EU-Recht - 4. August 2022

Finaler Kompromisstext zur DORA liegt vor

DATEV Informationsbüro Brüssel, Mitteilung vom 03.08.2022

Nachdem im Mai 2022 der Rat und das EU-Parlament eine politische Einigung zum Digital Operational Resilience Act (DORA) erzielt haben, ist seit Ende Juli nun auch der finale Kompromiss der Öffentlichkeit zugänglich.

Die DORA wurde am 24.09.2020 als Teil des Digital Finance Packages von der EU-Kommission vorgestellt. Der Verordnungsentwurf ist ein Lex specialis zur NIS-Richtlinie und regelt die IT-Sicherheit für Finanzunternehmen und deren IKT-Drittanbieter. Bis zuletzt war umstritten, ob Wirtschaftsprüfer als Finanzunternehmen gelten. In letzter Minute haben sich EU-Parlament und Rat darauf verständigen können, dass Wirtschaftsprüfer aus dem Anwendungsbereich der DORA gestrichen werden.

Darüber hinaus macht die DORA Vorgaben im Hinblick auf die vertraglichen Vereinbarungen zwischen Finanzunternehmen und deren IKT-Drittanbietern. Die Vorgaben sind nach Kritikalität des IKT-Drittanbieters gestaffelt. Weitreichende Vorgaben, wie beispielsweise ein vor Ort Inspektionsrecht, gelten nur dann, wenn der IKT-Drittanbieter eine kritische Funktion erfüllt.

Im Herbst 2022 werden das EU-Parlament und der Rat den Text offiziell annehmen. Anschließend wird die DORA im Amtsblatt veröffentlicht. 24 Monate später, also ab Ende 2024 wird die DORA dann in der gesamten EU gelten.

Quelle: DATEV eG Informationsbüro Brüssel