Die neue EU-Verordnung 2022/2554, auch bekannt als "Digital Operational Resilience Act" oder "DORA", ist heute, am 17. Januar 2025, in Kraft getreten. DORA sorgt seit einiger Zeit für Aufregung im Finanzsektor, da sie umfangreiche Neuerungen mit sich bring (siehe unten). Auch wenn die Schweiz nicht zur EU gehört, können Schweizer Informations- und Kommunikationstechnologiedienstleister (IKT-Dienstleister) von den neuen Regeln betroffen sein. Dieser Artikel gibt einen kurzen Überblick über DORA, ihre extraterritoriale Reichweite und die möglichen Auswirkungen auf Schweizer Unternehmen.
Was ist DORA?
DORA zielt darauf ab, die Widerstandsfähigkeit des europäischen Finanzsektors gegenüber IKT-Risiken zu stärken. Sie etabliert einen einheitlichen Rechtsrahmen für die operative digitale Sicherheit und Resilienz von Finanzinstituten und deren IKT-Dienstleistern. DORA umfasst Anforderungen an das Risikomanagement, das Meldewesen von IKT-Störungen (z.B. Cyberangriffe), das Testen der digitalen Betriebsfähigkeit und das Management von IKT-Drittanbieter-Risiken.
Betrifft DORA auch Schweizer Unternehmen?
DORA betrifft direkt eine breite Palette von Finanzunternehmen innerhalb der EU, darunter Kreditinstitute, Zahlungsinstitute, Versicherungen und Wertpapierfirmen.
Jedoch fallen auch IKT-Drittanbieter, die Dienstleistungen für diese Finanzinstitute erbringen, unter den Geltungsbereich von DORA, unabhängig von ihrem Standort. Das bedeutet, dass auch Schweizer Unternehmen, die IKT-Dienstleistungen für EU-Finanzinstitute erbringen, die Anforderungen von DORA erfüllen müssen. Dabei setzt DORA keine Auslagerung voraus, sondern erfasst auch sonstige IKT-Dienstleistungen.
Die extraterritoriale Reichweite von DORA ergibt sich aus der Abhängigkeit der EU-Finanzinstitute von ihren IKT-Drittanbietern. Um ein einheitliches Sicherheitsniveau zu gewährleisten, müssen nun auch Anbieter ausserhalb der EU die DORA-Anforderungen erfüllen. Dies kann für Schweizer IKT-Dienstleister zur Konsequenz haben, dass sie ihre Verträge mit EU-Finanzinstitute an die DORA-Vorgaben anpassen müssen. Schweizer Unternehmen müssen daher bereit sein, entsprechende Klauseln zu akzeptieren und die geforderten Massnahmen umzusetzen, da zu erwarten ist, dass EU-Finanzunternehmen auf diesen bestehen werden, um ihrerseits ihren gesetzlichen Pflichten nachzukommen. Die Praxis wird erst noch zeigen müssen, inwiefern die teilweise generischen Vorgaben von DORA effektiv umgesetzt werden.
Die Einhaltung der DORA-Anforderungen wird aber für viele in der Finanzbranche tätigen Schweizer IKT-Dienstleister mit einem erheblichen Compliance-Aufwand verbunden sein. Sie müssen ihre internen Prozesse und Systeme an die neuen Vorgaben anpassen (oder diese zumindest besser dokumentieren), um den neuen Anforderungen gerecht zu werden.
Erfüllt ein IKT-Dienstleister eine kritische oder wichtige Funktion?
Besondere Massnahmen sind gemäss DORA erforderlich, wenn ein Finanzinstitut sog. kritische oder wichtige Funktionen durch einen IKT-Dienstleister erfüllen lässt. DORA verlangt in diesen Fällen, dass die Finanzinstitute gegenüber dem IKT-Dienstleister z.B. umfassende Prüfungs- und Monitoringpflichten wahrnehmen sowie von diesem ein Notfallkonzept verlangen.
Fazit
Auch Schweizer IKT-Dienstleister müssen sich mit den neuen Bestimmungen vertraut machen, wenn sie weiterhin Verträge mit EU-Finanzunternehmen abschliessen wollen. Da eine Übergangsfrist unter DORA nicht vorgesehen ist, empfiehlt es sich, alsbald wie möglich mit den Vorbereitungen zu beginnen, sofern dies noch nicht geschehen ist.
Es ist davon auszugehen, dass die EU-Finanzmarktaufsichtsbehörden und deren Pendants in den Mitgliedstaaten in nächster Zeit weitere Ausführungsbestimmungen und Wegleitungen veröffentlichen. Des Weiteren steht zu erwarten, dass grosse, internationale IKT-Dienstleister wie Microsoft, Amazon oder Google entsprechende DORA-konforme Addenda publizieren.
Wir werden die Entwicklungen rund um DORA daher im Auge behalten und an dieser Stelle weitere Updates zum Thema veröffentlichen.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.