Das große IT-Security-Glossar

DORA

Was ist DORA (Digital Operational Resilience Act)?

DORA steht für Digital Operational Resilience Act und ist eine EU-Verordnung, die im Finanzsektor einheitliche Anforderungen an die digitale Betriebsstabilität (Resilienz) festlegt. Ziel ist es, Institute der Finanzbranche – darunter Banken, Versicherungen, Zahlungsdienstleister und kritische IT-Dienstleister – dazu zu verpflichten, sich systematisch gegen Cyberrisiken, IT-Ausfälle und Drittanbieterabhängigkeiten abzusichern.

DORA ist seit Januar 2023 in Kraft und gilt ab dem 17. Januar 2025 verbindlich. Sie ist Teil des EU-Digital Finance Package und adressiert cyberresiliente Systeme, Sicherheitsvorfälle, Schwachstellenmanagement, Tests und regulatorisches Reporting.

Wichtige DORA-Ressourcen

• ICT Risk Management Framework
  → Anforderungen an Governance, Prozesse, technische Schutzmaßnahmen und Kontrolle der IT-Risikolandschaft.
• Incident Reporting & Klassifizierung
  → Verpflichtung zur strukturierten Meldung von schweren IT-Sicherheitsvorfällen an Aufsichtsbehörden.
• Digital Operational Resilience Testing (DORT)
  → Verpflichtende regelmäßige Tests (z. B. Threat-Led Penetration Testing) zur Überprüfung der Cyberresilienz.
• Third Party Risk Management
  → Risikobewertung und Vertragsanforderungen an kritische IT-Dienstleister wie Cloud- oder Security-Provider.
• EU-Aufsichtsarchitektur
  → Koordination durch ESAs (z. B. EBA, ESMA, EIOPA) zur übergreifenden Aufsicht und Harmonisierung.

Anwendung in der Praxis

• Finanzdienstleister: Aufbau interner Strukturen zur Erkennung, Meldung und Behebung von Cybervorfällen.
• Lieferketten: IT-Dienstleister müssen sich auf strengere Prüfstandards und Verträge einstellen.
• Sicherheitsframeworks: DORA verlangt explizit dokumentierte Sicherheitsprozesse und Audits.
• Compliance & Reporting: Einführung von Meldeverfahren mit maximalen Reaktionszeiten bei Vorfällen.
• Penetration Testing: DORT-Maßnahmen müssen durch qualifizierte externe Anbieter erfolgen.

Verwandte Begriffe

• Business Continuity
• Incident Response
• Penetration Test
• Vulnerability Assessment
• Governance Risk and Compliance

Beispiel aus der Praxis

Eine europäische Bank passt ihre IT-Sicherheitsstrategie an die Anforderungen von DORA an. Dazu wird ein umfassendes ICT-Risikomanagement eingeführt, externe Pentests nach DORT-Richtlinien durchgeführt und ein zentrales Vorfalls-Reporting etabliert. Außerdem wird die Beziehung zu Cloud-Dienstleistern neu vertraglich geregelt, inklusive SLAs und Exit-Strategien. Die Einhaltung wird jährlich von der internen Revision und einer Aufsichtsbehörde kontrolliert.