Der Digital Operational Resilience Act ist eine EU-Verordnung (2022/2554), die Regulierungen für die Themen Cybersicherheit, Informations- und Kommuni­kations­technologien Risiken (IKT-Risiken), sowie digitale operationale Resilienz für den gesamten Finanzsektor (Banken, Versicherungen, Zahlungsdienstleister, Wertpapierfirmen, und Kryptodienstleister) sowie dessen kritische IT-Dienstleister definiert. DORA ist für fast alle beaufsichtigten Finanzunternehmen in Europa seit dem 17. Januar 2025 verpflichtend.

DORA schreibt einheitliche Mindeststandards für IKT-Sicherheit, regelmäßige Resilienztests, Pflichten zur Vorfallmeldung sowie ein strenges Management von Drittanbieter-Risiken vor und erhöht damit die Widerstandsfähigkeit der Finanzunternehmen gegenüber Angriffen.

Bildung eines IKT-Risikomanagements:
Unternehmen im Finanzsektor sind verantwortlich für die regelmäßige Identifizierung, Überwachung und Reduzierung von Risiken.

Einhaltung der Meldepflicht:
Sicherheitsrelevante Vorfälle müssen über das Portal der BaFin nach einem vordefinierten Schema an die Behörden gemeldet werden.

Überwachung von IKT-Dienstleistern:
Unternehmen und Institute sind verpflichtet, beim IKT-Auslagerungsmanagement ein strenges Risikomanagement mit vertraglichen Mindestanforderungen, laufender Überwachung und Meldung kritischer Drittanbieterbeziehungen an die Aufsicht sicherzustellen.

Verantwortung:
Das Management trägt nach DORA die Gesamtverantwortung für die IKT-Risiko- und Resilienz-Strategie und muss deren wirksame Umsetzung sowie die Überwachung der Auslagerungen sicherstellen.

Seit Unternehmensgründung beraten wir Unternehmen im Finanzsektor mit Leidenschaft, Verantwortung und Agilität. Wir schaffen Sicherheit und Resilienz durch umfassende Analysen, maßgeschneiderte Maßnahmen und die Umsetzung aktueller regulatorischer Anforderungen wie z.B. DORA.
Unsere Experten entwickeln Notfall- und Krisenmanagement, bauen Informationssicherheits- und Risikosysteme auf, führen interne Audits durch und begleiten Zertifizierungen.
Auf Wunsch stellen wir externe Informationssicherheitsbeauftragte oder CISO bereit.
Unser Produktportfolio umfasst technische Lösungen zur automatisierten Stärkung der IT-Security unserer Kunden und zur Schulung der Awareness der Mitarbeiter.

Im Kern zielt der Digital Operational Resilience Act, der einen konsistenten Ansatz zur Identi­fikation, Bewertung und Steuerung von Cyber­sicherheits- und IKT-Risiken verfolgt, darauf ab, das gesamte europäische Finanz­system vor den Aus­wirkungen zunehmend raffinierter Cyber­angriffe zu schützen. Die damit einher­gehenden regulator­ischen Anpassungen erfordern zwar zusätzlichen Aufwand, eröffnen jedoch zugleich die Möglichkeit, durch die konsequente Imple­mentierung moderner Sicherheits­standards das Sicherheits­niveau signifikant zu erhöhen. Unternehmen, die frühzeitig in die Optimierung ihrer IT-Sicherheits­architektur investieren, profitieren von einem gesteigerten Reifegrad und einer nachhaltigen Wettbewerbs­fähigkeit im dynamischen Marktumfeld.

Die DORA-Verordnung markiert einen entscheidenden Schritt zur Verbes­serung der digitalen Resilienz von Finanzinstituten in der EU. Sie etabliert einheitliche Standards für den Umgang mit IKT-Risiken, Cybersecurity und Störungsmanagement, um einen reibungslosen und sicheren Geschäfts­betrieb auch in Krisenzeiten zu gewähr­leisten. Im Folgenden werden die fünf zentralen Säulen vorgestellt, die den Kern der DORA-Anforderungen bilden und den institutionellen Rahmen für eine robuste digitale Betriebs­resilienz definieren.

IKT-Risikomanagement (Informations- und Kommunikations-technologie-Risikomanagement)

Ein effektiver IKT-Risikomanagement­rahmen ist ein system­atischer Ansatz zur Verwaltung und Kontrolle von IKT-Risiken. Dieser Rahmen muss alle Aspekte der IKT-Risiken abdecken, einschließ­lich der Identi­fizierung potenzieller Bedroh­ungen, der Bewertung ihrer Auswirk­ungen und der Implemen­tierung von Maß­nahmen zur Risiko­minderung. Der Rahmen sollte regelmäßig überprüft und aktualisiert werden, um sicher­zustellen, dass er aktuellen Bedrohungen und techno­logischen Entwicklungen entspricht. Zu den wesent­lichen Bestandteilen gehören die Risikoanalyse, die Entwicklung von Risiko­minderungs­strategien und die Implemen­tierung von Kontroll­maßnahmen.

Die Governance und Organisation des IKT-Risiko­managements sind zentrale Elemente von DORA. Die Leitungs­ebene eines Finanz­unternehmens trägt die Haupt­verantwortung für die Umsetzung und Überwachung des IKT-Risiko­managements. Das bedeutet, dass der Vorstand und andere Führungs­kräfte sicherstellen müssen, dass alle IKT-Risiken angemessen identi­fiziert, bewertet und gemanagt werden. Dies umfasst die Entwicklung und Durch­setzung von Richt­linien, die Zuweisung von Verantwort­lichkeiten und die Sicher­stellung, dass alle Mitarbeiter die Bedeutung der IKT-Risiken verstehen und entsprechend handeln.

Die Sicherheit der IKT-Systeme, -Protokolle und -Tools ist von ent­scheidender Bedeutung für den Schutz vor Cyber­angriffen und anderen Bedro­hungen. DORA fordert Finanz­unternehmen auf, robuste technische und organi­satorische Maßnahmen zu imple­mentieren, um die Integrität, Vertrau­lichkeit und Verfüg­barkeit ihrer IKT-Systeme zu gewährleisten. Dies umfasst die Nutzung von sicheren Kommunikations­protokollen, regelmäßige Sicherheits­updates und Patches sowie die Implemen­tierung von Zugangs­kontrollen und Verschlüssel­ungstechnologien.

Kontinuierliche Lern­prozesse und Weiter­entwicklung sind entscheidend, um die Wirksamkeit des IKT-Risiko­managements zu gewährleisten. Finanz­unternehmen müssen sicherstellen, dass ihre Mitarbeiter regelmäßig geschult werden und dass neue Bedroh­ungen und Sicherheits­praktiken in die bestehenden Prozesse integriert werden. Dies kann durch regelmäßige Schulungen, Workshops und die Teilnahme an Branchen­veranstaltungen erreicht werden. Darüber hinaus sollten Unternehmen aus vergangenen Vorfällen lernen und ihre Sicherheits­maßnahmen entsprechend anpassen.

Eine effektive Kommuni­kation über IKT-Risiken und Sicherheits­maßnahmen innerhalb des Unternehmens ist unerlässlich. DORA betont die Bedeutung der trans­parenten und klaren Kommuni­kation, um sicher­zustellen, dass alle Mitarbeiter über die Risiken und die erforderlichen Maß­nahmen informiert sind. Dies umfasst die regelmäßige Bericht­erstattung an das Management, die Sensibili­sierung der Mitarbeiter und die Einrichtung von Kommunikations­kanälen für die Meldung und das Management von Sicherheits­vorfällen.

Das EU-Überwachung­srahmenwerk für kritische IKT-Dritt­dienstleister ist ein zentrales Element von DORA. Dieses Rahmen­werk sieht vor, dass die EU kritische IKT-Drittdienst­leister, die wesentliche Dienst­leistungen für Finanz­unternehmen erbringen, überwacht. Ziel ist es, sicher­zustellen, dass diese Dienst­leister die hohen Sicherheits­standards einhalten und keine systemischen Risiken für den Finanz­sektor darstellen.

Die Überwachung umfasst mehrere Aspekte, darunter regelmäßige Überprüfungen und Audits der Sicherheits­praktiken der Dritt­anbieter. Kritische IKT-Dritt­dienstleister müssen zudem sicherstellen, dass sie transparent über ihre Sicherheits­maßnahmen berichten und den Aufsichts­behörden Zugang zu relevanten Informationen gewähren. Bei Verstößen gegen die Sicherheits­anforderungen können Sanktionen verhängt werden, um sicher­zustellen, dass die Dritt­anbieter ihre Sicherheits­praktiken verbessern.

Das Überwachungs­rahmenwerk der EU stellt sicher, dass Finanz­unternehmen bei der Zusammen­arbeit mit IKT-Dritt­anbietern geschützt sind und dass die Risiken, die durch externe Dienstleister entstehen, auf ein Minimum reduziert werden.

IKT-Vorfallmeldewesen

Ein wesentlicher Bestand­teil des IKT-Vorfall­melde­wesens unter DORA ist die klare Fest­legung von Defini­tionen. Es muss eindeutig fest­gelegt werden, welche Arten von Vor­fällen als IKT-bezogen gelten. Diese Defini­tionen helfen dabei, ein gemein­sames Verständ­nis innerhalb des Unter­nehmens und im gesamten Finanz­sektor zu schaffen. Zu den IKT-bezogenen Vor­fällen gehören beispiels­weise Cyber­angriffe, Daten­lecks, System­ausfälle und andere Sicherheits­­vorfälle, die die Integrität, Vertrau­lichkeit oder Verfügbar­keit von Informations- und Kommunikations­systemen beein­trächtigen können.

Die Klassifikation von IKT-bezogenen Vorfällen ist ein weiterer wichtiger Aspekt des Vorfallmeldewesens. DORA legt Kriterien fest, nach denen Vorfälle bewertet und eingeordnet werden müssen. Diese Klassifikationskriterien umfassen Faktoren wie die Schwere des Vorfalls, die betroffenen Systeme und Daten, die Auswirkungen auf die Geschäftskontinuität und die potenziellen Schäden für das Unternehmen und seine Kunden. Durch die Anwendung dieser Kriterien können Unternehmen Vorfälle priorisieren und entsprechend reagieren.

Zu den spezifischen Anforderungen des Meldeprozesses gehören:

Der Meldeprozess stellt sicher, dass alle rele­vanten Parteien rechtzeitig über IKT-Vor­fälle informiert werden und geeig­nete Maß­nahmen zur Schadens­begrenzung und Wiederher­stellung ergriffen werden können. Dies trägt dazu bei, die Auswirk­ungen von Vorfällen zu minimieren und die Resilienz des Unter­nehmens zu stärken.

Testen der digitalen operationellen Resilienz

DORA verlangt von Finanzunternehmen, regelmäßige Basistests durchzuführen, um die Sicherheit ihrer Informations- und Kommunikationssysteme zu gewährleisten. Diese Tests sind unerlässlich, um Schwachstellen zu identifizieren und sicherzustellen, dass die Systeme den aktuellen Sicherheitsanforderungen entsprechen. Sie müssen den gesamten Finanzsektor abdecken und sollten regelmäßig durchgeführt werden, um sicherzustellen, dass die IT-Systeme stets auf dem neuesten Stand der Sicherheitstechnik sind. Zu den Basistests gehören:

Automatisierte Scans, die darauf abzielen, potenzielle Schwachstellen in den IT-Systemen zu identifizieren. Diese Scans sollten regelmäßig durchgeführt werden, um sicherzustellen, dass neue Schwachstellen schnell erkannt und behoben werden können.

Überprüfungen des Quellcodes von Softwareanwendungen, um Sicherheitslücken oder Fehler zu identifizieren, die ausgenutzt werden könnten. Diese Tests umfassen sowohl statische als auch dynamische Analysen des Codes.

Tests, die die Leistung und Stabilität der IT-Systeme unter verschiedenen Bedingungen überprüfen. Ziel ist es, sicherzustellen, dass die Systeme auch unter hoher Belastung zuverlässig funktionieren und keine sicherheitsrelevanten Ausfälle auftreten.

Die Implementierung von TLPT unter DORA sollen sicherstellen, dass Finanzunternehmen proaktiv ihre IT-Sicherheit überprüfen und kontinuierlich verbessern.

Information Sharing & Cyberübungen im Rahmen von DORA

Ein zentrales Element von DORA ist der freiwillige Austausch von Informationen und Erkenntnissen zwischen Finanzunternehmen. Dieser Austausch zielt darauf ab, die „Situational Awareness“ im gesamten Finanzsektor zu verbessern, was bedeutet, dass Unternehmen besser über aktuelle Bedrohungen und Sicherheitsvorfälle informiert sind. Die wichtigsten Aspekte dieses Informationsaustauschs sind:

Sektor­übergreifende Krisen­management- und Notfall­übungen

Szenarienbasiertes Training

Übungen basieren auf realis­tischen Szenarien, die ver­schiedene Arten von Cyber­angriffen und deren potenzielle Aus­wirkungen nachbilden. Dies hilft den Teil­nehmern, praxisnah auf verschiedene Bedro­hungen vorbereitet zu sein.

Häufige Fragen zu DORA (FAQ)