IT-Sicherheit - 26. November 2021

Rat einigt sich auf Verhandlungsmandat zur DORA

DATEV Informationsbüro Brüssel, Mitteilung vom 26.11.2021

Der Rat der EU hat am 24.11.2021 sein Mandat für die Verhandlungen mit dem EU-Parlament zur DORA (Digital Operation Resilience Act) beschlossen. Die DORA wurde am 24.09.2020 als Teil des Digital Finance Packages von der EU-Kommission vorgestellt. Der Verordnungsentwurf ist ein Lex specialis zur NIS-Richtlinie und regelt die IT-Sicherheit für Finanzunternehmen und deren IKT-Drittanbieter.

Folgende relevante Änderungen sieht die Ratsposition im Vergleich zum Kommissionsentwurf vor:

  • Abschlussprüfer und Prüfungsgesellschaften werden nicht mehr als Finanzunternehmen i. S. d. DORA aufgelistet, sie sind also nicht mehr im Anwendungsbereich.
  • Im Kommissionsentwurf waren Zahlungsinstitute, jedoch mit Ausnahme der Kontoinformationsdienste, enthalten. Die Ausnahme für die Kontoinformationsdienste ist nun nicht mehr gegeben und sie sind explizit im Anwendungsbereich aufgezählt.
  • Der Ratsentwurf sieht vor, dass die in der DORA vorgegebenen vertraglichen Vereinbarungen zwischen Finanzunternehmen und IKT-Drittanbietern nur für IKT-Drittanbieter mit kritischen oder wichtigen Funktionen gelten.

Weiterer Verlauf

Der federführende Ausschuss ECON wird voraussichtlich am 01.12.2021 über die Parlamentsposition zur DORA abstimmen. Im neuen Jahr werden dann die Trilogverhandlungen über den finalen Gesetzestext starten. Es ist davon auszugehen, dass bis zum Sommer eine Einigung erzielt wird. Wann die DORA ihre Geltung entfaltet, ist noch ein kritischer Punkt. Die Kommission hat sich für eine 12-monatige und der Rat für eine 24-monatige Frist ausgesprochen.

Quelle: DATEV eG Informationsbüro Brüssel