Die Brüsseler Institutionen haben sich nach monatelangen Verhandlungen auf die Verordnung zur IT-Sicherheit im Finanzsektor, den Digital Operational Resilience Act (Dora), geeinigt. Europäische Kommission, Rat der EU und Europäisches Parlament hatten die Trilog-Verhandlungen am 25. Januar aufgenommen. Dora verpflichtet die meisten Finanzunternehmen in der Europäischen Union zu Präventionsmaßnahmen gegen mögliche IT-Störungen und Cyberattacken und zu Vorkehrungen, um den Betrieb auch bei schweren Störungen aufrechtzuerhalten. Es harmonisiert darüber hinaus unter anderem auch Regeln für das IT-Risikomanagement und die Überwachung von kritischen IT-Drittdienstleistern und regelt Meldepflichten im Fall von schweren IT-Vorfällen (vgl. BZ vom 2. Februar).

Kritische IT-Dienstleister aus Drittländern, die für Finanzunternehmen in der EU tätig sind, müssen eine Tochtergesellschaft in der EU gründen, um eine ordentliche Aufsicht zu gewährleisten, teilte der Rat am Mittwoch mit. Zu den kritischen IT-Drittdienstleistern zählen beispielsweise Cloud-Computing-Anbieter.

Mit der Einigung würden hohe einheitliche Mindeststandards für die Cybersicherheit im Finanzwesen auf den Weg gebracht, sagte der wirtschaftspolitische Sprecher der EVP-Fraktion im Europaparlament, Markus Ferber, einer Mitteilung zufolge. „Je stärker die Digitalisierung des Finanzsektors voranschreitet, desto höher sind die Erwartungen an die Cybersicherheit. Mit dem erhöhten Risiko russischer Hackerangriffe hat das Thema Cybersicherheit eine neue Dimension gewonnen.“