher Vorfall könnte einen D&O‑Versicherungsfall auslösen, wenn die Unter­neh­mens­leitung ihrer Sorgfalts­pflicht nicht nachkommt. Dies könnte im schlimmsten Fall sowohl finan­zi­ellen Schaden für das Unter­nehmen als auch recht­liche Konse­quenzen für die verant­wort­lichen Geschäfts­führer nach sich ziehen. Angesichts der zunehmend stren­geren Anfor­de­rungen durch DORA und der damit verbun­denen Risiken sind Geschäfts­führer gezwungen, ihre internen Kontrollen und Sicher­heits­vor­keh­rungen zu verstärken. Darüber hinaus wird von ihnen erwartet, dass sie ausrei­chend Ressourcen für die Imple­men­tierung von Cyber­si­cher­heits­maß­nahmen bereit­stellen und sicher­stellen, dass das Unter­nehmen auf die Meldung und das Management von IT-Sicher­heits­­­vor­­­fällen gut vorbe­reitet ist.

Aus Sicht der Unter­neh­mens­führung ist es in diesem Zusam­menhang essen­ziell die persön­lichen Haftungs­ri­siken der Geschäfts­führer zu begrenzen. Als Partner mit fundierter Markt­kenntnis und einem klaren Verständnis für unter­neh­me­rische Risiken bietet die hendricks GmbH maßge­schnei­derte Absiche­rungs­kon­zepte auf höchstem Niveau.