Für Krypto-Unternehmen in der Europäischen (EU) Union gelten ab sofort neue Cybersicherheitsvorschriften, nachdem der sogenannte Digital Operational Resilience Act (DORA) am 17. Januar in Kraft getreten ist.

DORA wirkt sich dabei allen voran auf die Cybersicherheits- und Ausfallschutzpraktiken von Anbietern virtueller Asset Services (VASP) in der Region aus.

Um die DORA-Vorschriften zu erfüllen, müssen Finanzinstitute und Krypto-Unternehmen in der EU ein umfassendes Verzeichnis ihrer vertraglichen Vereinbarungen mit externen IT-Dienstleistern führen, um eine sichere Infrastruktur und ein gutes Risikomanagement zu gewährleisten.

Die neuen DORA-Vorschriften ergänzen die neue Krypto-Verordnung der EU namens Markets in Crypto-Assets ( MiCA ) und zielen darauf ab, die Widerstandsfähigkeit gegenüber Störungen wie Cyberangriffen und IT-Ausfällen zu verbessern, um letztlich den Anlegerschutz und die Marktintegrität zu stärken.

DORA wirkt sich auf MiCA-Unternehmen aus

Matt Sullivan, stellvertretender Chefsyndikus und Leiter der irischen Division des Krypto-Unternehmens MoonPay, betonte, dass DORA erhebliche Auswirkungen auf MiCA-lizenzierte Krypto-Unternehmen habe.

„Alle Anbieter von Krypto-Asset-Dienstleistungen, die nach MiCA lizenziert sind, unterliegen zugleich den DORA-Anforderungen“, erklärte Sullivan gegenüber Cointelegraph.

MoonPay, das seine MiCA-Lizenz von der niederländischen Behörde für den Finanzmarkt am 30. Dezember 2024 erhalten hat, hat bereits erste Schritte unternommen, um eine beträchtliche Menge an wiederkehrendem Aufwand zu erfüllen, der notwendig ist, um konform mit DORA zu sein.

„Wir haben interne Teams aufgestellt, die nun zusätzliche Aufgaben übernehmen müssen, um sicherzustellen, dass unsere Richtlinien, Verfahren und Prozesse kontinuierlich den Anforderungen der DORA entsprechen“, sagte Sullivan und fügte hinzu:

„Zu den Maßnahmen, die wir ergriffen haben, gehören die Überprüfung und Aktualisierung der Beziehungen zu Drittanbietern, die Erstellung eines DORA-konformen Registers von Anbietern und die Vorbereitung zusätzlicher Unterlagen für unsere Informationssysteme.“

Mark Jennings, Europa-Chef der Kryptobörse Gemini, kommentierte, DORA sei ein Eckpfeiler der Bemühungen der EU, die operative Widerstandsfähigkeit des Finanzsektors gegenüber IT-bezogenen Risiken zu verbessern.

„Um auf DORA vorbereitet zu sein, haben wir eine Digital Operational Resilience Strategy und einen IT-Risikomanagement-Rahmen implementiert, für klare Governance-Strukturen gesorgt und Best Practices übernommen, um die Kontinuität, Sicherheit und Widerstandsfähigkeit unserer Dienste zu gewährleisten“, fügte er hinzu.

DORA fällt besonders Dienstleistern zur Last

Laut Cathy Yoon, der General Counsel bei der Wormhole Foundation, wird sich der Geltungsbereich von DORA nicht nur auf VASPs wie Kryptobörsen auswirken, sondern auch auf Emittenten von Krypto-Assets wie den Stablecoin-Emittenten Circle, Herausgeber des USD Coin (USDC).

„Man könnte argumentieren, dass viele CASPs [VASPs] bereits strenge Cybersicherheitsmaßnahmen implementiert haben, die aufgrund der Natur von Kryptowährungen selbst oft strenger und robuster sind als die von traditionellen Finanzinstituten“, gab Yoon zu bedenken.

Während VASPs also bereits gut aufgestellt seien, um mit DORA umzugehen, gelte dies nicht für die von CASPs genutzten Dienstleister, sagte sie und fügte an:

„Ein proaktiver Sicherheitsansatz und der Aufbau von Cybersicherheitsmaßnahmen im Einklang mit DORA kann erhebliche Auswirkungen auf kleinere Dienstleister haben, insbesondere auf Start-ups, die nur über begrenztes Kapital verfügen, um DORA zu erfüllen.“

Eine mögliche Folge der Anwendung von DORA könnte deshalb eine Konsolidierung dieser Dienstleister sein, um die bestmöglichen Sicherheitspraktiken umzusetzen und die Anforderungen der unter DORA fallenden Institutionen zu erfüllen, so Yoon.

Chris Denbigh-White, Leiter der Sicherheitsabteilung bei Elwood Technologies, sagte, dass die Anwendung von DORA bedeutet, Dinge wie Cybersicherheit, Risikomanagement für Dritte und Protokolle für die Reaktion auf Zwischenfälle zu gewährleisten.

„Wir können Institutionen dabei helfen, sich auf die neuen Vorschriften für digitale Vermögenswerte wie DORA vorzubereiten, indem wir unseren Kunden Lösungen für Ausführungsmanagement- und Portfoliomanagementsysteme anbieten, die mit Blick auf die betriebliche Ausfallsicherheit entwickelt wurden“, so Denbigh-White.

„Wir stellen fest, dass sich immer mehr Kunden auf die operationelle Widerstandsfähigkeit konzentrieren und glauben, dass DORA letztendlich den Schutz der Anleger und des Marktes insgesamt unterstützen wird“, resümierte er.