Dieser Artikel ist zuerst auf dem Fin Law Blog erschienen.
Ein wesentlicher Baustein der Cybersicherheitsstrategie der Europäischen Union ist die Verabschiedung des Digital Operational Resilience Act (DORA). Mit DORA soll die IT-Sicherheit in Unternehmen innerhalb der Union verbessert werden. Die EU-Kommission legte bereits im September 2020 einen Entwurf für das Regulierungsvorhaben vor, der mittlerweile auch durch den Rat der EU angenommen wurde. In den kommenden Monaten werden daher der Rat und das Europäische Parlament mit der EU-Kommission im Rahmen von Trilogverhandlungen über die endgültige Fassung des Entwurfs der DORA Verordnung verhandeln. Als EU-Verordnung wird DORA direkt und unmittelbar gegenüber den betroffenen Marktteilnehmern anwendbar sein. Diese sind in erster Linie Finanzunternehmen wie Banken und Versicherungsunternehmen, Wertpapierfirmen und Zahlungsinstitute. DORA soll nach dem aktuellen Vorschlag jedoch auch auf Anbieter von Krypto-Dienstleistungen, Emittenten von Kryptowerten und bestimmten sonstigen vermögenswerten Token Anwendung finden. Die Kryptobranche wird sich daher auf weitere Regulierungen ihrer Geschäftsmodelle einstellen müssen. Mit dem Inkrafttreten von DORA wird für das Jahr 2024 gerechnet.
Welche Pflichten wird DORA Unternehmen aufgeben?
DORA soll der Verbesserung der Widerstandsfähigkeit von Finanzunternehmen gegen externe Angriffe auf die IT und sonstige IT-Risiken dienen. Die stetig zunehmende Digitalisierung von Dienstleistungen in der Finanzbranche und der unbedingte Bedarf einer ständig funktionierenden IT in Finanzunternehmen rechtfertigen die Einführung einheitlicher Mindeststandards in der IT-Sicherheit für die gesamte Europäische Union. DORA wird betroffenen Unternehmen künftig die regelmäßige Teilnahme an IT-Stresstests auferlegen und spezifische Mindestanforderungen an den Umgang mit IT-Risiken und IT-Vorfällen sowie einheitliche Regeln für die Gestaltung des unternehmensinternen Risikomanagements festlegen. Häufig lagern Finanzunternehmen IT-Systeme und damit auch das IT-Sicherheitsmanagement an Drittanbieter aus. Auch solche sollen deshalb künftig die Vorgaben von DORA umsetzen müssen.
Inwieweit sind Kryptounternehmen von DORA betroffen?
IT-Sicherheitsaspekte sind im Bereich der Kryptodienstleistungen essenziell. Der Verlust oder die versehentliche Offenlegung beispielsweise von privaten Schlüsseln zu Kryptowerten von Kunden bedeuten für die Unternehmen der Kryptobranche üblicherweise das maximale Geschäftsrisiko. Aus diesem Grund sollen auch Krypto-Dienstleister und Token-Emittenten in den Anwendungsbereich von DORA einbezogen werden. Welche konkreten Unternehmen davon umfasst sein werden, wird sich aus der ebenfalls bislang nur im Entwurf vorliegenden Markets in Crypto Assets Verordnung (MiCAR) der Europäischen Union ergeben. Dort sollen Krypto-Dienstleister definiert werden als Anbieter etwa von Verwahrdienstleistungen in Bezug auf Kryptowerte für Dritte, von Kryptohandelsplattformen, sonstigen Kryptotauschservices, Beratungs- oder auch Vermittlungsleistungen in Bezug auf Kryptowerte. Auch die Emittenten von Kryptotoken sollen sich an die Vorgaben von DORA halten müssen, sofern ihre Token in irgendeiner Weise mit vermögenswerten Rechten für Token-Inhaber verknüpft sein sollen. Im Ergebnis wird der allergrößte Teil der Kryptobranche sich den neuen Anforderungen auseinandersetzen müssen. Die Branche wird dadurch zwar mit weiteren administrativen Pflichten belastet. DORA wird jedoch sicherlich zu einer weiteren und begrüßenswerten Professionalisierung der europäischen Kryptounternehmen beitragen.
