Source: OJ L 333, 27.12.2022, pp. 153–163Current language: DE
DORA directive
RICHTLINIE (EU) 2022/2556 DES EUROPÄISCHEN PARLAMENTS UND DES RATES
vom 14. Dezember 2022
zur Änderung der Richtlinien 2009/65/EG, 2009/138/EG, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 und (EU) 2016/2341 hinsichtlich der digitalen operationalen Resilienz im Finanzsektor
DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION —
gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 53 Absatz 1 und Artikel 114,
auf Vorschlag der Europäischen Kommission,
nach Zuleitung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente,
nach Stellungnahme der Europäischen Zentralbank(1),
nach Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses(2),
gemäß dem ordentlichen Gesetzgebungsverfahren(3),
in Erwägung nachstehender Gründe:
Erwägungsgrund 1Digital risks in financial services
Die Union muss den digitalen Risiken, die sich aus dem verstärkten Einsatz von Informations- und Kommunikationstechnologien (IKT) bei der Bereitstellung und Nutzung von Finanzdienstleistungen ergeben und sämtliche Finanzunternehmen betreffen, angemessen und umfassend begegnen und damit ihren Beitrag zur Realisierung des Potenzials des digitalen Finanzwesens leisten, indem Innovationen vorangetrieben werden und der Wettbewerb in einem sicheren digitalen Umfeld gefördert wird.
Erwägungsgrund 2 ICT risks of breakthrough technologies
Finanzunternehmen sind in ihrem Geschäftsalltag sehr stark auf die Nutzung digitaler Technologien angewiesen. Es ist daher von größter Bedeutung, die operationale Resilienz ihres digitalen Betriebs gegenüber IKT-Risiken sicherzustellen. Dies ist angesichts der Zunahme von bahnbrechenden Technologien am Markt — insbesondere Technologien, die die digitale Darstellung von Werten oder Rechten, die mittels Distributed-Ledger- oder ähnlicher Technologie (Kryptowerte) gespeichert werden, ermöglichen — sowie von Dienstleistungen im Zusammenhang mit Kryptowerten dringender geworden.
Erwägungsgrund 3Amended directives
Auf Unionsebene enthalten derzeit die Richtlinien 2009/65/EG(4), 2009/138/EG(5), 2011/61/EU(6), 2013/36/EU(7), 2014/59/EU(8), 2014/65/EU(9), (EU) 2015/2366(10) und (EU) 2016/2341(11) des Europäischen Parlaments und des Rates die Bestimmungen zum Management von IKT-Risiken im Finanzsektor.
Diese Bestimmungen sind uneinheitlich und stellenweise lückenhaft. Das IKT-Risiko wird in einigen Fällen nur implizit als Teil des operationellen Risikos behandelt, während es in anderen Fällen überhaupt nicht behandelt wird. Diese Probleme werden durch die Annahme der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates(12) behoben. Um die Kohärenz mit der genannten Verordnung zu gewährleisten, sollten die genannten Richtlinien daher geändert werden. Durch die vorliegende Richtlinie werden eine Reihe von Änderungen vorgenommen, die erforderlich sind, um für Rechtsklarheit und Kohärenz bei der durch die gemäß den genannten Richtlinien zugelassenen und beaufsichtigten Finanzunternehmen erfolgende Anwendung von unterschiedlichen Anforderungen an die digitale operationale Resilienz, die für die Ausführung ihrer unternehmerischer Tätigkeiten und für die Erbringung von Dienstleistungen erforderlich sind, zu sorgen, wodurch das reibungslose Funktionieren des Binnenmarkts gewährleistet wird. Es ist erforderlich, dafür zu sorgen, dass diese Anforderungen in Bezug auf die Marktentwicklungen angemessen sind, und zugleich die Verhältnismäßigkeit — insbesondere in Bezug auf die Größe von Finanzunternehmen und die besonderen für sie geltenden Regelungen — mit dem Ziel zu fördern, die Befolgungskosten zu senken.
Erwägungsgrund 4Amendments to the capital requirements directive
Im Bereich der Bankdienstleistungen enthält die Richtlinie 2013/36/EU derzeit nur allgemeine interne Governance-Vorschriften und Bestimmungen für operationelle Risiken, einschließlich Anforderungen an Notfallpläne und Geschäftsfortführungspläne, die implizit als Grundlage zum Angehen von IKT-Risiken dienen. Um IKT-Risiken explizit und klar anzugehen, sollten jedoch die Anforderungen an Notfallpläne und Geschäftsfortführungspläne im Einklang mit den Anforderungen der Verordnung (EU) 2022/2554 geändert werden, damit auch Geschäftsfortführungspläne und Reaktions- und Wiederherstellungspläne betreffend IKT-Risiken aufgenommen werden. Ferner werden IKT-Risiken im aufsichtlichen Überprüfungs- und Bewertungsprozess (Supervisory Review and Evaluation Process, SREP), der von den zuständigen Behörden durchgeführt wird, nur als Teil des operationellen Risikos implizit berücksichtigt, und die betreffenden Bewertungskriterien sind derzeit in den von der Europäischen Aufsichtsbehörde (Europäische Bankenaufsichtsbehörde, EBA) herausgegebenen Leitlinien für die IKT-Risikobewertung im Rahmen des aufsichtlichen Überprüfungs- und Bewertungsprozesses (Supervisory Review and Evaluation process — SREP) festgelegt, die durch die Verordnung (EU) Nr. 1093/2010 des Europäischen Parlaments und des Rates(13) eingerichtet wurden. Um Rechtsklarheit zu schaffen und sicherzustellen, dass die Bankenaufsichtsbehörden die IKT-Risiken gemäß dem neuen Rahmen für digitale operationale Resilienz wirksam ermitteln und deren Management durch Finanzunternehmen überwachen, sollte der Anwendungsbereich des SREP auch dahingehend geändert werden, dass die in der Verordnung (EU) 2022/2554 niedergelegten Vorgaben explizit genannt und insbesondere die Risiken abgedeckt werden, die durch Berichte über schwerwiegende IKT-bezogene Vorfälle und durch die Ergebnisse der von Finanzunternehmen im Einklang mit jener Verordnung durchgeführten Tests der digitalen operationalen Resilienz aufgedeckt werden.
Erwägungsgrund 5Amendments to the bank recovery and resolution directive (BRRD)
Die digitale operationale Resilienz ist unverzichtbar, um die kritischen Funktionen und Kerngeschäftsbereiche eines Finanzunternehmens im Falle seiner Abwicklung aufrechtzuerhalten und dadurch Störungen der Realwirtschaft und des Finanzsystems zu vermeiden. Größere betriebliche Vorfälle können die Fähigkeit eines Finanzunternehmens, den Betrieb aufrechtzuerhalten, beeinträchtigen und die Abwicklungsziele gefährden. Bestimmte vertragliche Vereinbarungen betreffend die Nutzung von IKT-Dienstleistungen sind unverzichtbar, um die Aufrechterhaltung des Betriebs sicherzustellen und im Falle der Abwicklung die erforderlichen Daten bereitzustellen. Um die Richtlinie 2014/59/EU mit den Zielen des Unionsrahmens für die operationale Resilienz in Einklang zu bringen, sollte sie entsprechend geändert werden, damit sichergestellt ist, dass Informationen über die operationale Resilienz im Zusammenhang mit der Abwicklungsplanung und der Bewertung der Abwicklungsfähigkeit von Finanzunternehmen berücksichtigt werden.
Erwägungsgrund 6Amendments to the markets in financial instruments directive (MiFID II)
Nach der Richtlinie 2014/65/EU gelten strengere IKT-Risikovorschriften für Wertpapierfirmen und Handelsplätze, die algorithmischen Handel betreiben. Weniger detaillierte Vorschriften gelten für Datenbereitstellungsdienstleistungen und Transaktionsregister. Außerdem enthält die Richtlinie 2014/65/EU nur wenige Verweise auf Kontroll- und Sicherungsvorkehrungen für Informationsverarbeitungssysteme sowie auf die Nutzung geeigneter Systeme, Ressourcen und Verfahren, um die Kontinuität und Ordnungsmäßigkeit von Dienstleistungen zu gewährleisten. Des Weiteren sollte die genannte Richtlinie in Bezug auf Kontinuität und Ordnungsmäßigkeit bei der Erbringung von Wertpapierdienstleistungen sowie bei der Ausübung von Anlagetätigkeiten, der operationalen Resilienz, der Kapazität von Handelssystemen sowie der Wirksamkeit der Vorkehrungen zur Fortführung der Geschäftstätigkeit und des Risikomanagements mit der Verordnung (EU) 2022/2554 in Einklang gebracht werden.
Erwägungsgrund 7Amendments to the payment service directive (PSD 2)
Die Richtlinie (EU) 2015/2366 enthält spezifische Vorschriften für IKT-Sicherheitskontrollen und Risikominderungsmaßnahmen für die Zwecke der Erteilung einer Zulassung für die Erbringung von Zahlungsdiensten. Diese Zulassungsvorschriften sollten geändert werden, um sie an die Verordnung (EU) 2022/2554 anzugleichen. Darüber hinaus sollten zur Verringerung des Verwaltungsaufwands und zur Vermeidung von Komplexität und doppelten Meldepflichten die Vorschriften für die Meldung von Sicherheitsvorfällen gemäß der Richtlinie (EU) 2015/2366 keine Anwendung auf Zahlungsdienstleister mehr finden, die jener Richtlinie und der Verordnung (EU) 2022/2554 unterliegen, um ihnen den Vorteil eines einheitlichen und vollständig harmonisierten Mechanismus für die Meldung von Vorfällen in Bezug auf alle betrieblichen Vorfälle oder zahlungsbezogene Sicherheitsvorfälle — unabhängig davon, ob ein IKT-Bezug besteht — zu ermöglichen.
Erwägungsgrund 8Amendments to the UCITS and AIFM directives
Die Richtlinien 2009/138/EG und (EU) 2016/2341 decken IKT-Risiken teilweise in ihren allgemeinen Bestimmungen über Governance und Risikomanagement ab, wobei bestimmte Anforderungen durch delegierte Rechtsakte mit oder ohne spezifische Verweise auf IKT-Risiken festgelegt werden können. Ebenso gelten für Verwalter alternativer Investmentfonds, die der Richtlinie 2011/61/EU unterliegen, und Verwaltungsgesellschaften, die der Richtlinie 2009/65/EG unterliegen, nur sehr allgemeine Vorschriften. Diese Richtlinien sollten daher an die Anforderungen für die Verwaltung von IKT-Systemen und -Tools der Verordnung (EU) 2022/2554 angeglichen werden.
Erwägungsgrund 9Removal of ESAs empowerments on ICT risk from certain legislative acts
In vielen Fällen wurden weitere IKT-Risikoanforderungen bereits in delegierten Rechtsakten und Durchführungsrechtsakten festgelegt, die basierend auf von der zuständigen Europäischen Aufsichtsbehörde ausgearbeiteten Entwürfen technischer Regulierungs- und Durchführungsstandards angenommen wurden. Da die Bestimmungen der Verordnung (EU) 2022/2554 künftig den Rechtsrahmen für IKT-Risiken im Finanzsektor bilden, sollten bestimmte Ermächtigungen zum Erlass von delegierten Rechtsakten und Durchführungsrechtsakten in den Richtlinien 2009/65/EG, 2009/138/EG, 2011/61/EU und 2014/65/EU geändert werden, um die Bestimmungen zu IKT-Risiken vom Geltungsbereich dieser Ermächtigungen auszuschließen.
Erwägungsgrund 10Transposal into national law by applicability of DORA
Um eine kohärente Anwendung des neuen Rahmens für digitale operationale Resilienz im Finanzsektor zu gewährleisten, sollten die Mitgliedstaaten die nationalen Rechtsvorschriften zur Umsetzung der vorliegenden Richtlinie ab dem Geltungsbeginn der Verordnung (EU) 2022/2554 anwenden.
Erwägungsgrund 11The Treaty on the Functioning of the European Union
Die Richtlinien 2009/65/EG, 2009/138/EG, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 und (EU) 2016/2341 wurden auf der Grundlage von Artikel 53 Absatz 1 oder Artikel 114 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) oder beiden angenommen. Der Gegenstand und die Ziele der in der vorliegenden Richtlinie enthaltenen Änderungen sind miteinander verflochten und wurden daher in einem einzigen Rechtsakt zusammengefasst. Diese Richtlinie sollte daher auf der Grundlage von Artikel 53 Absatz 1 und Artikel 114 AEUV angenommen werden.
Erwägungsgrund 12Subsidiarity and proportionality
Da die Ziele dieser Richtlinie von den Mitgliedstaaten nicht ausreichend verwirklicht werden können, da sie die Harmonisierung von bereits in Richtlinien enthaltenen Anforderungen beinhalten, sondern vielmehr wegen des Umfangs und der Wirkungen der Maßnahme auf Unionsebene besser zu verwirklichen sind, kann die Union im Einklang mit dem in Artikel 5 des Vertrags über die Europäische Union verankerten Subsidiaritätsprinzip tätig werden. Entsprechend dem in demselben Artikel genannten Grundsatz der Verhältnismäßigkeit geht diese Richtlinie nicht über das für die Verwirklichung dieser Ziele erforderliche Maß hinaus.
Erwägungsgrund 13Notification of transposition measures
Gemäß der Gemeinsamen Politischen Erklärung der Mitgliedstaaten und der Kommission zu erläuternden Dokumenten(14) vom 28. September 2011 haben sich die Mitgliedstaaten verpflichtet, in begründeten Fällen zusätzlich zur Mitteilung ihrer Umsetzungsmaßnahmen ein oder mehrere Dokumente zu übermitteln, in denen der Zusammenhang zwischen den Bestandteilen einer Richtlinie und den entsprechenden Teilen nationaler Umsetzungsinstrumente erläutert wird. Für diese Richtlinie hält der Gesetzgeber die Übermittlung derartiger Dokumente für gerechtfertigt —
HABEN FOLGENDE RICHTLINIE ERLASSEN:
- Artikel 1Änderungen der Richtlinie 2009/65/EG
- Artikel 2Änderungen der Richtlinie 2009/138/EG
- Artikel 3Änderung der Richtlinie 2011/61/EU
- Artikel 4Änderungen der Richtlinie 2013/36/EU
- Artikel 5Änderungen der Richtlinie 2014/59/EU
- Artikel 6Änderungen der Richtlinie 2014/65/EU
- Artikel 7Änderungen der Richtlinie (EU) 2015/2366
- Artikel 8Änderung der Richtlinie (EU) 2016/2341
- Artikel 9Umsetzung
- Artikel 10Inkrafttreten
- Artikel 11Adressaten
Geschehen zu Straßburg am 14. Dezember 2022.
Im Namen des Europäischen Parlaments
Die Präsidentin
R. METSOLA
Im Namen des Rates
Der Präsident
M. BEK
Definition
digitale operationale Resilienz
(En. digital operational resilience)
Definition
Verwalter alternativer Investmentfonds
(En. manager of alternative investment funds)
Definition
Netzwerk- und Informationssystem
(En. network and information system)
Definition
IKT-Drittdienstleister
(En. ICT third-party service provider)
Definition
Verwaltungsgesellschaft
(En. management company)
Definition
IKT-Dienstleistungen
(En. ICT services)
Definition
Transaktionsregister
(En. trade repository)
Definition
IKT-Risiko
(En. ICT risk)
Footnote 1
Footnote 3
Footnote 2
Footnote 14
Footnote 11
Footnote 4
Footnote 12
Footnote 10
Footnote 6
Footnote 5
Footnote 9
Footnote 13
Footnote 7
Footnote 8