Zum Inhalt springen
Resilience Platform Resilience Platform

DORA · Titel VIII

Aufsicht, Sanktionen & Rechtsrahmen

Art. 43-54: Zuständige Behörden, Verwaltungssanktionen, Bußgelder, Übergangsbestimmungen und delegierte Rechtsakte.

Hinweis: Dieses Modul fasst die aufsichtsrechtlichen und sanktionsrechtlichen Bestimmungen der DORA (Titel VIII) zusammen. Es dient der Information und ersetzt keine Rechtsberatung.

Zuständige Behörden (Art. 43)

Die Mitgliedstaaten benennen die zuständigen Behörden für die Durchsetzung der DORA. Diese verfügen über umfassende Aufsichts-, Untersuchungs- und Sanktionsbefugnisse.

  • • BaFin (Deutschland) — federführend für IKT-Risikomanagement, Incident Reporting, Testing
  • • Deutsche Bundesbank — IT-Supervision, kontinuierliche Prüfungen
  • • EBA, EIOPA, ESMA (ESAs) — CTPP Oversight, Leitlinien, RTS/ITS
  • • Gemeinsamer Ausschuss der ESAs — Koordination, Standards, Zusammenarbeit

Berufsgeheimnis (Art. 44)

Alle Informationen, die im Rahmen der Aufsichtstätigkeit ausgetauscht werden, unterliegen der beruflichen Verschwiegenheit. Dies gilt insbesondere für:

  • • Meldungen über IKT-Vorfälle (Art. 17-22)
  • • Ergebnisse von TLPT und Resilienztests (Art. 24-27)
  • • CTPP Oversight-Informationen (Art. 34-42)
  • • Informationsaustausch zwischen Behörden (Art. 43)

Verwaltungssanktionen und Bußgelder (Art. 45-47)

Verstoß Sanktion Max. Bußgeld (juristische Person) Max. Bußgeld (natürliche Person)
IKT-Risikomanagement (Art. 5-16)Öffentliche Bekanntgabe, Bußgeld2 % des Jahresnettoumsatzes1 Mio. €
Incident Reporting (Art. 17-23)Bußgeld, Auflagen1 % des Jahresnettoumsatzes500.000 €
Resilienztests (Art. 24-27)Auflagen, Bußgeld1 % des Jahresnettoumsatzes500.000 €
IKT-Drittparteienrisiko (Art. 28-30)Bußgeld, Vertragsauflagen1 % des Jahresnettoumsatzes500.000 €
CTPP Oversight (Art. 34-42)Bußgeld, Untersagung1 % des Jahresnettoumsatzes500.000 €
Meldeverstöße von Verstößen (Art. 47)Whistleblower-Schutz

Die tatsächlichen Sanktionen variieren je nach Mitgliedstaat und Umsetzung in nationales Recht. Die genannten Beträge sind die gesetzlichen Höchstgrenzen nach DORA.

Ausübung der Befugnisübertragung (Art. 48)

Der Kommission wurde die Befugnis übertragen, delegierte Rechtsakte (RTS) und technische Durchführungsstandards (ITS) zu erlassen. Die Befugnis gilt für 5 Jahre ab 16. Januar 2023 und verlängert sich stillschweigend. Das Europäische Parlament oder der Rat können die Befugnisübertragung jederzeit widerrufen.

Umsetzung und Überprüfung (Art. 49-50)

Die ESAs überprüfen die Anwendung der DOLA bis zum 17. Juli 2028 und legen dem Europäischen Parlament einen Bericht vor. Die wichtigsten Meilensteine:

  • • 16. Januar 2023 — Inkrafttreten der DORA
  • • 17. Januar 2025 — Anwendbarkeit (Go-Live)
  • • 2026 — Erste CTPP-Benennungen durch ESAs
  • • 2028 — ESAs-Überprüfungsbericht

Übergangsbestimmungen (Art. 51)

Für IKT-Drittdienstleister, die vor dem 17. Januar 2025 Verträge abgeschlossen haben, gilt eine Übergangsfrist von 2 Jahren (bis 17. Januar 2027). Betroffene Verträge müssen bis dahin an die DORA-Anforderungen angepasst werden.

Änderungen an Rechtsakten & Inkrafttreten (Art. 52-54)

DORA ändert bestehende EU-Rechtsakte (u.a. Verordnung (EU) Nr. 600/2014, (EU) Nr. 909/2014, (EU) 2016/1011). Die Verordnung gilt unmittelbar in allen Mitgliedstaaten und richtet sich an alle Finanzunternehmen gemäß Art. 2.

Quick Links

→ Timeline → Überblick → Article Navigator → CTPP Oversight