facebook
Alle anzeigen
Luxtoday
de
Gesponserter Inhalt: Dieser Inhalt wurde vom Sponsor bereitgestellt und spiegelt nicht die Ansichten des Redaktionsteams von Luxtoday wider.

Vergleich der DORA-Umsetzung in Luxemburg mit anderen EU-Mitgliedstaaten

Zuletzt aktualisiert
30.10.25
Finance and cybercecurity in Luxembourg

Während sich die Europäische Union auf die vollständige Umsetzung des Digital Operational Resilience Act (DORA) im Januar 2025 vorbereitet, rennen Finanzinstitute um die Wette, um die anspruchsvollen neuen Standards für IKT-Risikomanagement und -Resilienz zu erfüllen. Während die Verordnung darauf abzielt, die Cybersicherheit und die betrieblichen Sicherheitsvorkehrungen in ganz Europa zu harmonisieren, sieht der Weg zur Einhaltung der Vorschriften in den einzelnen Mitgliedsstaaten etwas anders aus. Unter ihnen sticht Luxemburg durch seinen proaktiven, koordinierten Ansatz hervor, der sowohl seine Größe als auch seinen Status als wichtiges europäisches Finanzzentrum widerspiegelt.

Luxemburgs proaktive Haltung

Luxemburgs Reaktion auf DORA war schnell und gut strukturiert. Obwohl die Verordnung direkt in der EU gilt, verabschiedete Luxemburg Mitte 2024 den Gesetzesentwurf 8291, um die nationale Finanz- und Versicherungsgesetzgebung an die Bestimmungen der DORA anzupassen. Dieser Schritt stellte sicher, dass die lokalen Vorschriften nicht nur die EU-Verordnung ergänzen, sondern auch die Zuständigkeiten der Aufsichtsbehörden klären.

Im Rahmen dieser Gesetzesaktualisierung erhielten die Commission de Surveillance du Secteur Financier (CSSF) und das Commissariat aux Assurances (CAA) erweiterte Aufsichtsbefugnisse - einschließlich der Möglichkeit, Inspektionen vor Ort durchzuführen, Daten anzufordern und Verwaltungssanktionen bei Nichteinhaltung zu verhängen. Nach Angaben von Arendt & Medernach wurde die Rechtsangleichung in Luxemburg Monate vor dem EU-weiten Anwendungsdatum der DORA am 17. Januar 2025 abgeschlossen.

Luxemburg profitiert auch von einem Vorsprung: Sein Finanzökosystem arbeitet seit langem unter fortschrittlichen IKT- und Outsourcing-Vorschriften. Die bestehenden Rundschreiben der CSSF zum Outsourcing, zur Meldung von Vorfällen und zum Risikomanagement wurden kontinuierlich aktualisiert, um sie an die fünf Säulen von DORA anzupassen - IKT-Risikomanagement, Meldung von Vorfällen, Tests, Aufsicht über Dritte und Informationsaustausch.

Für viele Unternehmen bedeutet DORA eine Evolution, keine Revolution. Doch wie KPMG Luxemburg betont, erfordert die Einhaltung der Vorschriften immer noch einen erheblichen kulturellen Wandel. Die Geschäftsleitung und die Vorstände sind nun direkt für die Sicherstellung der digitalen Resilienz verantwortlich und delegieren dies nicht nur an die IT-Teams.

Wie Luxemburg im Vergleich zu anderen EU-Mitgliedstaaten abschneidet

Obwohl es sich bei DORA um eine einheitliche EU-Verordnung handelt, zeigt sich bei der nationalen Umsetzung ein unterschiedlicher Grad an Bereitschaft. Ein Vergleich zwischen Luxemburg und größeren Nachbarländern wie Deutschland und Frankreich verdeutlicht die unterschiedliche Regulierungsdynamik in Europa.

Deutschland: Komplexe Rahmenwerke und Altsysteme

Die deutsche BaFin beaufsichtigt Tausende von Instituten, die von DORA betroffen sind. Das Land verfügte bereits über strenge IT-Risikorichtlinien in Form von Rahmenwerken wie BAIT (für Banken) und VAIT (für Versicherer). Diese nationalen Vorschriften müssen nun jedoch an den standardisierten Rahmen von DORA angepasst werden - ein Prozess, der laut BaFin Zeit in Anspruch nehmen wird.

Aufgrund der Größe und der föderalen Struktur Deutschlands ist die Koordinierung zwischen den Regulierungsbehörden und Institutionen komplexer als in Luxemburg. Die Harmonisierung der sich überschneidenden Vorschriften und Aufsichtsebenen bleibt eine ständige Herausforderung.

Frankreich: Breiter Geltungsbereich und behördenübergreifende Beaufsichtigung

In Frankreich teilen sich die Autorité des Marchés Financiers (AMF) und die Autorité de Contrôle Prudentiel et de Résolution (ACPR) die Aufsicht. Die AMF hat den Schwerpunkt auf sektorweite Bereitschafts- und Schulungsprogramme gelegt, die sich auf die praktischen Auswirkungen von DORA auf Banken, Versicherer, Fintechs und sogar Krypto-Asset-Dienstleister konzentrieren.

Dieser breite Geltungsbereich und die Koordinierung mehrerer Behörden können zu einer langsameren und fragmentierteren Umsetzung führen - insbesondere im Vergleich zum zentralisierten Aufsichtsmodell Luxemburgs.

Luxemburgs Vorteile - und versteckte Risiken

Luxemburg genießt mehrere Vorteile: eine geringere Marktgröße, zentralisierte Regulierungsbehörden und eine Kultur der Compliance. Die CSSF kommuniziert direkt mit den Branchenteilnehmern und gibt gezielte Leitlinien heraus, die den Instituten helfen, sich schnell anzupassen. Diese Flexibilität macht Luxemburg zu einem der "DORA-ready"-Länder in der EU.

Ein internationaler Finanzplatz zu sein, bringt jedoch auch Komplexität mit sich. Viele in Luxemburg ansässige Institute sind in hohem Maße auf grenzüberschreitende Dienstleister, globale Cloud-Plattformen und vielschichtige Outsourcing-Ketten angewiesen. Der Ansatz der DORA-Verordnung Luxemburg betont, dass diese Beziehungen vollständig transparent, überwacht und vertraglich abgesichert sein müssen.

Darüber hinaus werden die knappen Meldefristen von DORA, die vorschreiben, dass größere IKT-Vorfälle innerhalb von Stunden gemeldet werden müssen, selbst für gut vorbereitete Unternehmen eine Herausforderung darstellen. Luxemburger Institute müssen in kontinuierliche Überwachung, Echtzeit-Eskalationssysteme und klare Kommunikationskanäle sowohl mit den Aufsichtsbehörden als auch mit Drittanbietern investieren.

Auswirkungen auf grenzüberschreitende Institutionen

Für internationale Banken und Vermögensverwalter, die in mehreren EU-Ländern tätig sind, wird die Einhaltung von DORA nicht einheitlich sein. Die frühe und organisierte Umsetzung in Luxemburg steht im Gegensatz zu langsameren Fortschritten in größeren Ländern. Dies bedeutet, dass die Unternehmen einen multijurisdiktionalen Compliance-Rahmen aufrechterhalten müssen, der sich an die Unterschiede in den nationalen Richtlinien, Aufsichtsstilen und Meldesystemen anpasst.

Dritte IKT-Anbieter, insbesondere Cloud-Service-Unternehmen, werden ebenfalls einer stärkeren Aufsicht unterworfen. Im Rahmen von DORA werden "kritische" IKT-Anbieter direkt von den EU-Behörden überwacht, wodurch neue Berichts- und Prüfpflichten eingeführt werden. Für Luxemburg, wo viele Finanzunternehmen auf ausgelagerte Technologielösungen angewiesen sind, könnte dieser Wandel die Strategien für das Anbietermanagement erheblich verändern.

Blick in die Zukunft

Die Fortschritte Luxemburgs sind ein Modell für die effektive, vorausschauende Einführung von DORA. Die Kombination aus zentraler Regulierung, proaktiver Gesetzgebung und Engagement der Industrie macht Luxemburg zu einem der führenden Beispiele für digitale Resilienz in der EU.

Doch die Umsetzung ist noch lange nicht abgeschlossen. Während DORA von der Politik in die Praxis übergeht, wird die eigentliche Herausforderung in der Praxis liegen: die Einbettung der Widerstandsfähigkeit in die alltäglichen Funktionen der Finanzinstitute und die Gewährleistung einheitlicher Standards über die Grenzen hinweg.

Luxemburgs Weg zeigt, dass es bei der Einhaltung von DORA nicht nur darum geht, Vorschriften zu erfüllen, sondern auch darum, das Vertrauen in ein digitales Finanzsystem zu stärken, das auf Widerstandsfähigkeit, Zusammenarbeit und Bereitschaft angewiesen ist.

Feedback senden
Zuletzt aktualisiert
30.10.25
Verwandte Materialien

Wie man einen Mobilfunktarif in Luxemburg auswählt: Ein Leitfaden für Neuankömmlinge und Expats

Woman on the phone in Luxembourg

Walletto bringt ein Plugin für PrestaShop auf den Markt, das die Integration sicherer Zahlungen in Online-Shops vereinfacht

Walletto bringt ein Plugin für PrestaShop auf den Markt, das die Integration sicherer Zahlungen in Online-Shops vereinfacht

Gründung eines Unternehmens in Luxemburg als Ausländer

Starting a business in Luxembourg as a foreigner

Wie man ein Unternehmen nach Luxemburg verlagert

How to relocate a business to Luxembourg

Wie man in Luxemburg eine Buchhaltung führt

Wie man in Luxemburg eine Buchhaltung führt

Wenn Ankommen zum Erlebnis wird

Reception

OurCryptoMiner startet KI-gestützte Cloud-Mining-Plattform mit Fokus auf grüne Energie

OurCryptoMiner

4 wichtige Sicherheits-Tools, die Sie 2025 auf Ihrem Smartphone haben sollten

Smartphone

Die Schwierigkeit bei der Organisation europäischer Konzerte heute

Concert in Luxembourg