Kontakt

    Letzte Suche

      Beliebte Suchen

      Quicklinks

      Security

      DORA – Digital Operational Resilience Act unter der Lupe

      Mit der Einführung des Digital Operational Resilience Act (DORA) in der Europäischen Union (EU) soll die digitale Widerstandsfähigkeit von Finanzunternehmen gestärkt werden. Eine schwierige und überaus wichtige Aufgabe, wenn man bedenkt, dass Finanzunternehmen zunehmend von digitalen Systemen abhängig sind.  

      Die klar definierten Anforderungen der Richtlinie sollen betroffene Unternehmen des Finanzsektors widerstandsfähiger und weniger anfällig für Cyberangriffe sowie Vorfälle der Informations- und Kommunikationstechnologie (IKT) machen. Worum es bei DORA genau geht und welche Unternehmen betroffen sind, erfahren Sie hier. 

      Lesedauer 7 Minuten

      Das Wichtigste in Kürze:

      • Die seit 17. Januar 2025 geltende DORA-Verordnung fordert von Finanzunternehmen und IT-Dienstleistern in der Europäischen Union (EU) ein umfassendes Risikomanagement, regelmäßige Resilienz-Tests und die Meldung von Sicherheitsvorfällen.
      • Durch eine strenge Regulierung von Drittanbietern unterliegen IT-Dienstleister, z. B. Cloud-Anbieter oder Zahlungsabwickler, verstärkten Kontrollen, um Cyberrisiken zu minimieren.
      • Die Einhaltung der DORA-Verordnung wird von EU-Behörden überwacht, Verstöße können zu Geldstrafen und regulatorischen Einschränkungen führen. 

       

      Inhaltsverzeichnis:

       

      DORA ist da: Worum geht es bei der EU-Verordnung genau? 

      Als Verordnung der EU wurde DORA bereits im Dezember 2022 verabschiedet und ist am 17. Januar 2025 in Kraft getreten. Dabei ist eine Vielzahl von Unternehmen aus dem Finanzbereich betroffen, u. a. Banken, Versicherungen, Zahlungsdienstleister und IT-Drittanbieter. 

      Die Verordnung sieht einige Maßnahmen vor, die die betroffenen Unternehmen umzusetzen haben. Ähnlich wie bei der NIS-2-Richtlinie legt die DORA-Verordnung verpflichtende Maßnahmen im IT-Risikomanagement fest, außerdem wird die Erstellung von Notfallplänen gefordert und das zeitnahe Melden IKT-bezogener Vorfälle sowie regelmäßige Resilienz- und Penetrationstests werden ebenfalls gefordert.  

      Darüber hinaus soll eine verstärkte Kontrolle und ein umfassendes Risikomanagement hinsichtlich Drittanbietern sichergestellt werden, beispielsweise gegenüber Zahlungsdienstleistern. 

       

      Wen betrifft DORA und welche Unternehmen müssen sich daran halten?

      Prinzipiell richtet sich die Verordnung an Finanzunternehmen und deren IT-Drittanbieter, die in der EU tätig sind. Die Verordnung gilt direkt und verpflichtend für die betroffenen Unternehmen. 

      Diese lassen sich in zwei Kategorien teilen: 

      Finanzinstitute  IT-Dienstleister mit kritischer Infrastruktur 
      • Banken und Kreditinstitute 
      • Versicherungen 
      • Wertpapierfirmen und Investmentgesellschaften 
      • Pensionsfonds 
      • Krypto-Dienstleister wie Wallet-Anbieter oder Krypto-Börsen 
      • Finanzmarktinfrastrukturen wie Börsen 
      • Cloud-Anbieter und andere IT-Drittanbieter 
      • Software-Anbieter für Banken und Versicherungen 
      • Zahlungsabwickler und Plattformen 
      • Dienstleister im Bereich Cybersecurity 
      • Datenanalysten und KI-Dienstleister im Finanzsektor 

      Die Nichteinhaltung der Pflichtmaßnahmen kann mit Geldstrafen geahndet werden, außerdem ist die Rede von möglichen regulatorischen Einschränkungen. Kritische IT-Dienstleister können somit von den Aufsichtsbehörden dazu verpflichtet werden, ihre Sicherheitsmaßnahmen zu verbessern oder ihren Betrieb in der EU anzupassen. 

       

      Die wichtigsten Anforderungen von DORA im Überblick 

      Der Digital Operational Resilience Act (DORA) stellt fünf zentrale Anforderungen an Finanzunternehmen und ihre IT-Drittanbieter. Durch ihre Umsetzung sollen Cyberrisiken minimiert und die digitale Widerstandsfähigkeit der Unternehmen gestärkt werden. 

      Dabei geht es um folgende Aspekte: 

       

      dora-schwerpunkte

      1) IKT-Risikomanagement 

      Die betroffenen Unternehmen müssen über die folgenden Maßnahmen ein umfassendes IKT-Risikomanagement implementieren: 

      • Identifikation, Bewertung und Minimierung von IT-Risiken 
      • Etablieren von Sicherheitsrichtlinien und -prozessen 
      • Erstellung von Business-Continuity- und Disaster-Recovery-Plänen 
      • Klare Definition von Verantwortlichkeiten innerhalb der Organisation 

      2) IT-Vorfallerkennung, -meldung und -bewältigung 

      Betroffene Unternehmen müssen Cyberangriffe und IT-Störungen systematisch erfassen und melden. Dabei kommt es im Wesentlichen auf die folgenden Schritte an: 

      • Meldung schwerwiegender Vorfälle an die zuständigen Behörden 
      • Dokumentation und Analyse von Sicherheitsvorfällen 
      • Maßnahmen zur Wiederherstellung nach Vorfällen 
      • Informationsaustausch über Cyberbedrohungen mit Behörden und anderen Unternehmen 

      3) Eine verbesserte Kontrolle von Drittanbieter-Risiken sowie ein Überwachungs-Framework für Drittdienstleister 

      Betroffene Unternehmen müssen ihre IT-Drittanbieter, z. B. Cloud-Services, Softwareanbieter oder Zahlungsdienstleister, aktiv überwachen und mögliche Risiken minimieren. Dabei spielen die folgenden Maßnahmen eine Rolle: 

      • Risikobewertungen und Audits von externen IT-Dienstleistern 
      • Sicherheitsanforderungen in Verträgen mit Drittanbietern 
      • Einsatz alternativer Anbieter für Notfälle (z. B. Multi-Cloud-Strategien) 
      • Überwachung kritischer IT-Drittanbieter durch EU-Behörden 
      4) Testen der digitalen operationalen Resilienz 
      • Für die betroffenen Unternehmen wird die Durchführung regelmäßiger Resilienz- und Stresstests zur Pflicht: 
      • Penetrationstests für kritische Systeme 
      • Szenariotests für Cyberangriffe 
      • Übungen zur Notfallbewältigung 
      • Überprüfung der Sicherheitsmaßnahmen 

      On-Demand-Webinar Pentesting 101 - Proaktive Sicherheit für Ihr Unternehmen   Penetrationstests sind ein essenzielles Element der DORA-Verordnung, um die digitale operationale Resilienz im Unternehmen zu testen.   Erfahren Sie in diesem kostenfreien Webinar, wie Pentesting als kritischer Bestandteil Ihrer Sicherheitsstrategie dazu beitragen kann, Ihr Unternehmen vor Cyberangriffen zu schützen.     


      5) Gemeinsamer Informationsaustausch hinsichtlich Cyberbedrohungen 

      Finanzinstitute sollen Informationen zu Cyberrisiken und Angriffsmethoden austauschen, um gemeinsam mit den anderen Akteuren in der Finanzbranche aktiv Bedrohungen zu bekämpfen. Dazu gehören die folgenden Maßnahmen: 

      • Kooperation mit anderen Unternehmen und Behörden 
      • Erfahrungsaustausch zu Cyberangriffen und IT-Risiken 
      • Förderung eines starken, gemeinschaftlichen Sicherheitsnetzwerks 

      icon-orange-115

       

      Wichtig zu wissen:  

      DORA ist am 17. Januar verbindlich und unmittelbar in Kraft getreten. Aufsichtsbehörden wie EBA, ESMA und EIOPA überprüfen seit dem Stichtag die Einhaltung.  

      Sofern die Maßnahmen von betroffenen Unternehmen nicht umgesetzt worden sind, können die Finanzaufsichtsbehörden Geldstrafen und Sanktionen verhängen. Insbesondere für kritische IT-Dienstleister sind sogar Betriebseinschränkungen möglich. 

       

      DORA vs. NIS-2: Wo liegen die Unterschiede?

      Einige der geforderten Maßnahmen aus der DORA-Verordnung mögen an die NIS-2-RIichtlinie erinnern. Tatsächlich verfolgen beide gesetzliche Regelungen das Ziel, die Cybersicherheit zu stärken, unterscheiden sich jedoch in ihrem Anwendungsbereich und ihren Schwerpunkten.  

      Nachfolgend zeigen wir die wesentlichen Unterschiede zwischen beiden Regelwerken auf.

      dora-vs-nis-2-vergleich

       

      Digitale Resilienz im Finanzsektor mit DORA

      Die seit 17. Januar 2025 geltende DORA-Verordnung stellt einen bedeutenden Meilenstein für die digitale Widerstandsfähigkeit des Finanzsektors in der EU dar. Sie betrifft nicht nur Banken, sondern auch Versicherungen, FinTechs, Krypto-Dienstleister und IT-Drittanbieter.  

      Angesichts der zunehmenden Digitalisierung und der wachsenden Bedrohung durch Cyberangriffe setzt DORA verbindliche Standards für Finanzunternehmen und deren IT-Dienstleister. 

      Im Vergleich zur NIS-2-Richtlinie, die auf eine breitere Palette kritischer Infrastrukturen abzielt, fokussiert sich DORA spezifisch auf den Finanzsektor und dessen digitale Betriebsstabilität. 

      Die fünf zentralen Anforderungen – vom IKT-Risikomanagement über Vorfallmeldung bis hin zur Kontrolle von Drittanbietern – tragen dazu bei, Risiken frühzeitig zu erkennen und die operative Resilienz zu stärken. 

      Doch unabhängig von der gesetzlichen Pflicht sind die geforderten Maßnahmen essenziell für die Sicherheit in der Finanzbranche. Die Umsetzung ermöglicht es den einzelnen Akteuren sich besser vor Cyberangriffen zu schützen und ihre digitale Resilienz zu verbessern. 

      Ein ganzheitlicher Ansatz in der IT-Sicherheit wird deshalb immer wichtiger. Wenn Sie Unterstützung dabei brauchen, ist das Team der netgo gerne an Ihrer Seite – mit zeitgemäßen Lösungen aus einer Hand und der passenden Beratung.

      Weitere Beiträge

      Alle Artikel ansehen

      Security

      28 November 2024

      ZTNA vs. VPN: Welche Lösung ist besser für Unternehmen?
      Zero Trust und VPNs verfolgen unterschiedliche Strategien und setzen auf teils gegensätzliche Sicherheitskonzepte. Während VPNs in erster Linie den sicheren Netzwerkzugang sicherstellen sollen, geht Zero Trust einen Schritt weiter und...
      Weiterlesen

      Security

      16 Oktober 2024

      Künstliche Intelligenz (KI) in der Cybersicherheit
      Künstliche Intelligenz (KI) begegnet uns mittlerweile täglich, ob im Privatleben oder im Beruf. Die Einsatzmöglichkeiten in den unterschiedlichen Bereichen im Unternehmen sind dabei sehr vielfältig. In diesem Blogartikel erfahren Sie,...
      Weiterlesen

      Security

      9 Oktober 2024

      Die wichtigsten Fakten zum Cyber Resilience Act
      Durch den Cyber Resilience Act (CRA) soll die Cybersicherheit von Produkten mit digitalen Elementen in der Europäischen Union gestärkt werden. Was beinhaltet der Cyber Resilience Act im Detail und welche Pflichtmaßnahmen kommen auf...
      Weiterlesen