Digital Operational Resilience Act

Der Digital Operational Resilience Act (DORA) stärkt ab 2025 die digitale Widerstandsfähigkeit im Finanzsektor. Betroffene Unternehmen müssen strenge IT-Sicherheitsanforderungen erfüllen.

Wir erklären, wer genau von dem Gesetz betroffen ist und welche Vorteile DORA für die Wirtschaft generell mit sich bringt.

Cybersicherheit auf einem neuen Level?

Die Cyberkriminalität floriert. Genau das ist der Grund dafür, weshalb die EU mit Hochdruck daran arbeitet, die Cybersicherheit in Europa auf ein neues Level zu heben. Eine ganze Reihe neuer Gesetze, Verordnungen und Richtlinien wurden daher in den vergangenen Jahren auf den Weg gebracht. Unter anderem: der Cyber Resilience Act (CRA), der Cybersecurity Act (CSA), die Radio Equipment Directive (RED) und die NIS2-Richtlinie. Sie alle sollen die IT-Sicherheit in ganz Europa deutlich verbessern. Ziel ist es, nicht nur Cyberangriffe abzuwehren, sondern auch im Ernstfall schnell reagieren und Schäden begrenzen zu können.

Die zahlreichen neuen Regelungen sorgen dafür, dass auf breiter Front gehandelt wird und alle Akteure – von Herstellern digitaler Produkte bis hin zu Betreibern wesentlicher Dienste – ihren Beitrag zu einem sicheren, digitalen Europa leisten. Ein besonderer Fokus liegt dabei auch auf dem Finanzsektor. Hier setzt der Digital Operational Resilience Act (DORA) an, der ab 2025 die digitale Resilienz stärken und Finanzunternehmen auf zukünftige Bedrohungen vorbereiten soll. Was das konkret bedeutet, erklären wir im Folgenden.

Was ist der Digital Operational Resilience Act?

Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung, die die digitale Widerstandsfähigkeit des europäischen Finanzsektors erheblich stärken soll. Sie wurde im Januar 2023 verabschiedet und ist ab dem 17. Januar 2025 verpflichtend anzuwenden. DORA soll sicherstellen, dass Banken, Versicherungen, Investmentfirmen und andere Finanzinstitute in der Lage sind, IT-Sicherheitsrisiken proaktiv zu managen und bei schweren Störungen handlungsfähig zu bleiben.

DORA bringt erstmals europaweit einheitliche Standards für den Umgang mit Informations- und Kommunikationstechnologie (IKT) in der Finanzbranche. Der Fokus liegt auf der Prävention und schnellen Reaktion auf IT-Vorfälle sowie der Minimierung von Risiken, die durch externe IT-Dienstleister entstehen. Die Verordnung deckt dabei alle relevanten Bereiche ab – von IT-Risikomanagement und Vorfallsmeldungen bis hin zu umfassenden Tests der digitalen Resilienz.

Die Regelung ist Teil der umfassenden Digitalstrategie der EU und soll den Finanzsektor widerstandsfähiger gegen die wachsende Bedrohung durch Cyberangriffe machen. Gleichzeitig bietet sie betroffenen Unternehmen die Möglichkeit, ihre Prozesse durch einheitliche Vorgaben zu optimieren und Vertrauen bei Kunden und Partnern zu stärken.

Warum ist DORA notwendig?

Der Finanzsektor ist das Herzstück der europäischen Wirtschaft – und gleichzeitig ein bevorzugtes Ziel von Cyberangriffen. Der Grund: Mit der zunehmenden Digitalisierung und der Abhängigkeit von IT-Systemen wächst die Bedrohung durch Hacker, Schadsoftware und IT-Ausfälle auch in dieser Branche. Angriffe können dabei potenziell nicht nur einzelne Unternehmen, sondern ganze Märkte destabilisieren und weitreichende wirtschaftliche Schäden verursachen.

Ein weiteres Problem ist die enge Verflechtung mit IT-Dienstleistern. Viele Finanzunternehmen lagern ihre IT-Aufgaben aus, um Kosten zu sparen oder ihre Effizienz zu steigern. Dadurch geraten die externen IT-Dienstleister wiederum verstärkt ins Visier der Angreifer. Denn: Glückt ein solcher Angriff, kann dies auch die betreuten Finanzunternehmen empfindlich treffen. Die Sicherheitslücken in dieser Service-Lieferkette zu schließen, ist daher eine zentrale Herausforderung.

Und genau hier setzt DORA an. Die Verordnung soll nicht nur die Sicherheitsstandards erhöhen, sondern auch dafür sorgen, dass Unternehmen und ihre IT-Dienstleister besser auf Cybervorfälle vorbereitet sind. Durch einheitliche Regeln und klare Verantwortlichkeiten wird der Finanzsektor widerstandsfähiger und stabiler – und damit auch der europäische Markt als Ganzes.

Wer ist vom Digital Operational Resilience Act betroffen?

Der Digital Operational Resilience Act betrifft zahlreiche Unternehmen aus dem Finanzsektor. Betroffen sind unter anderem Banken, Versicherungen, Wertpapierfirmen, Anbieter von Kryptowährungen und Handelsplattformen. Aber auch kleinere Akteure wie Zahlungsdienstleister oder Finanztechnologieunternehmen sind zur Umsetzung der neuen Regelung verpflichtet. Insgesamt sind es mehr als 20 verschiedene Typen von Finanzunternehmen, die DORA in ihrer täglichen Arbeit umsetzen müssen.

Eine Besonderheit der Verordnung: Sie bezieht auch IKT-Drittanbieter ein, also Unternehmen, die IT-Dienstleistungen für den Finanzsektor bereitstellen. Das bedeutet, dass nicht nur Finanzunternehmen, sondern auch ihre externen Partner stärker in die Verantwortung genommen werden, um einheitlich hohe Sicherheitsstandards zu gewährleisten.

Kleinere Unternehmen und Start-ups profitieren vom sogenannten Proportionalitätsprinzip: Sie müssen zwar ebenfalls DORA einhalten, ihre Pflichten sind jedoch an Größe und Risikoprofil angepasst. Dadurch will die EU sicherstellen, dass alle Marktteilnehmer zu einem sicheren Finanzökosystem beitragen können – unabhängig von ihrer Größe.

Digital Operational Resilience Act: die sechs Kernbereiche

Der Digital Operational Resilience Act definiert sechs wesentliche Bereiche, um die digitale Widerstandsfähigkeit von Finanzunternehmen zu stärken. Diese folgenden Kernpunkte legen fest, wie IT-Risiken effektiv gemanagt und gemindert werden können:

• IKT-Risikomanagement:
  Unternehmen müssen ein umfassendes Rahmenwerk einführen, das IT-Risiken identifiziert, bewertet und minimiert. Dieses muss regelmäßig überprüft und an neue Bedrohungen angepasst werden.
• Meldung von IT-Vorfällen:
  Finanzunternehmen sind verpflichtet, schwerwiegende IT-Vorfälle an die zuständigen Behörden zu melden. Diese Meldungen sollen die Transparenz erhöhen und die Zusammenarbeit bei der Bewältigung von Vorfällen verbessern.
• Tests der digitalen Resilienz:
  Neben Basis-Tests wie Schwachstellenscans müssen systemrelevante Unternehmen auch fortgeschrittene Tests wie Threat-Led-Penetration-Tests durchführen. Diese Tests simulieren reale Angriffe, um Schwachstellen frühzeitig zu erkennen.
• Management von Drittanbieterrisiken:
  Unternehmen müssen ihre Abhängigkeiten von IT-Dienstleistern dokumentieren und entsprechende Risiken bewerten. Klare Regelungen für Verträge und Überwachungsprozesse sind hierbei zentral.
• Aufsicht und Regulierung kritischer IT-Dienstleister:
  Anbieter, die als systemrelevant gelten, unterliegen einer direkten Überwachung durch europäische Behörden. Diese Maßnahme soll sicherstellen, dass Risiken in der gesamten Lieferkette minimiert werden.
• Informationsaustausch und Krisenübungen:
  Der freiwillige Austausch von Informationen über Cyberbedrohungen soll Unternehmen bei der Früherkennung unterstützen. Zusätzlich werden regelmäßige Übungen durchgeführt, um die Resilienz zu stärken.

Diese Kernbereiche zeigen, dass DORA ein ganzheitlicher Ansatz zur Cybersicherheit ist. Finanzunternehmen werden nicht nur in die Pflicht genommen, sondern erhalten auch Werkzeuge, um sich langfristig besser gegen digitale Bedrohungen zu schützen.

Umsetzung bringt Herausforderungen mit sich

Die Umsetzung der DORA-Anforderungen stellt Finanzunternehmen vor eine Vielzahl von Aufgaben. Von der Einführung neuer Prozesse bis hin zur Anpassung bestehender Strukturen ist ein umfassender Aufwand nötig, um den Regelungen gerecht zu werden. Hier die größten Herausforderungen:

• Aufbau eines Informationsregisters:
  Unternehmen müssen ein detailliertes Register erstellen, das alle IT-Dienstleistungen und zugehörigen Verträge dokumentiert. Dies erfordert nicht nur eine präzise Datenerfassung, sondern auch eine laufende Aktualisierung.
• Anpassung von Verträgen mit IT-Dienstleistern:
  Alle bestehenden Verträge mit Drittanbietern müssen auf ihre Konformität mit DORA überprüft und angepasst werden. Neue Mindestanforderungen wie Sicherheitsstandards und Notfallpläne erhöhen den Verwaltungsaufwand.
• Ressourcen- und Wissensmangel:
  Viele Unternehmen, insbesondere kleinere, verfügen nicht über das notwendige Know-how oder die Kapazitäten, um die Anforderungen alleine umzusetzen. Externe Berater oder spezialisierte Dienstleister können hier Abhilfe schaffen.
• Fehlende Standards und Richtlinien:
  Die Umsetzung von DORA wird durch die bislang fehlende Standardisierung erschwert. Unternehmen müssen individuelle Lösungen entwickeln, um die Anforderungen zu erfüllen.

Trotz dieser Herausforderungen bietet DORA auch Chancen. Die Einführung neuer Prozesse und Technologien kann langfristig die Effizienz und Sicherheit von Finanzunternehmen steigern. Für eine erfolgreiche Umsetzung sollten Unternehmen frühzeitig mit der Planung beginnen und – wenn nötig – auf externe Unterstützung setzen.

DORA eröffnet neue Chancen!

Trotz der Herausforderungen, die die Umsetzung von DORA mit sich bringt, bietet die Verordnung auch zahlreiche Chancen für Unternehmen. Denn: Sie geht über reine Compliance hinaus und schafft langfristige Vorteile für den Finanzsektor und darüber hinaus. Hier unser Überblick über die wichtigsten Vorteile:

• Verbesserung der digitalen Resilienz:
  Durch die Umsetzung der DORA-Vorgaben werden Unternehmen widerstandsfähiger gegenüber Cyberangriffen und IT-Ausfällen. Dies stärkt nicht nur die Sicherheitsstrukturen, sondern auch das Vertrauen von Kunden und Partnern. Auch Unternehmen, die nicht direkt von DORA betroffen sind, profitieren von der gestiegenen IT-Sicherheit ihrer Geschäftspartner und Lieferketten.
• Optimierung interner Prozesse:
  Die Harmonisierung von Prozessen im IT-Risikomanagement und bei der Zusammenarbeit mit Drittanbietern führt zu einer höheren Effizienz. Automatisierte Systeme und standardisierte Vorgehensweisen können Ressourcen sparen und Fehler reduzieren. Diese optimierten Prozesse wirken sich positiv auf die Stabilität von Geschäftsbeziehungen aus und minimieren außerdem potenzielle Ausfälle in der Wertschöpfungskette.
• Wettbewerbsvorteile durch Compliance:
  Unternehmen, die die DORA-Anforderungen erfüllen, können sich als Vorreiter im Bereich Cybersicherheit positionieren. Das kann ein entscheidender Faktor für die Gewinnung neuer Kunden und Partner sein. Nicht direkt betroffene Unternehmen können hiervon profitieren, indem sie mit Partnern zusammenarbeiten, die durch ihre Compliance ein höheres Maß an Sicherheit gewährleisten.
• Förderung der Zusammenarbeit im Finanzsektor:
  Der Informationsaustausch zu Cyberbedrohungen schafft eine engere Vernetzung zwischen Unternehmen. Dies ermöglicht eine frühzeitige Erkennung von Risiken und eine bessere Abwehr. Auch branchenfremde Unternehmen profitieren, da die Resilienz des gesamten Wirtschaftsraums gestärkt wird und kritische Störungen abgemildert werden können.

DORA zeigt: Die Verordnung stärkt nicht nur den Finanzsektor, sondern schafft Mehrwerte für alle Unternehmen, die auf sichere und stabile Geschäftsbeziehungen angewiesen sind. Wer die Vorteile erkennt, kann langfristig von einer sichereren digitalen Infrastruktur profitieren.

Aktueller Stand zu DORA in Deutschland

In Deutschland haben sich zahlreiche Behörden und Unternehmen bereits intensiv auf die Umsetzung von DORA vorbereitet – der nahende Stichtag war und ist hier Motivation genug. So sind beispielsweise die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und die Deutsche Bundesbank bereits dafür gewappnet, Finanzunternehmen bei der Einhaltung der neuen Regelungen zu unterstützen. Unter anderem mit Informationsveranstaltungen, Leitlinien und die Anpassung bestehender IT-Überwachungsstrukturen.

Besonders wichtig ist die Rolle der BaFin als zentraler Melde-Hub für IT-Vorfälle im Finanzsektor. Sie wird zukünftig Berichte über Cyberangriffe entgegennehmen, analysieren und bei Bedarf weitere Maßnahmen einleiten. Gleichzeitig arbeitet die BaFin daran, Finanzunternehmen bei der Anpassung von IT-Prozessen und Verträgen an die neuen Anforderungen zu begleiten.

Obwohl der deutsche Finanzsektor durch bestehende Richtlinien wie die BAIT (Bankaufsichtliche Anforderungen an die IT) gut aufgestellt ist, bleibt die Umsetzung von DORA eine Herausforderung. Es gilt für Unternehmen, Behörden und Dienstleistern, bis zum 17. Januar 2025 vollständig compliant zu sein.

Tipps: Digital Operational Resilience Act umsetzen

Um die Anforderungen von DORA zu erfüllen, sollten Unternehmen, die es bislang versäumt haben, umgehend mit der Planung und Umsetzung beginnen. Eine strukturierte Herangehensweise hilft, Risiken zu minimieren und die Compliance sicherzustellen. Hier die wichtigsten Schritte in der Übersicht:

• Führen Sie eine GAP-Analyse durch!
  Analysieren Sie Ihre aktuellen IT-Sicherheitsmaßnahmen und identifizieren Sie Schwachstellen im Hinblick auf die DORA-Anforderungen. Diese Bestandsaufnahme bildet die Grundlage für gezielte Verbesserungen und Priorisierungen.
• Überprüfen Sie Verträge mit Drittanbietern!
  Stellen Sie sicher, dass bestehende Verträge alle geforderten Inhalte wie Sicherheitsstandards, Meldepflichten und Notfallpläne enthalten. Überarbeiten Sie alte Vereinbarungen, um sie mit den neuen Regelungen in Einklang zu bringen.
• Stärken Sie Ihr IT-Risikomanagement!
  Implementieren Sie ein Rahmenwerk, das IT-Risiken systematisch bewertet, überwacht und dokumentiert. Der Einsatz von automatisierten Tools kann hier die Effizienz erhöhen und Fehler vermeiden.
• Planen Sie Tests der digitalen Resilienz!
  Führen Sie regelmäßig Basistests wie Schwachstellenscans durch und prüfen Sie, ob für Ihr Unternehmen fortgeschrittene Tests wie Threat-Led-Penetration-Tests erforderlich sind. Diese Tests helfen, potenzielle Schwachstellen frühzeitig zu erkennen.
• Sensibilisieren Sie Ihre Mitarbeiter!
  Schulungen und Awareness-Programme sorgen dafür, dass alle Mitarbeiter – einschließlich der Geschäftsführung – die Bedeutung von IT-Sicherheit verstehen und ihre Rolle bei der Einhaltung von DORA kennen.

Mit einer klaren Strategie und konsequenter Umsetzung können Unternehmen die DORA-Anforderungen nicht nur erfüllen, sondern auch ihre Resilienz nachhaltig verbessern. Fakt ist: Durch die Umsetzung des Digital Operational Resilience Acts minimieren Unternehmen etwaige Risiken und stärken die eigene Position im Markt.

IT-Dienstleister unterstützen bei DORA

Die Umsetzung der DORA-Anforderungen kann für viele Unternehmen eine komplexe Aufgabe sein – insbesondere dann, wenn interne Ressourcen knapp sind. Wie bereits erwähnt, können externe Dienstleister dabei helfen, die Herausforderung anzunehmen und zu bewältigen. Die Experten aus dem IT-SERVICE.NETWORK beispielsweise können betroffene Unternehmen mit ihrem umfassenden Know-how im Bereich IT-Sicherheit dabei unterstützen, die Vorgaben der Verordnung effizient zu erfüllen.

Und auch dann, wenn Unternehmen nicht von DORA betroffen sind, bieten unsere Experten von der Analyse aktuelle IT-Strukturen über die Anpassung von Sicherheitskonzepten bis hin zur Implementierung geeigneter Tools praxisorientierte Lösungen. Unsere Fachleute helfen Unternehmen dabei, nicht nur ihre Compliance zu sichern, sondern auch ihre digitale Widerstandsfähigkeit nachhaltig zu stärken. Kontaktieren Sie eines unserer Systemhäuser in Ihrer Nähe und lassen Sie sich beraten!

---

Weiterführende Informationen:
BaFin, Eur-Lex, eiopa, IT-BUSINESS, IT-Finanzmagazin, Dr. Datenschutz
Zur besseren Lesbarkeit verwenden wir im Text die männliche Form. Gemeint sind jedoch immer alle Geschlechter und Geschlechtsidentitäten.