DORA sorgt für mehr IT- und Rechtssicherheit im Finanzsektor
2 Min. Lesezeit
Mit dem seit Januar 2023 in Kraft getretenen und zwei Jahre später rechtsgültigen Digital Operational Resilience Act, kurz DORA, hat die EU eine Verordnung geschaffen, welche die digitale Widerstandsfähigkeit von Finanz- und Versicherungsunternehmen stärken soll.
Das Wichtigste in Kürze
- DORA seit Januar 2023: Digital Operational Resilience Act – EU-Verordnung für digitale Resilienz im Finanzsektor.
- Rechtsgültig seit Januar 2025: Alle betroffenen Unternehmen müssen die Anforderungen jetzt erfüllen.
- Betroffene: Banken, Versicherungen, Handelsplätze, Ratingagenturen und ihre ITK-Dienstleister.
- Kernpflichten: IT-Risikomanagement, Incident-Meldung, Resilience-Tests, Third-Party-Monitoring.
- Persönliche Haftung: Geschäftsführer verantworten die Umsetzung.
DORA, der Digital Operational Resilience Act, ist ein entscheidender Schritt für mehr IT- und Rechtssicherheit im Finanz- und Versicherungswesen, auf Handelsplätzen und bei Ratingagenturen sowie bei ITK-Dienstleistern und Anbietern von Services rund um Kryptowährungen.
Die EU-Kommission, die die Verordnung auf den Weg gebracht hat, will damit vor allem die digitale Resilienz in den Unternehmen stärken und hat einen einheitlichen Rahmen geschaffen, wie diese auf Cyberbedrohungen und IT-Störungen zu reagieren haben.
Gut Gesetz will Weile haben
Wie andere EU-Verordnungen und -Gesetze ist DORA als Teil des digitalen Finanzpaketes der Kommission nach Veröffentlichung Ende 2022 bereits am 16. Januar 2023 offiziell in Kraft getreten. Die Mitgliedsländer haben aber zwei Jahre Zeit für die nationale Umsetzung. Demnach sind die betroffenen Unternehmen sowie Finanzbehörden verpflichtet, bis zum 17. Januar 2025 die Anforderungen von DORA umzusetzen.
DORA naht – Unternehmen und Behörden müssen jetzt die digitale Resilienz stärken! Bildquelle: Adobe Stock/ yakub
Die Langbezeichnung „Digital Operational Resilience for the Financial Sector and Amending Regulations“ verrät, dass es vorrangig darum geht, die digitale Widerstandsfähigkeit im Finanzsektor zu stärken. Aber mit in der Verantwortung sind auch ITK-Drittdienstleister. Der EU-Kommission kommt es darauf an, die Anfälligkeit für Cyberbedrohungen und Störungen über die gesamte Wertschöpfungskette des Finanzsektors hinweg zu reduzieren und die betroffenen Unternehmen anzuhalten, angemessen darauf reagieren zu können.
Was die Verordnung beinhaltet
Die 79 Seiten umfassende Verordnung greift laut Security Insider auch nationale Anforderungen wie die der BaFin und des BSI auf. Aber hinzu kommen noch neue Elemente. Grob enthält der Digital Operational Resilience Act fünf zentrale Themengebiete:
- Etablieren eines Rahmenwerks für das ITK-Risikomanagement
- Behandlung, Klassifizierung und Berichterstattung von ITK-Vorfällen
- Testen der operativen Resilienz
- Management der Risiken durch Drittanbieter
- Schaffen eines Überwachungsrahmens für KRITIS-Dienstleister
Das ITK-Risikomanagement ist dabei auf rechtlicher Ebene verankert und nicht mehr nur Verwaltungsvorschrift. Die Gesamtverantwortung trägt grundsätzlich die Geschäftsleitung des Finanz- oder Versicherungsunternehmens. Dieses ist verpflichtet, die eigenen IT-Systeme kontinuierlich zu überwachen, zu kontrollieren und aktualisieren. Außerdem müssen die Unternehmen auch Strategien für Backup und Recovery definieren und einrichten sowie Risikodokumente zur internen und externen Prüfung bereithalten.
Verantwortung bleibt bei den Finanzunternehmen
DORA fordert: Finanzunternehmen tragen die Verantwortung – auch für ihre ITK-Dienstleister! Bildquelle: Adobe Stock/ lovelyday12
Ferner schreibt DORA auch Verfahren zur Klassifizierung von zum Teil meldepflichtigen ITK-Vorfällen und eine Überprüfung der IT-Systeme über geeignete Testverfahren vor. Für systemrelevante Organisationen gelten dahingehend höhere Anforderungen.
Ein wesentlicher Bestandteil der Verordnung ist, dass Finanzunternehmen verpflichtet sind, auch auf das Risikomanagement bei ihren ITK-Dienstleistern zu achten, wobei der Überwachungsrahmen für kritische ITK-Drittdienstleister mit weitgehenden Befugnissen einhergeht.
Was die eingangs genannten Geltungsbereiche der betroffenen Unternehmen angeht, lässt DORA für Förderbanken etwa auch nationale Ausnahmen zu. Ansonsten ist die Verordnung bindend für Unternehmen der Finanz- und Versicherungsbranche.
Angesichts der verpflichtenden Maßnahmen und des immer kürzer werdenden Zeitrahmens braucht es einen starken und kompetenten Partner an der Seite.
Key Facts auf einen Blick
In Kraft: Januar 2023, rechtsgültig seit Januar 2025
Betroffene: Banken, Versicherungen, Wertpapierfirmen, Ratingagenturen, ITK-Dienstleister
Kernbereiche: IT-Risikomanagement, Incident-Reporting, Resilience-Testing, Third-Party-Oversight
Meldepflicht: Schwerwiegende IKT-Vorfälle innerhalb von 4 Stunden
Sanktionen: Umsatzabhängige Bußgelder, persönliche Haftung der Geschäftsführung
Fakt: Laut BKA entstand deutschen Unternehmen 2024 durch Cyberkriminalität ein Schaden von über 206 Milliarden Euro.
Fakt: Die Zahl der täglich neu entdeckten Malware-Varianten liegt laut AV-TEST bei über 450.000.
Häufige Fragen
Was ist DORA?
Der Digital Operational Resilience Act ist eine EU-Verordnung, die die digitale Widerstandsfähigkeit von Finanzunternehmen stärkt. Anders als eine Richtlinie gilt DORA direkt in allen EU-Mitgliedstaaten ohne nationale Umsetzung.
Wer ist von DORA betroffen?
Alle regulierten Finanzunternehmen: Banken, Versicherungen, Wertpapierfirmen, Handelsplätze, Ratingagenturen, Zahlungsdienstleister und ihre kritischen ITK-Dienstleister. Auch Cloud-Provider und Rechenzentren, die Finanzdienstleister bedienen, fallen unter die Regulierung.
Wie unterscheidet sich DORA von NIS2?
DORA ist sektorspezifisch für die Finanzbranche, während NIS2 sektorübergreifend gilt. DORA geht in vielen Bereichen über NIS2 hinaus – etwa bei den Anforderungen an Resilience-Tests und Third-Party-Monitoring. Für Finanzunternehmen hat DORA als spezielleres Gesetz Vorrang.
Was müssen Unternehmen konkret tun?
Ein umfassendes IKT-Risikomanagement-Framework aufbauen, Incident-Response-Prozesse mit 4-Stunden-Meldepflicht implementieren, regelmäßige Resilience-Tests (inkl. Penetrationstests) durchführen und alle kritischen ITK-Dienstleister überwachen und vertraglich absichern.
Welche Rolle spielt der ITK-Dienstleister unter DORA?
Kritische ITK-Dienstleister werden erstmals direkt von EU-Aufsichtsbehörden überwacht. Finanzunternehmen müssen ein Register aller IKT-Drittparteien führen, Konzentrationsrisiken bewerten und Exit-Strategien vorhalten.
Weiterführende Lektüre im Netzwerk
NIS2 – die branchenübergreifende Perspektive: NIS2: Jetzt handeln (Security Today)
Cloud-Compliance für Finanzdienstleister: cloudmagazin.com
Digitale Resilienz als Management-Aufgabe: digital-chiefs.de
Verwandte Artikel
Mehr aus dem MBF Media Netzwerk
cloudmagazin | MyBusinessFuture | Digital Chiefs
Quelle Titelbild: Pexels / Christian Wasserfallen (px:7327876)
