Wie wird DORA durchgesetzt?
Nach einer zweijährigen Übergangsfrist ist der Digital Operational Resilience Act ab Januar 2025 vollständig durchsetzbar. Die jeweiligen Regulierungsbehörden in jedem EU-Mitgliedstaat sind dafür zuständig, die Anforderungen von DORA durchzusetzen. Diese Behörden sind befugt, die Einhaltung der Vorschriften zu überwachen und Strafen gegen Finanzunternehmen zu verhängen, die die Standards der Verordnung nicht einhalten.
Regulierungsaufsicht: Die Aufsichtsbehörden überwachen die Einhaltung der DORA-Anforderungen durch Finanzinstitute, einschließlich IKT-Risikomanagement, Vorfallberichterstattung, Resilienzstests und Risikomanagementpraktiken Dritter.
Strafen bei Nichteinhaltung: Die Behörden können Finanzinstituten, die DORA-Standards nicht einhalten, erhebliche Strafen auferlegen. Diese Strafen können Verwaltungsstrafen von bis zu 1 % des gesamten Jahresumsatzes des Unternehmens sowie andere Maßnahmen wie öffentliche Rügen oder sogar den Entzug der Betriebsgenehmigung des Unternehmens umfassen.
Anleitung und Koordinierung: Regulierungsbehörden stellen jedoch auch Leitlinien und Best Practices bereit, um Finanzunternehmen bei der Einhaltung von DORA zu unterstützen. In der gesamten EU sollen einheitliche Aufsichtspraktiken gelten, um gleiche Wettbewerbsbedingungen zu gewährleisten.
Aufsicht über kritische Dritte: DORA führt einen neuen Rahmen für die Überwachung kritischer IKT-Drittanbieter ein, die den Finanzsektor unterstützen. Diese Anbieter werden der direkten Aufsicht der ESAs unterliegen, um die Risiken zu bewältigen, die sie für Finanzunternehmen darstellen.
Durch die Ermächtigung der Regulierungsbehörden, die Einhaltung genau zu überwachen und erhebliche Strafen zu verhängen, möchte DORA sicherstellen, dass Finanzinstitute in der EU alle notwendigen Schritte unternehmen, um die Regulierungsstandards von DORA einzuhalten.