DORA | Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011 (Text von Bedeutung für den EWR)

64 Vorschriften · Europäische Union · täglich aktualisiert

KAPITEL I — Allgemeine Bestimmungen

Artikel 1 — GegenstandArtikel 2 — GeltungsbereichArtikel 3 — BegriffsbestimmungenArtikel 4 — Grundsatz der Verhältnismäßigkeit

KAPITEL II — IKT-Risikomanagement

Abschnitt I

Artikel 5 — Governance und Organisation

Abschnitt II

Artikel 6 — IKT-RisikomanagementrahmenArtikel 7 — IKT-Systeme, -Protokolle und -ToolsArtikel 8 — IdentifizierungArtikel 9 — Schutz und PräventionArtikel 10 — ErkennungArtikel 11 — Reaktion und WiederherstellungArtikel 12 — Richtlinie und Verfahren zum Backup sowie Verfahren und Methoden zur Wiedergewinnung und WiederherstellungArtikel 13 — Lernprozesse und WeiterentwicklungArtikel 14 — KommunikationArtikel 15 — Weitere Harmonisierung von Tools, Methoden, Prozessen und Richtlinien für IKT-RisikomanagementArtikel 16 — Vereinfachter IKT-Risikomanagementrahmen

KAPITEL III — Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle

Artikel 17 — Prozess für die Behandlung IKT-bezogener VorfälleArtikel 18 — Klassifizierung von IKT-bezogenen Vorfällen und CyberbedrohungenArtikel 19 — Meldung schwerwiegender IKT-bezogener Vorfälle und freiwillige Meldung erheblicher CyberbedrohungenArtikel 20 — Harmonisierung von Inhalt und Vorlagen von MeldungenArtikel 21 — Zentralisierung der Berichterstattung über schwerwiegende IKT-bezogene VorfälleArtikel 22 — Rückmeldungen von AufsichtsbehördenArtikel 23 — Zahlungsbezogene Betriebs- oder Sicherheitsvorfälle, die Kreditinstitute, Zahlungsinstitute, Kontoinformationsdienstleister und E-Geld-Institute betreffen

KAPITEL IV — Testen der digitalen operationalen Resilienz

Artikel 24 — Allgemeine Anforderungen für das Testen der digitalen operationalen ResilienzArtikel 25 — Testen von IKT-Tools und -SystemenArtikel 26 — Erweiterte Tests von IKT-Tools, -Systemen und -Prozessen auf Basis von TLPTArtikel 27 — Anforderungen an Tester bezüglich der Durchführung von TLPT

KAPITEL V — Management des IKT-Drittparteienrisikos

Abschnitt I — Schlüsselprinzipien für ein solides Management des IKT-Drittparteienrisikos

Artikel 28 — Allgemeine PrinzipienArtikel 29 — Vorläufige Bewertung des IKT-Konzentrationsrisikos auf UnternehmensebeneArtikel 30 — Wesentliche Vertragsbestimmungen

Abschnitt II — Überwachungsrahmen für kritische IKT-Drittdienstleister

Artikel 31 — Einstufung kritischer IKT-DrittdienstleisterArtikel 32 — Struktur des ÜberwachungsrahmensArtikel 33 — Aufgaben der federführenden ÜberwachungsbehördeArtikel 34 — Operative Zusammenarbeit zwischen den federführenden ÜberwachungsbehördenArtikel 35 — Befugnisse der federführenden ÜberwachungsbehördeArtikel 36 — Ausübung der Befugnisse der federführenden Überwachungsbehörde außerhalb der UnionArtikel 37 — AuskunftsersuchenArtikel 38 — Allgemeine UntersuchungenArtikel 39 — InspektionenArtikel 40 — Laufende ÜberwachungArtikel 41 — Harmonisierung der Voraussetzungen für die Durchführung der ÜberwachungstätigkeitenArtikel 42 — Folgemaßnahmen zuständiger BehördenArtikel 43 — ÜberwachungsgebührenArtikel 44 — Internationale Zusammenarbeit

KAPITEL VI — Vereinbarungen über den Austausch von Informationen

Artikel 45 — Vereinbarungen über den Austausch von Informationen und Erkenntnissen zu Cyberbedrohungen

KAPITEL VII — Zuständige Behörden

Artikel 46 — Zuständige BehördenArtikel 47 — Zusammenarbeit mit den durch die Richtlinie (EU) 2022/2555 geschaffenen Strukturen und BehördenArtikel 48 — Zusammenarbeit der BehördenArtikel 49 — Sektorübergreifende Übungen, Kommunikation und Zusammenarbeit im FinanzbereichArtikel 50 — Verwaltungsrechtliche Sanktionen und AbhilfemaßnahmenArtikel 51 — Ausübung der Befugnis zur Auferlegung von verwaltungsrechtlichen Sanktionen und AbhilfemaßnahmenArtikel 52 — Strafrechtliche SanktionenArtikel 53 — MitteilungspflichtenArtikel 54 — Öffentliche Bekanntmachung verwaltungsrechtlicher SanktionenArtikel 55 — Wahrung des BerufsgeheimnissesArtikel 56 — Datenschutz

KAPITEL VIII — Delegierte Rechtsakte

Artikel 57 — Ausübung der Befugnisübertragung

KAPITEL IX — Übergangs- und Schlussbestimmungen

Abschnitt I

Artikel 58 — Überprüfungsklausel

Abschnitt II — Änderungen

Artikel 59 — Änderungen der Verordnung (EG) Nr. 1060/2009Artikel 60 — Änderungen der Verordnung (EU) Nr. 648/2012Artikel 61 — Änderungen der Verordnung (EU) Nr. 909/2014Artikel 62 — Änderungen der Verordnung (EU) Nr. 600/2014Artikel 63 — Änderungen der Verordnung (EU) 2016/1011Artikel 64 — Inkrafttreten und Anwendung