Skip to content.
Back to All Articles Next Article
8 Oct 2024 Artikel

Alles über DORA: Was umfasst der Digital Operational Resilience Act?

Der Digital Operational Resilience Act, kurz: DORA, ist ein neuer, 2022 verabschiedeter  Regulierungsrahmen der EU. Er ist eine Reaktion auf die steigende Anzahl (versuchter) Cyberattacken und verfolgt das Ziel eines signifikant höheren Sicherheitsniveaus. DORA soll die Sicherheit in der Informations- und Kommunikationstechnologie (IKT) verbessern und die Widerstandsfähigkeit des europäischen Finanzsektors auch im Falle schwerwiegender digitaler Betriebsstörungen sicherstellen. 

Der Digital Operational Resilience Act, kurz: DORA, ist ein neuer, 2022 verabschiedeter  Regulierungsrahmen der EU. Er ist eine Reaktion auf die steigende Anzahl (versuchter) Cyberattacken und verfolgt das Ziel eines signifikant höheren Sicherheitsniveaus.

Was ist DORA?

Im September 2020 veröffentlichte die EU Kommission den ersten Entwurf des Digital Operational Resilience Acts (DORA) mit dem Ziel, einen Regulierungsrahmen zu schaffen, der die Widerstandsfähigkeiten des europäischen Finanzsektors stärken sollte. DORA dient der Harmonisierung und Vereinheitlichung bestehender Regularien in den Bereichen Cybersicherheit und Informations- und Kommunikationstechnik (IKT) auf dem europäischen Finanzmarkt durch die Stabilisierung der digitalen operationellen Resilienz. Zudem schafft DORA einen Rechtsrahmen für die Überwachung kritischer IKT-Drittanbieter*innen wie beispielsweise große Cloud-Anbieter.

Die wichtigsten Bestimmung von DORA

KT-Risikomanagement: 

Finanzunternehmen müssen umfassende IKT-Risikomanagement-Systeme zur Sicherung der Cyber-Resilienz und Erkennung von IKT-bezogenen Vorfällen (inkl. Identifikation, Priorisierung, Umgang, Lösung und Meldung) einrichten. 

Meldung von Vorfällen: 

Wie oben erwähnt sind Unternehmen dazu verpflichtet, IKT-bezogene Vorfälle unverzüglich den zuständigen Behörden zu melden und regelmäßig Updates zu geben. Dazu werden Frühwarnsysteme weiterentwickelt und Kriterien zur Klassifikation festgelegt. 

Prüfung der digitalen Betriebsstabilität

Unternehmen sind verpflichtet, neuartige Tests einzuführen (Threat Intelligence und Threat-Led-Penetration-Tests, kurz: TLPT). Durch regelmäßige Tests soll die digitale operationale Resilienz sichergestellt werden. 

Risikomanagement von Drittanbietern: 

Die Überwachung von externen IKT-Dienstleistern und die Durchführung einer Sorgfaltsprüfung (Due Diligence) zur Risikovermeidung gehören ebenfalls zu den Vorgaben von DORA.

Informationsaustausch: 

Ein weiterer wesentlicher Bestandteil von DORA ist die Vorgabe, dass sich Finanzinstitute über Cyber-Bedrohungen austauschen, um die kollektive Widerstandsfähigkeit gegen Cybersicherheit zu verbessern.

Am 14. Dezember 2022 haben das Europäische Parlament und der Europäische Rat die Verordnung über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act) beschlossen. Sie ist am 17. Januar 2023 in Kraft getreten und wird ab dem 17. Januar 2025 angewendet, wie auf der Webseite der Bundesanstalt für Finanzdienstleistungsaufsicht nachzulesen ist. 

Diesen Zweck erfüllt DORA

DORA dient in erster Linie der Verbesserung der Cybersicherheit, der Sicherstellung der operationalen Resilienz und der Harmonisierung von verschiedenen Regularien. 

Ziel ist es, Netz- und Informationssysteme innerhalb der EU im Falle einer schwerwiegenden Betriebsunterbrechung, beispielsweise infolge einer Cyberattacke, zu sichern.

Vor dem Inkrafttreten von DORA, agierten alle EU-Mitgliedsstaaten anhand ihrer eigenen, länderspezifischen Richtlinien. Daraus ergab sich jedoch ein Flickenteppich an Anforderungen, der für Unternehmen in der Finanzdienstleistungsbranche wie beispielsweise Kreditinstitute, Versicherungsunternehmen oder Zahlungsdienstleister schwierig zu durchschauen und umzusetzen war. Mit DORA wollte die EU einen einheitlichen Rahmen zur Reduzierung von IKT-Risiken und Cyberattacken schaffen. Das gemeinsame Regelwerk aller EU-Staaten erleichtert die Einhaltung für die Akteure und verbessert gleichzeitig die Widerstandsfähigkeit des gesamten EU-Finanzsektors. 

Der Umfang von DORA

DORA gilt für alle Institutionen des Finanzsektors innerhalb der EU. Zu diesem breiten Feld gehören unter anderem:

  • Payment Service Provider
  • Banken und Kreditinstitute
  • Kryptodienstleister
  • Investment- und Wertpapierunternehmen 
  • Ratingagenturen
  • Versicherungsunternehmen 

DORA gilt als sehr weitreichend und deckt auch Services von Drittanbietern ab, zum Beispiel Datenanalysen oder Bonitätsprüfungen.

Die Auswirkungen von DORA auf Finanzinstitute

DORA hat erhebliche Auswirkungen auf die Finanzdienstleistungsbranche innerhalb der EU und in Großbritannien. Auch nach dem Austritt Großbritanniens aus der EU müssen britische Unternehmen, die in der EU tätig sind, DORA-konform agieren. Eine gute Nachricht ist: Ein Großteil der DORA-Anforderungen ist aus den bestehenden Regulierungen bekannt und wird sowohl von Unternehmen in der EU als auch in GB bereits erfüllt. Dennoch sollte – falls noch nicht geschehen – dringend eine Konformitätsprüfung erfolgen.

Weitere wichtige Regularien im Bereich Payment erfahren

Neue Regularien des europäischen Payment Sektors sowie Updates bestehender Gesetze und Verordnungen bringen 2023 Bewegung in die Finanzbranche. Wir haben einen umfassenden Guide erstellt, mit dessen Hilfe Sie den Überblick über die bestehende Rechtslage behalten. Laden Sie sich gerne unseren umfassenden Report herunter, falls Sie Handlungsschritte für Ihr Unternehmen ableiten oder alle kritische Deadlines in einem Dokument sehen wollen. Außerdem zeigen wir Ihnen auf, worin die Vorteile eines klaren Regelwerks für Sie und Ihr Unternehmen liegen.