Tobias Harmes
23. April 2024

Digital Operational Resilience Act (DORA)

4
DORA

Digital Operational Resilience Act (DORA) ist die EU-Verordnung zur digitalen operativen Resilienz im Finanzsektor. Sie soll Finanzunternehmen dabei helfen, Cyberangriffe und IT-Risiken zu managen und sicherzustellen, dass ihre Betriebsabläufe auch bei Störungen aufrechterhalten bleiben. Doch was bedeutet das konkret für betroffene Unternehmen und wie wird DORA in Deutschland umgesetzt?

Was ist DORA?

DORA, die Verordnung über die digitale operationale Resilienz im Finanzsektor, ist eine Initiative der Europäischen Union, die darauf abzielt, die Widerstandsfähigkeit gegen Cyberangriffe und IKT-Risiken im Finanzsektor zu stärken. Sie schafft einheitliche Regeln für Cybersicherheit, Risikomanagement und den Umgang mit IT-Dienstleistern. Alle Finanzunternehmen in der EU müssen DORA-Anforderungen umsetzen, um ihre Betriebsabläufe sicher und widerstandsfähig gegen Störungen zu halten. 

DORA wurde am 27. Dezember 2022 veröffentlicht und ist am 17. Januar 2023 in Kraft getreten. Unternehmen haben bis Januar 2025 Zeit, ihre Systeme und Prozesse gemäß den Vorgaben der Verordnung anzupassen. 

Was umfasst DORA?

DORA stellt einen Rahmen bereit, der die Widerstandsfähigkeit des Finanzsektors gegen Cyberbedrohungen und IT-Risiken stärkt. Dieses Regelwerk umfasst folgende Hauptelemente: 

  • IKT-Risikomanagement: Finanzunternehmen müssen robuste Verfahren etablieren, um IT-Risiken zu identifizieren, zu bewerten und zu managen. Dies beinhaltet die Entwicklung und Umsetzung eines effektiven Risikomanagementrahmens. 
  • Management von IKT-Vorfällen: Unternehmen müssen Mechanismen implementieren, um IT-bezogene Vorfälle zu erkennen, darauf zu reagieren und diese zu melden. Dies soll eine schnelle Reaktion auf Sicherheitsvorfälle gewährleisten und deren Auswirkungen minimieren. 
  • Digitale operationale Resilienz-Tests: Regelmäßige Tests, einschließlich Penetrationstests, sind erforderlich, um die Fähigkeit der Unternehmen zu überprüfen, Cyberangriffen standzuhalten und ihre Resilienz zu bewerten. 
  • Management von Drittparteien: Die Verordnung setzt klare Anforderungen an das Risikomanagement für IT-Dienstleister, um sicherzustellen, dass die Zusammenarbeit mit Drittanbietern das Risiko für die Finanzunternehmen nicht erhöht. 
  • Informationsaustausch: Finanzunternehmen sollen aktiv Informationen und bewährte Verfahren im Bereich Cybersicherheit und IT-Risikomanagement austauschen, um die Gesamtresilienz des Sektors zu erhöhen. 

NIS-2: Die Richtlinie im Überblick

Unser kostenloser Leitfaden, um die NIS-2-Richtlinien zu verstehen und Ihre IT-Sicherheit zu stärken.

Die Verordnung betont die Bedeutung eines proaktiven und präventiven Ansatzes zum Schutz des Finanzsektors. Unternehmen sollten nicht nur auf Vorfälle reagieren, sondern auch deren Wahrscheinlichkeit durch vorbeugende Maßnahmen verringern. DORA soll außerdem die Zusammenarbeit und den Informationsaustausch zwischen Unternehmen und Aufsichtsbehörden fördern, um ein hohes Niveau an digitaler operativer Resilienz im gesamten EU-Finanzsektor sicherzustellen. 

Wen DORA betrifft

Von DORA sind nahezu alle beaufsichtigten Institute und Unternehmen des europäischen Finanzsektors betroffen. Dies umfasst eine breite Palette von Akteuren, darunter: 

  • Banken und Kreditinstitute 
  • Versicherungsunternehmen und Rückversicherer 
  • Investmentfirmen 
  • Zahlungsdienstleister 
  • Wertpapierfirmen 
  • Vermögensverwalter 
  • Krypto-Asset-Dienstleister 
  • Infrastruktureinrichtungen des Finanzmarktes wie Börsen und Clearingstellen 

Außerdem erstreckt sich der Anwendungsbereich von DORA auf kritische IKT-Drittdienstleister, einschließlich Cloud-Service-Provider und IT-Outsourcing-Unternehmen, die Dienstleistungen für den Finanzsektor erbringen. Diese Drittanbieter spielen eine wesentliche Rolle für die operationale Resilienz und müssen bestimmte Anforderungen erfüllen, um das Risiko für die Finanzunternehmen, mit denen sie zusammenarbeiten, zu minimieren.

DORA wirkt sich für diese Unternehmen insbesondere in den folgenden Aspekten aus: 

  • Einstufung als kritische IKT-Drittdienstleister: Basierend auf Kriterien wie der systemischen Bedeutung ihrer Dienstleistungen für den Finanzsektor können IT-Dienstleister von den europäischen Aufsichtsbehörden als kritisch eingestuft werden. Diese Klassifizierung unterzieht sie einer strengeren Aufsicht und höheren Anforderungen. 
  • Aufsichts- und Prüfrechte: Für kritische IKT-Drittdienstleister sieht DORA vor, dass die europäischen Aufsichtsbehörden direkte Aufsichts- und Prüfrechte haben. Das bedeutet, dass solche Dienstleister sich darauf einstellen müssen, von den Behörden überprüft zu werden und Nachweise über ihre Compliance mit den Anforderungen der neuen Verordnung zu erbringen. 
  • Informationsbereitstellung: Kritische IKT-Drittdienstleister müssen relevante Informationen über ihr Risikomanagement und ihre Sicherheitspraktiken bereitstellen. Sie sind verpflichtet, wesentliche Störungen und Vorfälle den beaufsichtigenden Finanzunternehmen und gegebenenfalls direkt den Aufsichtsbehörden zu melden. 
  • Vertragliche Anforderungen: DORA fordert von Finanzunternehmen, dass sie die Risiken, die mit der Auslagerung an IT-Dienstleister verbunden sind, genau bewerten und steuern. Dies bedeutet, dass Verträge mit IT-Dienstleistern den Anforderungen von DORA entsprechen müssen. Dazu gehören Vorgaben zur Auditierbarkeit, Datensicherheit und operativen Resilienz. 
  • Mögliche Empfehlungen und Sanktionen: Bei festgestellten Mängeln kann die Aufsichtsbehörde Empfehlungen aussprechen oder sogar verlangen, dass Finanzunternehmen die Nutzung bestimmter Dienstleistungen von kritischen IKT-Drittdienstleistern einschränken oder beenden. 

Wie wird DORA in Deutschland umgesetzt? 

Die Umsetzung der Verordnung über die digitale operationale Resilienz im Finanzsektor erfolgt in Deutschland durch das umfassende Finanzmarktdigitalisierungsgesetz (FinmadiG). Dieses Gesetz integriert nicht nur DORA, sondern auch andere relevante EU-Verordnungen, um eine kohärente Digitalisierungsstrategie im Finanzsektor zu fördern. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und die Deutsche Bundesbank spielen eine wichtige Rolle bei der Implementierung und Überwachung von DORA. Sie überwachen die Einhaltung der Bestimmungen durch deutsche Finanzinstitute und IKT-Drittdienstleister. 

Als Betreiber einer kritischen Infrastruktur in der EU ist es unerlässlich, sich mit den neuen Anforderungen von NIS 2 auseinanderzusetzen. Wir helfen Ihnen dabei, die Anforderungen von NIS 2 zu verstehen und umzusetzen, damit Sie den gesetzlichen Vorgaben entsprechen und Ihre kritischen Infrastrukturen schützen können.

Die BaFin spielt eine zentrale Rolle als nationaler Melde-Hub für IKT-Vorfälle im Finanzsektor. Finanzinstitute müssen signifikante IKT-bezogene Vorfälle an die BaFin melden, welche diese Informationen dann mit nationalen und europäischen Behörden teilt. Die BaFin unterstützt auch den Informationsaustausch zwischen Finanzunternehmen, um das Bewusstsein und die Reaktionsfähigkeit im Sektor zu erhöhen. 

Fazit

DORA markiert einen wichtigen Schritt der Europäischen Union zur Stärkung der digitalen operativen Resilienz im Finanzsektor. Die Verordnung legt einheitliche Regeln für Cybersicherheit, Risikomanagement und den Umgang mit IT-Dienstleistern fest und legt damit den Grundstein für einen sicheren und widerstandsfähigen Finanzmarkt in der EU. 

IT Security Spezialist

Unsere IT-Security-Spezialisten unterstützen Sie bei der Konzeption und Umsetzung von umfassenden IT-Security-Konzepten.

Mit der klaren Vorgabe, dass alle Finanzunternehmen sowie kritische IKT-Drittdienstleister die Anforderungen bis Januar 2025 umsetzen müssen, adressiert DORA direkt die wachsenden Bedrohungen durch Cyberangriffe und IT-Risiken. Das Finanzmarktdigitalisierungsgesetz stellt sicher, dass nationale Finanzinstitute und IKT-Dienstleister die Vorgaben erfüllen und so zur Gesamtresilienz des Sektors beitragen. Insgesamt trägt die Verordnung nicht nur zur Sicherheit einzelner Institute bei, sondern stärkt auch das Vertrauen in den Finanzmarkt als Ganzes und minimiert das Risiko systemischer Krisen.

FAQ

Was ist DORA?

DORA ist die Abkürzung für die EU-Verordnung über die digitale operationelle Widerstandsfähigkeit im Finanzsektor. Sie schafft einen Rechtsrahmen, der Finanzunternehmen dazu verpflichtet, ihre Cybersicherheit zu erhöhen, IT-Risiken effektiv zu managen und sicherzustellen, dass ihre Geschäftstätigkeit auch bei technischen Störungen fortgesetzt werden kann. 

Welche Hauptbereiche umfasst DORA? 

DORA deckt fünf Hauptbereiche ab: IKT-Risikomanagement, IKT-Vorfallmanagement, digitale operationelle Widerstandsfähigkeitstests, Drittparteienmanagement und Informationsaustausch. Diese Elemente sollen die Sicherheit und Widerstandsfähigkeit des Finanzsektors gegenüber IT-Risiken verbessern. 

Wer muss DORA umsetzen?

Alle beaufsichtigten Institute und Unternehmen des europäischen Finanzsektors müssen DORA umsetzen. Dazu gehören Banken, Versicherungen, Wertpapierfirmen, Zahlungsdienstleister und andere Finanzdienstleister. Auch kritische IKT-Dienstleister wie Cloud Service Provider und IT-Outsourcing-Unternehmen fallen unter diese Regelung. 

Wie wird DORA in Deutschland implementiert?

In Deutschland erfolgt die Umsetzung von DORA durch das Gesetz zur Digitalisierung des Finanzmarktes (FinmadiG). Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und die Deutsche Bundesbank überwachen die Einhaltung der DORA-Bestimmungen. Die BaFin fungiert zudem als zentrale Meldestelle für IKT-Vorfälle im Finanzsektor und fördert den Informationsaustausch zwischen den Unternehmen. 


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice