Source: OJ L 333, 27.12.2022, p. 1–79Current language: DE
- Digital operational resilience in the financial sector
Basic legislative acts
- DORA regulation
Artikel 5 Governance und Organisation
Summary What does Article 5 of the DORA regulation say?
This key foundational article sets the main objective of the regulation, to have in place an internal governance and control framework regarding ICT risk, and that the management body of the financial entity is responsible for this.
It goes on to detail various responsibilities of the management body: oversight, regular reviews and approval of policies, keeping its knowledge up to date, and the setting up of appropriate roles and reporting channels.
The article also connects directly to Article 6, which establishes the ICT risk management framework that the management body is tasked with overseeing here.
Important points:
- Implement an internal governance and control framework for ICT risk.
- All responsibility for this stems from the management body, which bears ultimate accountability for ICT risk management.
- Financial entities other than microenterprises must establish a dedicated role or designate a senior management member to oversee arrangements with ICT third-party service providers.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Finanzunternehmen verfügen über einen internen Governance- und Kontrollrahmen, der im Einklang mit Artikel 6 Absatz 4 ein wirksames und umsichtiges Management von IKT-Risiken gewährleistet, um ein hohes Niveau an digitaler operationaler Resilienz zu erreichen.
Das Leitungsorgan des Finanzunternehmens definiert, genehmigt, überwacht und verantwortet die Umsetzung aller Vorkehrungen im Zusammenhang mit dem IKT-Risikomanagementrahmen nach Artikel 6 Absatz 1.
Für die Zwecke von Unterabsatz 1 gilt Folgendes:
Das Leitungsorgan trägt die letztendliche Verantwortung für das Management der IKT-Risiken des Finanzunternehmens;
das Leitungsorgan führt Leitlinien ein, die darauf abzielen, hohe Standards in Bezug auf die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten aufrechtzuerhalten;
das Leitungsorgan legt klare Aufgaben und Verantwortlichkeiten für alle IKT-bezogenen Funktionen sowie angemessene Governance-Regelungen fest, um eine wirksame und rechtzeitige Kommunikation, Zusammenarbeit und Koordinierung zwischen diesen Funktionen zu gewährleisten;
das Leitungsorgan trägt die Gesamtverantwortung für die Festlegung und Genehmigung der Strategie für die digitale operationale Resilienz gemäß Artikel 6 Absatz 8, einschließlich der Festlegung der angemessenen Toleranzschwelle für das IKT-Risiko des Finanzunternehmens gemäß Artikel 6 Absatz 8 Buchstabe b;
das Leitungsorgan genehmigt, überwacht und überprüft regelmäßig die Umsetzung der in Artikel 11 Absatz 1 genannten IKT-Geschäftsfortführungsleitlinie und der in Artikel 11 Absatz 3 genannten IKT-Reaktions- und Wiederherstellungspläne, die als eigenständige spezielle Leitlinie, die integraler Bestandteil der allgemeinen Geschäftsfortführungsleitlinie des Finanzunternehmens und seines Reaktions- und Wiederherstellungsplans ist, verabschiedet werden können;
das Leitungsorgan genehmigt und überprüft regelmäßig die internen IKT-Revisionspläne des Finanzunternehmens, die IKT-Revision und die daran vorgenommenen wesentlichen Änderungen;
das Leitungsorgan weist angemessene Budgetmittel zu und überprüft diese regelmäßig, um den Anforderungen des Finanzunternehmens an die digitale operationale Resilienz in Bezug auf alle Arten von Ressourcen gerecht zu werden, einschließlich einschlägiger Programme zur Sensibilisierung für IKT-Sicherheit und Schulungen zur digitalen operationalen Resilienz nach Artikel 13 Absatz 6 sowie IKT-Kompetenzen für alle Mitarbeiter;
das Leitungsorgan genehmigt und überprüft regelmäßig die Leitlinie des Finanzunternehmens in Bezug auf Vereinbarungen über die Nutzung von IKT-Dienstleistungen, die von IKT-Drittdienstleistern bereitgestellt werden;
das Leitungsorgan richtet auf Unternehmensebene Meldekanäle ein, die es ihm ermöglichen, ordnungsgemäß über Folgendes informiert zu werden:
mit IKT-Drittdienstleistern geschlossene Vereinbarungen über die Nutzung von IKT-Dienstleistungen,
alle relevanten geplanten wesentlichen Änderungen in Bezug auf die IKT-Drittdienstleister,
die potenziellen Auswirkungen derartiger Änderungen auf die kritischen oder wichtigen Funktionen, die Gegenstand dieser Vereinbarungen sind, einschließlich einer Zusammenfassung der Risikoanalyse, um die Auswirkungen dieser Änderungen zu bewerten, und zumindest über schwerwiegende IKT-bezogene Vorfälle und deren Auswirkungen sowie über Gegen-, Wiederherstellungs- und Korrekturmaßnahmen.
Finanzunternehmen, bei denen es sich nicht um Kleinstunternehmen handelt, richten eine Funktion ein, um die mit IKT-Drittdienstleistern über die Nutzung von IKT-Dienstleistungen geschlossenen Vereinbarungen zu überwachen, oder benennen ein Mitglied der Geschäftsleitung, das für die Überwachung der damit verbundenen Risikoexposition und die einschlägige Dokumentation verantwortlich ist.
Die Mitglieder des Leitungsorgans des Finanzunternehmens halten ausreichende Kenntnisse und Fähigkeiten aktiv auf dem neuesten Stand — unter anderem indem sie regelmäßig spezielle Schulungen absolvieren — entsprechend den zu managenden IKT-Risiken, um die IKT-Risiken und deren Auswirkungen auf die Geschäftstätigkeit des Finanzunternehmens verstehen und bewerten können.
Relevant recitals
Erwägungsgrund 38 Complex governance arrangements for non-micro financial entities
Da größere Finanzunternehmen unter Umständen über umfangreichere Ressourcen verfügen und rasch Mittel für die Einrichtung von Governance-Strukturen und die Einführung verschiedener Unternehmensstrategien bereitstellen könnten, sollten nur Finanzunternehmen, die keine Kleinstunternehmen im Sinne dieser Verordnung sind, verpflichtet werden, komplexere Governance-Regelungen einzuführen. Diese Unternehmen sind besser gerüstet, um insbesondere spezielle Managementfunktionen für die Überwachung von Vereinbarungen mit IKT-Drittdienstleistern oder für den Umgang mit dem Krisenmanagement einzurichten, ihr IKT-Risikomanagement nach dem Modell der drei Verteidigungslinien zu strukturieren oder ein internes Modell für Risikomanagement und Kontrolle einzuführen und ihren IKT-Risikomanagementrahmen internen Revisionen zu unterziehen.
Erwägungsgrund 45 Management bodies' role in ICT risk management
Um die vollständige Abstimmung und allgemeine Kohärenz zwischen den Geschäftsstrategien der Finanzunternehmen einerseits und der Durchführung des IKT-Risikomanagements andererseits zu gewährleisten, sollten die Leitungsorgane der Finanzunternehmen verpflichtet sein, beim Management und bei der Anpassung des IKT-Risikomanagementrahmens und der Gesamtstrategie für die digitale operationale Resilienz eine zentrale und aktive Rolle zu bewahren. Der von den Leitungsorganen heranzuziehende Ansatz sollte sich nicht nur auf die Mittel zur Gewährleistung der Resilienz der IKT-Systeme konzentrieren, sondern auch Menschen und Prozesse durch eine Reihe von Leit- und Richtlinien einbeziehen, die auf jeder Unternehmensebene und bei allen Mitarbeitern ein starkes Bewusstsein für Cyberrisiken und die Verpflichtung zur Einhaltung einer strengen Cyberhygiene auf allen Ebenen hervorrufen. Die letztliche Verantwortung des Leitungsorgans für das Management des IKT-Risikos eines Finanzunternehmens sollte in einem übergeordneten Prinzip dieses umfassenden Ansatzes bestehen, das sich weiter im kontinuierlichen Engagement des Leitungsorgans bei der Kontrolle der Überwachung des IKT-Risikomanagements niederschlägt.
Erwägungsgrund 46 Management body's responsibility for ICT-related investments
Darüber hinaus geht der Grundsatz der uneingeschränkten und letztlichen Verantwortung des Leitungsorgans für das Management der IKT-Risiken des Finanzunternehmens mit der Notwendigkeit einher, einen bestimmten Umfang von IKT-Investitionen und ein Gesamtbudget sicherzustellen, die das Finanzunternehmen in die Lage versetzen, ein hohes Niveau an digitaler operationaler Resilienz zu erreichen.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
digitale operationale Resilienz
(En. digital operational resilience)
Definition
kritische oder wichtige Funktion
(En. critical or important function)
Definition
Handelsplatz
(En. trading venue)
Definition
Netzwerk- und Informationssystem
(En. network and information system)
Definition
Leitungsorgan
(En. management body)
Definition
IKT-Drittdienstleister
(En. ICT third-party service provider)
Definition
zentrale Gegenpartei
(En. central counterparty)
Definition
Kleinstunternehmen
(En. microenterprise)
Definition
IKT-Dienstleistungen
(En. ICT services)
Definition
Transaktionsregister
(En. trade repository)
Definition
IKT-Risiko
(En. ICT risk)
Definition
Zentralverwahrer
(En. central securities depository)