Was ist der Digital Operational Resilience Act (DORA)

DORA: Neue Compliance-Pflichten für Finanzunternehmen

Was ist DORA?

DORA (Verordnung (EU) 2022/2554) schafft einen harmonisierten Rechtsrahmen, um sicherzustellen, dass Finanzinstitute und deren IT-Dienstleister robuste Maßnahmen gegen Cyberangriffe und IT-Störungen implementieren. Ziel ist es, das europäische Finanzsystem widerstandsfähiger gegen digitale Bedrohungen zu machen.

Für wen gilt DORA?

DORA betrifft eine Vielzahl von Unternehmen und IT-Dienstleistern im Finanzsektor:

• Kreditinstitute (Banken)
• Versicherungsunternehmen
• Investmentgesellschaften
• Zahlungs- und E-Geld-Institute
• Krypto-Dienstleister
• Cloud- und ICT-Dienstleister für Finanzunternehmen
• Softwareentwickler, die Finanzunternehmen betreuen

Auch Drittanbieter, die IT-Dienste für Finanzunternehmen bereitstellen, unterliegen DORA und müssen entsprechende Sicherheitsanforderungen erfüllen.

Die wichtigsten Anforderungen von DORA

1. IKT-Risikomanagement

Unternehmen müssen ein strukturiertes ICT Risk Management Framework entwickeln, das folgende Punkte umfasst:

• Regelmäßige Risikoanalysen zur Identifizierung von Schwachstellen
• Implementierung von Schutzmaßnahmen und Notfallplänen
• Kontinuierliche Überwachung und Aktualisierung der Sicherheitsstrategien

2. Incident Management & Reporting

• Signifikante Sicherheitsvorfälle müssen sofort den Aufsichtsbehörden gemeldet werden
• Einführung einer Incident-Response-Strategie mit klaren Prozessen
• Dokumentation und Analyse von Vorfällen zur kontinuierlichen Verbesserung

3. Drittanbieter- und Lieferantenmanagement

• Risikoanalyse aller externen IT-Dienstleister
• Verträge mit Drittanbietern müssen DORA-konforme Sicherheitsanforderungen enthalten
• Einführung eines Monitoring-Systems zur laufenden Überprüfung der Dienstleister

4. Resilienz-Tests & Penetrationstests

• Regelmäßige Resilienz-Tests zur Überprüfung der Sicherheitsmaßnahmen
• Durchführung von Threat-Led Penetration Tests (TLPT) für kritische Systeme
• Berichterstattung der Testergebnisse an die zuständigen Behörden

5. Schulung & Sensibilisierung der Mitarbeiter

• Verpflichtende Cybersecurity-Schulungen für alle Mitarbeiter
• Sensibilisierung für Sicherheitsrisiken und Meldeprozesse
• DORA-relevante Schulungen in bestehende Sicherheitsrichtlinien integrieren

Was müssen KMU Unternehmen jetzt tun?

Unternehmen sollten sich frühzeitig auf die Einhaltung von DORA vorbereiten. Folgende Maßnahmen sind essenziell:

1. Gap-Analyse durchführen: Bestehende Prozesse auf DORA-Konformität prüfen
2. IKT-Risikomanagement optimieren: Sicherheitsmaßnahmen und Notfallpläne aktualisieren
3. Vertragsmanagement überprüfen: IT-Dienstleister und Partnerverträge anpassen
4. Resilienz-Tests etablieren: Regelmäßige Sicherheitsprüfungen durchführen
5. Mitarbeiter schulen: Sensibilisierung für Cyber-Risiken und Compliance-Anforderungen

Fragen und Antworten zum Digital Operational Resilience Act (DORA)

Was ist DORA und welches Ziel verfolgt es?

DORA (Digital Operational Resilience Act) ist eine EU-Verordnung, die am 17. Januar 2025 in Kraft getreten ist. Sie zielt darauf ab, die digitale operationale Resilienz des europäischen Finanzsektors zu stärken. Dies beinhaltet die Verbesserung der Fähigkeit von Finanzunternehmen und ihren IKT-Dienstleistern, Cyberrisiken zu widerstehen, auf IKT-bezogene Vorfälle zu reagieren und sich von ihnen zu erholen. Der Fokus liegt auf der Aufrechterhaltung eines widerstandsfähigen Betriebs im Falle einer schwerwiegenden Betriebsunterbrechung.

Wer ist von DORA betroffen?

DORA betrifft so gut wie alle beaufsichtigten Institute und Unternehmen des europäischen Finanzsektors, sowie deren IT-Dienstleister, insbesondere: Kreditinstitute, Zahlungsinstitute, Wertpapierfirmen, Versicherungsunternehmen, Vermögensverwalter, Krypto-Dienstleister und IKT-Dienstleister (einschließlich Cloud-Anbieter, Softwareentwickler, Rechenzentren, etc.). Ausnahmen gelten für bestimmte Kleinstunternehmen und Unternehmen, die unter bestehende Ausnahmen fallen (z.B. Verwalter alternativer Investmentfonds mit geringen Vermögenswerten).

Welche Hauptbereiche umfasst DORA?

DORA definiert Anforderungen in sechs wesentlichen Bereichen:

• IKT-Risikomanagement: Etablierung eines umfassenden Risikomanagement-Frameworks, das die Identifizierung, Bewertung und Überwachung von IKT-Risiken beinhaltet.
• Behandlung, Klassifizierung und Berichterstattung von IKT-Vorfällen: Einrichtung von Prozessen zur schnellen Erkennung, Reaktion, Meldung und Analyse von IKT-bezogenen Vorfällen.
• Testen der digitalen operationalen Resilienz: Regelmäßige Durchführung von Tests, einschließlich Schwachstellenscans und Penetrationstests, um die Widerstandsfähigkeit der IT-Systeme zu überprüfen.
• Management des IKT-Drittparteienrisikos: Sorgfältige Auswahl und Überwachung von IKT-Drittdienstleistern, um sicherzustellen, dass diese angemessene Sicherheitsstandards einhalten und die Risiken minimiert werden.
• Überwachungsrahmen für kritische IKT-Drittdienstleister: Striktere Aufsicht durch die Europäischen Aufsichtsbehörden (ESAs) für Dienstleister, die als kritisch für den Finanzsektor eingestuft werden.
• Vereinbarungen über den Austausch von Informationen sowie Cyberkrisen- und Notfallübungen: Förderung der Zusammenarbeit und des Informationsaustauschs, um Cyberbedrohungen gemeinsam zu bekämpfen.

Welche Rolle spielen die Europäischen Aufsichtsbehörden (ESAs) bei DORA?

Die ESAs (EBA, EIOPA und ESMA) spielen eine zentrale Rolle bei der Umsetzung und Überwachung von DORA. Sie sind für die Erstellung technischer Regulierungsstandards (RTS) und Durchführungsstandards (ITS) verantwortlich, die die Anforderungen von DORA konkretisieren. Zudem überwachen sie kritische IKT-Drittdienstleister, führen Inspektionen durch und können bindende Empfehlungen aussprechen. Sie veröffentlichen eine jährlich aktualisierte Liste der als kritisch eingestuften Dienstleister.

Welche Bedeutung hat das IKT-Drittparteienrisikomanagement unter DORA?

Das Management des IKT-Drittparteienrisikos ist ein zentraler Aspekt von DORA. Finanzunternehmen müssen eine Strategie für das Drittparteienrisiko entwickeln, ein Register aller genutzten IKT-Dienstleister führen und diese sorgfältig evaluieren. Verträge mit Dienstleistern müssen klare Regelungen zu Sicherheitsstandards, Meldepflichten und Ausstiegsstrategien enthalten. Es wird von Unternehmen erwartet, dass sie die Widerstandsfähigkeit ihrer Dienstleister überzeugen und somit sich proaktiv gegen mögliche Ausfälle zu schützen.

Was sind Threat-Led Penetration Tests (TLPT) und wann sind sie erforderlich?

Threat-Led Penetration Tests (TLPT) sind fortgeschrittene Sicherheitstests, bei denen reale Bedrohungsszenarien simuliert werden, um die Widerstandsfähigkeit der IT-Systeme zu überprüfen. DORA verpflichtet Finanzunternehmen, alle drei Jahre TLPT an Live-Produktionssystemen durchzuführen, die wichtige oder kritische Funktionen des Unternehmens unterstützen. Diese Tests müssen von qualifizierten und unabhängigen Testern durchgeführt werden.

Ab wann ist DORA anzuwenden und gibt es Übergangsfristen?

DORA ist am 16. Januar 2023 in Kraft getreten und ist ab dem 17. Januar 2025 anzuwenden. Eine weitere Übergangsfrist wird es nicht geben. Finanzunternehmen müssen ihre Prozesse und Systeme bis zu diesem Zeitpunkt an die neuen Anforderungen anpassen.

Wie unterstützt die BaFin die Umsetzung von DORA in Deutschland?

Die BaFin bereitet sich auf DORA vor, indem sie ihre Aufsichts- und Verwaltungspraxis anpasst und IT-Prozesse und -Systeme implementiert. Sie wird zum nationalen Melde-Hub für IKT-Vorfälle im Finanzsektor und nimmt Anzeigen im Rahmen des IKT-Drittparteienmanagements entgegen. Zudem veröffentlicht sie Aufsichtsmitteilungen und andere Informationen, um Unternehmen bei der Umsetzung von DORA zu unterstützen. Es gibt auch ein Funktionspostfach bei der BaFin für Fragen rund um DORA.

‍

Fazit: Warum ist DORA wichtig?

DORA ist mehr als nur eine regulatorische Vorschrift – es ist ein entscheidender Schritt zur Stärkung der Cyber-Resilienz im Finanzsektor. Unternehmen, die frühzeitig handeln, können Strafen vermeiden und ihre digitale Sicherheit erheblich verbessern.

Wer noch nicht vollständig konform ist, sollte jetzt handeln. Falls du Unterstützung bei der Umsetzung von DORA benötigst, kontaktiere uns gerne für eine Beratung.