+49 40-298 4553-0

Buchen Sie Ihr Erstgespräch online

contact@securam-consulting.com

Buchen Sie Ihr Erstgespräch online

Securam Consulting Logo
Digital Operational Resillence Act (DORA)

Informationssicherheit in der Finanzbranche

Digital Operational Resilience Act (DORA)

DORA zwischen Anspruch und Realität

Der Digital Operational Resilience Act ist eine EU-Verordnung (2022/2554), die Regulierungen für die Themen Cybersicherheit, Informations- und Kommuni­kations­technologien Risiken (IKT-Risiken), sowie digitale operationale Resilienz für den gesamten Finanzsektor  sowie dessen kritische IT-Dienstleister definiert.

Die Umsetzung von DORA markiert einen Wendepunkt für den europäischen Finanzsektor. Seit dem 17. Januar 2025 sind über 22.000 Finanzunternehmen in der EU verpflichtet, die Anforderungen über die digitale operationale Resilienz vollständig zu erfüllen. Allein in Deutschland fallen circa 3.600 Institute unter den Anwendungsbereich dieser weitreichenden Regulierung. Die Realität zeigt jedoch ein ernüchterndes Bild:

Trotz einer zweijährigen Vorbereitungszeit kämpfen viele Organisationen noch immer mit erheblichen Umsetzungslücken.

SECURAM Consulting hilft bei DORA

SECURAM Consulting unterstützt Finanzunternehmen bei der erfolgreichen Umsetzung von DORA-Anforderungen. Von der Gap-Analyse über die Entwicklung maßgeschneiderter Umsetzungsroadmaps bis zur operativen Begleitung bieten wir umfassende Beratungsleistungen für die digitale operationale Resilienz Ihres Unternehmens.

Kontakt

DSGVO-Hinweis

Neue ABC-Straße 8
20354 Hamburg
040 2984553-0
sales@securam-consulting.com

Für weitere Informationen rund um das Thema DORA, können Sie sich unseren Flyer herunterladen:

Wofür steht die SECURAM Consulting?

Expertise und Know-How in den Regulariken der IT-Security und Informationssicherheit

Konstruktive & vertrauensvolle Zusammenarbeit

Verantwortung übernehmen & Sicherheit leben

Hands-on beim Aufbau von IT-Security & Informationssicherheit

Sicherheitsziele systematisch definieren, umsetzen & im Alltag leben

Was ist DORA?

Im Kern zielt der Digital Operational Resilience Act, der einen konsistenten Ansatz zur Identi­fikation, Bewertung und Steuerung von Cyber­sicherheits- und IKT-Risiken verfolgt, darauf ab, das gesamte europäische Finanz­system vor den Aus­wirkungen zunehmend raffinierter Cyber­angriffe zu schützen. Die damit einher­gehenden regulator­ischen Anpassungen erfordern zwar zusätzlichen Aufwand, eröffnen jedoch zugleich die Möglichkeit, durch die konsequente Imple­mentierung moderner Sicherheits­standards das Sicherheits­niveau signifikant zu erhöhen. Unternehmen, die frühzeitig in die Optimierung ihrer IT-Sicherheits­architektur investieren, profitieren von einem gesteigerten Reifegrad und einer nachhaltigen Wettbewerbs­fähigkeit im dynamischen Marktumfeld.

DORA etabliert einen einheit­lichen und stringenten Aufsichts­ansatz für sämtliche relevante Sektoren in der EU und har­monisiert dadurch Sicherheits- und Resilienz­praktiken maßgeblich. Anstatt primär auf die finan­zielle Widerstands­fähigkeit von Unter­nehmen zu fokussieren, verlagert DORA den Schwer­punkt auf die Gewähr­leistung eines stabilen Betriebs auch in Extrem­situationen – insbesondere bei schwer­wiegenden Betriebsunter­brechungen, die die Integrität von Netz­werken und Informations­systemen gefährden könnten. Unsere spezialisierte Consulting-Dienstleistung unter­stützt Sie dabei, die Anfor­derungen des Digital Operational Resilience Act effizient in Ihre IT-Sicherheits­architektur zu integrieren und somit eine nachhaltige, digitale Betriebs­resilienz sicher­zustellen.

DORA implementiert einen ganzheitlichen Rahmen, der ein effektives Risiko­management, umfassende IKT- und Cybersicherheits­funktionen sowie das strukturierte Manage­ment von Störungen und Drittanbietern ermöglicht. Dies gewährleistet eine konsistente Bereit­stellung von Dienst­leistungen entlang der gesamten Wertschöpfungs­kette. Im Kern stehen dabei fünf zentrale Themen­bereiche: das IKT-Risiko­management, das Management von IKT-Vorfällen, Digital Operational Resilience Testing, das Management von Dritt­parteien sowie der Informations­austausch. Dieser integrierte Ansatz trägt dazu bei, dass Finanz­institute und andere relevante Akteure in der EU ihre operationelle Resilienz systematisch stärken und so auf schwerwiegende Betriebs­unterbrechungen vorbereitet sind.

Unternehmen müssen die Anforderungen aus DORA innerhalb eines klar definierten Zeit­rahmens umsetzen. Die Verordnung ist am 16.01.2023 in Kraft getreten und sieht eine zweijährige Übergangs­frist vor. Bereits jetzt spüren Finanz­unternehmen einen erheblichen Handlungs­druck, ihre spezifischen Maß­nahmen aus den DORA-Anforderungen -insbesondere im Bereich des umfassenden IKT-Risikomanagements – zu identifizieren und umzusetzen.

Im ersten Halbjahr 2024 erfolgt die Veröffent­lichung der ersten Reihe von Regulatory Technical Standards (RTS) und Implementing Technical Standards (ITS). Diese adres­sieren unter anderem das IKT-Risk Management Framework, operative Sicherheits­standards, die Klassifi­zierung von IKT-Vorfällen und das Management von IKT-Drittpartei­risiken. Im zweiten Halbjahr 2024 werden weitere Standards publiziert, die detaillierte Vorgaben zur Meldung von IKT-Vorfällen, zur Methodologie und zu den Test­anforderungen für die digitale Betriebsresilienz sowie zur Gestaltung von Sub-Outsourcing-Arrangements enthalten.

Da die DORA-Anforderungen 24 Monate nach Inkraft­treten, also bis Anfang 2025, durchsetzbar sind, sollten Unternehmen umgehend damit beginnen, ihre Compliance-Strategie zu entwickeln und umzusetzen, um den steigenden regulatorischen Anforderungen gerecht zu werden.

Wesentliche Elemente von DORA

Die DORA-Verordnung markiert einen entscheidenden Schritt zur Verbes­serung der digitalen Resilienz von Finanzinstituten in der EU. Sie etabliert einheitliche Standards für den Umgang mit IKT-Risiken, Cybersecurity und Störungsmanagement, um einen reibungslosen und sicheren Geschäfts­betrieb auch in Krisenzeiten zu gewähr­leisten. Im Folgenden werden die fünf zentralen Säulen vorgestellt, die den Kern der DORA-Anforderungen bilden und den institutionellen Rahmen für eine robuste digitale Betriebs­resilienz definieren.

Unternehmen sind verpflichtet, ein umfassendes IKT-Risiko­management zu imple­mentieren. Dies umfasst den Aufbau und die Pflege belastbarer IKT-Systeme, die Identi­fizierung und Klas­sifizierung kritischer Funktionen sowie eine kontinu­ierliche Überwachung und schnelle Erkenn­ung anomaler Akti­vitäten. Ergänzt wird dies durch die Einführ­ung detail­lierter Business-Continuity- und Notfall­pläne, die regel­mäßig getestet werden, um aus Vor­fällen zu lernen und präventive Maßnahmen zu optimieren.

Finanzinstitute müssen ein standard­isiertes Ver­fahren zur Protokol­lierung, Klassi­fizierung und Meldung aller IKT-bezogenen Vorfälle ent­wickeln. Schwer­wiegende Ereignisse werden anhand fest­gelegter Kriterien erfasst, wobei ein initialer, Zwischen- und Abschluss­bericht unter Nutzung einheit­licher Vorlagen zu erstel­len ist.

Alle Einrich­tungen sind dazu angehalten, ihre IKT-Werkzeuge und -Systeme jährlich ein­gehend zu testen. Hierzu zählen grund­legende System­prüfungen zur Identi­fikation von Schwach­stellen sowie fort­geschrittene, bedrohungs­gesteuerte Penetrations­tests (TLPT) für kritische Funktionen. Die Kooperation von Dritt­anbietern ist dabei zwingend erforderlich.

Die Über­wachung der Risiken aus der Auslager­ung von IKT-Diens­tleistungen ist ein weiterer Schwer­punkt. Finanz­unternehmen müssen ein vollstän­diges Verzeichnis aller ausge­lagerten Tätigkeiten führen und vertragliche Verein­barungen so gestalten, dass alle relevanten Überwachungs­aspekte – wie Leistungs­umfang und Daten­verarbeitungs­standorte abgedeckt sind. Kritische IKT-Drittdienst­leister unterliegen zudem einem speziellen EU-Aufsichts­rahmen, der bei Nicht­einhaltung von Empfeh­lungen das Risiko weiter bewertet.

Finanzinstitute werden ermutigt, unter­einander sowie mit den Aufsichts­behörden Infor­mationen und Erkennt­nisse über Cyber­bedrohungen auszu­tauschen. Durch etablierte Mech­anismen soll sicher­gestellt werden, dass anonym­isierte, von den Behörden bereit­gestellte Informationen überprüft und in die Optimierung der Sicher­heitsmaß­nahmen integriert werden.

Häufige Fragen zu DORA (FAQ)

Was bedeutet digitale operationale Resilienz?

Digitale operationale Resilienz im Sinne der DORA-Verordnung bedeutet, dass ein Unternehmen in der Lage ist, seine Betriebsfähigkeit und Stabilität digitaler Prozesse aufzubauen, dauerhaft sicherzustellen und regelmäßig zu kontrollieren.

Was ist der Digital Operational Resilience Act?

Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung, die darauf abzielt, die digitale Belastbarkeit und Stabilität von Finanzunternehmen zu verbessern.

Was ist das Ziel von DORA?

Ziel des DORA-Regelwerks ist es, die bislang unterschiedlichen nationalen Anforderungen an IT-Sicherheit im Finanzwesen zu harmonisieren. Damit entsteht erstmals ein EU-weit einheitlicher Rechtsrahmen für digitale Resilienz in der Finanzbranche.