DORA - Digital Operational Resilience Act

Was ist DORA? Definition und Erklärung 

DORA, kurz für “Digital Operational Resilience Act”, ist eine EU-Verordnung, die darauf abzielt, die digitale Resilienz von Unternehmen im Finanzsektor zu stärken. DORA verlangt, dass Finanzinstitute und ihre IT-Dienstleister robuste Cybersicherheitsmaßnahmen implementieren, um sich gegen Betriebsstörungen und Cyberangriffe zu schützen. 

Mit der Veröffentlichung im Amtsblatt der EU am 27. Dezember 2022 trat der Digital Operational Resilience Act am 16. Januar 2023 in Kraft und wird ab dem 17. Januar 2025 verbindlich angewendet. DORA gilt als zentraler Baustein zur Erhöhung der digitalen Widerstandsfähigkeit innerhalb der EU.

Ziele der DORA-Regulierung

Das DORA-Gesetz verfolgt das Ziel, die IT-Sicherheit von Finanzunternehmen zu stärken und einheitliche Cybersicherheitsstandards im Finanzsektor zu etablieren. BaFin-Unternehmen sollen sicherstellen, dass ihre IT-Systeme stabil und widerstandsfähig gegenüber Bedrohungen wie Cyberangriffen und technischen Ausfällen sind.

DORA: Bedeutung und Anwendungsbereich

Der DORA-Anwendungsbereich erstreckt sich auf folgende Institutionen:

  • Banken und Kreditinstitute

  • Versicherungen und Rückversicherer

  • Wertpapierfirmen und Zahlungsdienstleister

  • Investmentgesellschaften

  • Verwaltungsgesellschaften für Altersvorsorgeeinrichtungen

  • Versicherungsvermittler

  • IKT-Dienstleister, die Finanzunternehmen mit IT-Lösungen versorgen

Für diese Unternehmen stellt die Verordnung sicher, dass alle eine einheitliche Strategie zur IT-Sicherheit verfolgen und Risiken systematisch überwachen und minimieren. 

Das bedeutet für die Unternehmen, dass sie ihre internen Prozesse und Systeme überprüfen und gegebenenfalls anpassen müssen, um den neuen Standards zu entsprechen. Das kann Investitionen in neue Technologien, Schulungen für Mitarbeiter und neue Governance-Strukturen erfordern.

Auswirkungen von DORA auf Unternehmen

DORA bringt sowohl Chancen als auch Herausforderungen für Unternehmen mit sich.

Vorteile der DORA-Regulierung

  • Erhöhte digitale Widerstandsfähigkeit: Unternehmen sind besser gegen IT-Störungen und Cyberangriffe gewappnet.

  • Verbessertes Risikomanagement: DORA fördert strukturierte Sicherheitskonzepte für kritische Informationssysteme.

  • Einheitliche Sicherheitsstandards in der EU: Einheitliche Vorgaben reduzieren regulatorische Unsicherheiten und schaffen mehr Transparenz.

  • Klare Vorgaben für Incident-Reporting und Notfallplanung: Unternehmen erhalten klare Richtlinien, wie Sicherheitsvorfälle gemeldet und bewältigt werden müssen.

  • Gestärktes Vertrauen in digitale Finanzdienstleistungen: Kunden und Partner profitieren von höherer IT-Sicherheit und stabilen Systemen.

Herausforderungen der DORA-Regulierung

  • Hohe Implementierungskosten: Unternehmen müssen in neue Sicherheitstechnologien, Prozesse und Schulungen investieren.

  • Besondere Belastung für kleinere Unternehmen: Kleine und mittlere Unternehmen könnten durch die umfassenden Anforderungen stark gefordert sein.

  • Steigende regulatorische Anforderungen: Die Einhaltung der Vorschriften kann mit zusätzlicher Bürokratie verbunden sein.

  • Mögliche Einschränkungen der Innovationsfähigkeit: Unternehmen müssen darauf achten, dass Compliance-Maßnahmen nicht die Flexibilität in der Entwicklung neuer digitaler Finanzdienstleistungen einschränken.

Tipps für die Digitalisierung im Finanzsektor.

In unserem Blogartikel zeigen wir Ihnen, wie Sie die Digitalisierung in Ihrem Unternehmen vorantreiben können.

Mehr erfahren

Anforderungen und Maßnahmen gemäß DORA-Gesetz

Unternehmen müssen nach DORA bestimmte Anforderungen erfüllen, die sicherstellen, dass ihre IT-Systeme und Prozesse widerstandsfähig gegenüber Störungen sind. 

1. IKT-Risikomanagement und Cyberresilienz

Ein zentrales Element ist das IKT-Risikomanagement, das effektive Schutzmaßnahmen gegen Cyberbedrohungen vorschreibt. Dazu gehört:

  • die Erkennung und Abwehr von Angriffen

  • die Fähigkeit zur schnellen Erholung nach Cybervorfällen (Cyberresilienz), 

  • sowie robuste Notfallpläne, um im Ernstfall schnell reagieren zu können. 

Finanz- und Versicherungsunternehmen gehören außerdem zu den kritischen Infrastrukturen, weshalb neben DORA für den Finanzsektor auch die NIS-2 Richtlinie zusätzliche Anforderungen an Cybersicherheit und Meldepflichten stellt.

2. DORA-Meldepflichten für Sicherheitsvorfälle

Ein weiteres zentrales Element von DORA ist die Meldepflicht für IT-Sicherheitsvorfälle. Unternehmen sind verpflichtet, sicherheitsrelevante Vorfälle strukturiert zu erfassen, zu klassifizieren und an die zuständigen Behörden zu melden.

3. Tests zur digitalen Resilienz

Um die digitale Resilienz sicherzustellen, sind regelmäßige Stresstests und Penetrationstests vorgeschrieben, mit denen Unternehmen Schwachstellen frühzeitig erkennen und gezielt beheben.

4. Kontrolle von Drittanbietern und Lieferkettenrisiken

Besondere Anforderungen gelten für die Sicherheit von Drittanbietern. Unternehmen müssen Lieferkettenrisiken aktiv überwachen, um potenzielle Schwachstellen bei externen IT-Dienstleistern zu erkennen. Außerdem sollten sie regelmäßige Audits und Sicherheitsprüfungen bei kritischen IT-Dienstleistern durchführen, um DORA-Compliance sicherzustellen. 

Sämtliche Verträge müssen DORA-konform gestaltet sein, um sicherzustellen, dass alle externen Partner sich verpflichten, strenge Cybersicherheitsmaßnahmen einzuhalten. 

5. Festlegung von Rollen und Verantwortlichkeiten

Um sicherzustellen, dass alle Maßnahmen umgesetzt werden, müssen Versicherungen und Finanzunternehmen klare Rollen und Verantwortlichkeiten definieren. IT-Teams und Führungskräfte sind für die Koordination und kontinuierliche Überprüfung der Sicherheitsmaßnahmen verantwortlich und müssen sicherstellen, dass alle Vorgaben regelmäßig evaluiert und an neue Bedrohungslagen angepasst werden.

Umsetzung und Compliance mit DORA

Die Umsetzung von DORA erfordert, dass Finanzunternehmen ihre IT-Sicherheitsstrategie überarbeiten und sicherstellen, dass alle Systeme, Prozesse und Dienstleister den DORA-Vorgaben entsprechen

Die DORA-Regulierung schreibt auch vor, wie Finanzunternehmen auf Vorfälle reagieren und diese melden müssen. Verantwortliche sind angehalten, Rollen innerhalb eines Unternehmens zu definieren, um die Compliance zu gewährleisten. 

Unternehmen sollten bis zum 17. Januar 2025 ihre Maßnahmen zur Einhaltung der Verordnung abgeschlossen haben.

Zukunft und Entwicklungen im Zusammenhang mit DORA 

Die Einführung des Digital Operational Resilience Act markiert einen wichtigen Schritt zur Stärkung der IT-Sicherheit in der EU. Langfristig könnte DORA auf weitere Branchen ausgeweitet werden, um eine flächendeckende digitale Resilienz zu gewährleisten. 

Unternehmen werden dazu angehalten, kontinuierliche Verbesserungen ihrer digitalen Infrastrukturen und der Fähigkeit zur Krisenbewältigung vorzunehmen, um den Anforderungen von DORA gerecht zu werden. Insgesamt ist DORA ein entscheidender Schritt, um die digitale Widerstandsfähigkeit im Finanzsektor sicherzustellen. 

FTAPI unterstützt Unternehmen dabei, die Anforderungen des Digital Operational Resilience Act zu erfüllen, indem es eine Plattform für sicheren Datentransfer mit Ende-zu-Ende-Verschlüsselung, strikten Zugriffskontrollen sowie lückenloser Protokollierung für eine revisionssichere Auditierung bietet – nahtlos integrierbar in bestehende IT-Infrastrukturen und kompatibel mit Drittanbietern.