DORA directive

Im Bereich der Bankdienstleistungen enthält die Richtlinie 2013/36/EU derzeit nur allgemeine interne Governance-Vorschriften und Bestimmungen für operationelle Risiken, einschließlich Anforderungen an Notfallpläne und Geschäftsfortführungspläne, die implizit als Grundlage zum Angehen von IKT-Risiken dienen. Um IKT-Risiken explizit und klar anzugehen, sollten jedoch die Anforderungen an Notfallpläne und Geschäftsfortführungspläne im Einklang mit den Anforderungen der Verordnung (EU) 2022/2554 geändert werden, damit auch Geschäftsfortführungspläne und Reaktions- und Wiederherstellungspläne betreffend IKT-Risiken aufgenommen werden. Ferner werden IKT-Risiken im aufsichtlichen Überprüfungs- und Bewertungsprozess (Supervisory Review and Evaluation Process, SREP), der von den zuständigen Behörden durchgeführt wird, nur als Teil des operationellen Risikos implizit berücksichtigt, und die betreffenden Bewertungskriterien sind derzeit in den von der Europäischen Aufsichtsbehörde (Europäische Bankenaufsichtsbehörde, EBA) herausgegebenen Leitlinien für die IKT-Risikobewertung im Rahmen des aufsichtlichen Überprüfungs- und Bewertungsprozesses (Supervisory Review and Evaluation process — SREP) festgelegt, die durch die Verordnung (EU) Nr. 1093/2010 des Europäischen Parlaments und des Rates(¹³)Verordnung (EU) Nr. 1093/2010 des Europäischen Parlaments und des Rates vom 24. November 2010 zur Errichtung einer Europäischen Aufsichtsbehörde (Europäische Bankenaufsichtsbehörde), zur Änderung des Beschlusses Nr. 716/2009/EG und zur Aufhebung des Beschlusses 2009/78/EG der Kommission (ABl. L 331 vom 15.12.2010, S. 12). eingerichtet wurden. Um Rechtsklarheit zu schaffen und sicherzustellen, dass die Bankenaufsichtsbehörden die IKT-Risiken gemäß dem neuen Rahmen für digitale operationale Resilienzdie Fähigkeit eines Finanzunternehmens, seine operative Integrität und Betriebszuverlässigkeit aufzubauen, zu gewährleisten und zu überprüfen, indem es entweder direkt oder indirekt durch Nutzung der von IKT-Drittdienstleistern bereitgestellten Dienste das gesamte Spektrum an IKT-bezogenen Fähigkeiten sicherstellt, die erforderlich sind, um die Sicherheit der Netzwerk- und Informationssysteme zu gewährleisten, die von einem Finanzunternehmen genutzt werden und die kontinuierliche Erbringung von Finanzdienstleistungen und deren Qualität, einschließlich bei Störungen, unterstützen; wirksam ermitteln und deren Management durch Finanzunternehmen überwachen, sollte der Anwendungsbereich des SREP auch dahingehend geändert werden, dass die in der Verordnung (EU) 2022/2554 niedergelegten Vorgaben explizit genannt und insbesondere die Risiken abgedeckt werden, die durch Berichte über schwerwiegende IKT-bezogene Vorfälle und durch die Ergebnisse der von Finanzunternehmen im Einklang mit jener Verordnung durchgeführten Tests der digitalen operationalen Resilienz aufgedeckt werden.

Die digitale operationale Resilienzdie Fähigkeit eines Finanzunternehmens, seine operative Integrität und Betriebszuverlässigkeit aufzubauen, zu gewährleisten und zu überprüfen, indem es entweder direkt oder indirekt durch Nutzung der von IKT-Drittdienstleistern bereitgestellten Dienste das gesamte Spektrum an IKT-bezogenen Fähigkeiten sicherstellt, die erforderlich sind, um die Sicherheit der Netzwerk- und Informationssysteme zu gewährleisten, die von einem Finanzunternehmen genutzt werden und die kontinuierliche Erbringung von Finanzdienstleistungen und deren Qualität, einschließlich bei Störungen, unterstützen; ist unverzichtbar, um die kritischen Funktionen und Kerngeschäftsbereiche eines Finanzunternehmens im Falle seiner Abwicklung aufrechtzuerhalten und dadurch Störungen der Realwirtschaft und des Finanzsystems zu vermeiden. Größere betriebliche Vorfälle können die Fähigkeit eines Finanzunternehmens, den Betrieb aufrechtzuerhalten, beeinträchtigen und die Abwicklungsziele gefährden. Bestimmte vertragliche Vereinbarungen betreffend die Nutzung von IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste; sind unverzichtbar, um die Aufrechterhaltung des Betriebs sicherzustellen und im Falle der Abwicklung die erforderlichen Daten bereitzustellen. Um die Richtlinie 2014/59/EU mit den Zielen des Unionsrahmens für die operationale Resilienz in Einklang zu bringen, sollte sie entsprechend geändert werden, damit sichergestellt ist, dass Informationen über die operationale Resilienz im Zusammenhang mit der Abwicklungsplanung und der Bewertung der Abwicklungsfähigkeit von Finanzunternehmen berücksichtigt werden.

Nach der Richtlinie 2014/65/EU gelten strengere IKT-Risikovorschriften für Wertpapierfirmen und Handelsplätze, die algorithmischen Handel betreiben. Weniger detaillierte Vorschriften gelten für Datenbereitstellungsdienstleistungen und Transaktionsregisterein Transaktionsregister im Sinne von Artikel 2 Nummer 2 der Verordnung (EU) Nr. 648/2012;. Außerdem enthält die Richtlinie 2014/65/EU nur wenige Verweise auf Kontroll- und Sicherungsvorkehrungen für Informationsverarbeitungssysteme sowie auf die Nutzung geeigneter Systeme, Ressourcen und Verfahren, um die Kontinuität und Ordnungsmäßigkeit von Dienstleistungen zu gewährleisten. Des Weiteren sollte die genannte Richtlinie in Bezug auf Kontinuität und Ordnungsmäßigkeit bei der Erbringung von Wertpapierdienstleistungen sowie bei der Ausübung von Anlagetätigkeiten, der operationalen Resilienz, der Kapazität von Handelssystemen sowie der Wirksamkeit der Vorkehrungen zur Fortführung der Geschäftstätigkeit und des Risikomanagements mit der Verordnung (EU) 2022/2554 in Einklang gebracht werden.

Die Richtlinie (EU) 2015/2366 enthält spezifische Vorschriften für IKT-Sicherheitskontrollen und Risikominderungsmaßnahmen für die Zwecke der Erteilung einer Zulassung für die Erbringung von Zahlungsdiensten. Diese Zulassungsvorschriften sollten geändert werden, um sie an die Verordnung (EU) 2022/2554 anzugleichen. Darüber hinaus sollten zur Verringerung des Verwaltungsaufwands und zur Vermeidung von Komplexität und doppelten Meldepflichten die Vorschriften für die Meldung von Sicherheitsvorfällen gemäß der Richtlinie (EU) 2015/2366 keine Anwendung auf Zahlungsdienstleister mehr finden, die jener Richtlinie und der Verordnung (EU) 2022/2554 unterliegen, um ihnen den Vorteil eines einheitlichen und vollständig harmonisierten Mechanismus für die Meldung von Vorfällen in Bezug auf alle betrieblichen Vorfälle oder zahlungsbezogene Sicherheitsvorfälle — unabhängig davon, ob ein IKT-Bezug besteht — zu ermöglichen.

Die Richtlinien 2009/138/EG und (EU) 2016/2341 decken IKT-Risiken teilweise in ihren allgemeinen Bestimmungen über Governance und Risikomanagement ab, wobei bestimmte Anforderungen durch delegierte Rechtsakte mit oder ohne spezifische Verweise auf IKT-Risiken festgelegt werden können. Ebenso gelten für Verwalter alternativer Investmentfondseinen Verwalter alternativer Investmentfonds im Sinne von Artikel 4 Absatz 1 Buchstabe b der Richtlinie 2011/61/EU;, die der Richtlinie 2011/61/EU unterliegen, und Verwaltungsgesellschaften, die der Richtlinie 2009/65/EG unterliegen, nur sehr allgemeine Vorschriften. Diese Richtlinien sollten daher an die Anforderungen für die Verwaltung von IKT-Systemen und -Tools der Verordnung (EU) 2022/2554 angeglichen werden.

In vielen Fällen wurden weitere IKT-Risikoanforderungen bereits in delegierten Rechtsakten und Durchführungsrechtsakten festgelegt, die basierend auf von der zuständigen Europäischen Aufsichtsbehörde ausgearbeiteten Entwürfen technischer Regulierungs- und Durchführungsstandards angenommen wurden. Da die Bestimmungen der Verordnung (EU) 2022/2554 künftig den Rechtsrahmen für IKT-Risiken im Finanzsektor bilden, sollten bestimmte Ermächtigungen zum Erlass von delegierten Rechtsakten und Durchführungsrechtsakten in den Richtlinien 2009/65/EG, 2009/138/EG, 2011/61/EU und 2014/65/EU geändert werden, um die Bestimmungen zu IKT-Risiken vom Geltungsbereich dieser Ermächtigungen auszuschließen.

Um eine kohärente Anwendung des neuen Rahmens für digitale operationale Resilienzdie Fähigkeit eines Finanzunternehmens, seine operative Integrität und Betriebszuverlässigkeit aufzubauen, zu gewährleisten und zu überprüfen, indem es entweder direkt oder indirekt durch Nutzung der von IKT-Drittdienstleistern bereitgestellten Dienste das gesamte Spektrum an IKT-bezogenen Fähigkeiten sicherstellt, die erforderlich sind, um die Sicherheit der Netzwerk- und Informationssysteme zu gewährleisten, die von einem Finanzunternehmen genutzt werden und die kontinuierliche Erbringung von Finanzdienstleistungen und deren Qualität, einschließlich bei Störungen, unterstützen; im Finanzsektor zu gewährleisten, sollten die Mitgliedstaaten die nationalen Rechtsvorschriften zur Umsetzung der vorliegenden Richtlinie ab dem Geltungsbeginn der Verordnung (EU) 2022/2554 anwenden.

Die Richtlinien 2009/65/EG, 2009/138/EG, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 und (EU) 2016/2341 wurden auf der Grundlage von Artikel 53 Absatz 1 oder Artikel 114 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) oder beiden angenommen. Der Gegenstand und die Ziele der in der vorliegenden Richtlinie enthaltenen Änderungen sind miteinander verflochten und wurden daher in einem einzigen Rechtsakt zusammengefasst. Diese Richtlinie sollte daher auf der Grundlage von Artikel 53 Absatz 1 und Artikel 114 AEUV angenommen werden.

Da die Ziele dieser Richtlinie von den Mitgliedstaaten nicht ausreichend verwirklicht werden können, da sie die Harmonisierung von bereits in Richtlinien enthaltenen Anforderungen beinhalten, sondern vielmehr wegen des Umfangs und der Wirkungen der Maßnahme auf Unionsebene besser zu verwirklichen sind, kann die Union im Einklang mit dem in Artikel 5 des Vertrags über die Europäische Union verankerten Subsidiaritätsprinzip tätig werden. Entsprechend dem in demselben Artikel genannten Grundsatz der Verhältnismäßigkeit geht diese Richtlinie nicht über das für die Verwirklichung dieser Ziele erforderliche Maß hinaus.

Gemäß der Gemeinsamen Politischen Erklärung der Mitgliedstaaten und der Kommission zu erläuternden Dokumenten(¹⁴)ABl. C 369 vom 17.12.2011, S. 14. vom 28. September 2011 haben sich die Mitgliedstaaten verpflichtet, in begründeten Fällen zusätzlich zur Mitteilung ihrer Umsetzungsmaßnahmen ein oder mehrere Dokumente zu übermitteln, in denen der Zusammenhang zwischen den Bestandteilen einer Richtlinie und den entsprechenden Teilen nationaler Umsetzungsinstrumente erläutert wird. Für diese Richtlinie hält der Gesetzgeber die Übermittlung derartiger Dokumente für gerechtfertigt —