Institutional Money, Ausgabe 3 | 2024

anfragen überlastet. Und natürlich gibt es Trojaner und Viren, und auch der klassische CEO Fraud funktioniert gelegentlich noch. EU-Binnenmarktkommissar Thierry Breton schätzt, dass die Zahl der vernetzten Geräte bis 2025 auf 25 Milliarden ansteigen wird und dass sich etwa ein Viertel davon in Euro- pa befindet. Die EU-Kommission beziffert die jährlichen Kosten der Cyberkriminalität für die Weltwirtschaft im Jahr 2020 mit 5,5 Billionen Euro. Das sei doppelt so hoch wie die Kosten für 2015. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt in seinem Lagebericht zur IT-Sicherheit in Deutschland 2023 einen enormen Zuwachs an Schadprogramm-Varianten und Ransomware- Opfern fest (siehe Chart „Mutmaßliche Opfer auf Leak-Seiten“). Um dieser Gefahr zu begegnen, verpflichtet DORA nun Unternehmen des Finanzsektors, sich systematisch vor IKT- Risiken zu schützen. Außerdem sollen Vorfälle gemeldet werden, damit Intensität und Art der Angriffe zentral über- wacht werden können. „Schwerwiegende Incidents oder diejenigen, die wesentliche Geschäftsfunktionen betreffen, müssen zwingend gemeldet werden. Zusätzlich sind Inci- dents bei der Erreichung mehrerer definierter Schwellwerte zu melden, z.B. wenn zehn Prozent aller Kunden oder mehr als 100.000 Kunden betroffen sind“, sagt Schmitz. Offenbar meint es der Regulator ernst: „Marktteilnehmer, die noch nicht mit den Vorbereitungen für DORA begon- nen haben, sollten jetzt unbedingt Maßnahmen ergreifen, oder sie riskieren ab dem 17. Januar 2025 potenzielle Straf- zahlungen von bis zu zehn Millionen Euro oder fünf Pro- zent des Umsatzes ihres Unternehmens“, warnt Ocorian, ein Anbieter von Verwaltungs- und Treuhanddienstleistungen im Finanzsektor in einer Pressemeldung. Die DORA-Verordnung umfasst mehrere Bereiche: • Management der Risiken in der Informations- und Kommunikationstechnologie (IKT): Dies umfasst auch technische Maßnahmen wie die automatisierte Separie- rung des Netzwerks bei Sicherheitsvorfällen oder die Verschlüsselung von Daten. • Management von Cybervorfällen • Testen der operationalen Resilienz • Umgang mit IKT-Drittanbietern Breites Feld ist betroffen Betroffen von der Verordnung sind eine Vielzahl von Unter- nehmen. „Im nächsten Jahr müssen in Deutschland mehr als 3.600 Unternehmen die EU-Verordnung DORA anwen- den“, schreibt die BaFin. In Europa sind es mehr als 20.000 Finanzunternehmen. Im Prinzip haben sich daher alle Finanzunternehmen, die auf EU-Ebene reguliert werden, an die Arbeit gemacht. Dazu gehören Kredit- und Zahlungsin- stitute,Wertpapierfirmen, Krypto-Asset-Dienstleister, Verwal- ter alternativer Investmentfonds, Verwaltungsgesellschaften, Versicherungsunternehmen und -vermittler, Ratingagentu- ren, Wirtschaftsprüfungsgesellschaften, Einrichtungen der betrieblichen Altersversorgung, Wertpapier-, Transaktions- und Verbriefungsregister sowie Crowdfunding-Dienstleister. DORA ist Chefsache Die Umsetzung von DORA ist eine zentrale Aufgabe und ein multidisziplinäres Projekt, das sich nicht einfach an die Die Zahl der vernetzten Geräte steigt bis 2025 weltweit auf 25 Milliarden an. Auch im Finanzsektor stellen die zunehmende Digitalisierung und die enge Vernetzung ein Gefahrenpotenzial dar. Mit der Verordnung über digitale Betriebsstabilität (DORA) soll das Gefährdungspotenzial verringert werden. N o . 3/2024 | institutional-money.com 253 Digital Operational Resilience Act | STEUER & RECHT FOTO: © MONTRI | STOCK.ADOBE.COM Verantwortlich für das Management der IKT-Risiken ist die Unterneh- mensleitung.