{"id":4309,"date":"2024-07-30T08:04:00","date_gmt":"2024-07-30T06:04:00","guid":{"rendered":"https:\/\/britepayments.com\/de\/?p=4309"},"modified":"2025-11-04T12:51:07","modified_gmt":"2025-11-04T10:51:07","slug":"dora-digital-operational-resilience-act","status":"publish","type":"post","link":"https:\/\/britepayments.com\/de\/resources\/artikel\/dora-digital-operational-resilience-act\/","title":{"rendered":"Alles \u00fcber DORA: Was umfasst der Digital Operational Resilience Act?"},"content":{"rendered":"\n

Der Digital Operational Resilience Act, kurz: DORA, ist ein neuer, 2022 verabschiedeter  Regulierungsrahmen der EU. Er ist eine Reaktion auf die steigende Anzahl (versuchter) Cyberattacken und verfolgt das Ziel eines signifikant h\u00f6heren Sicherheitsniveaus. DORA soll die Sicherheit in der Informations- und Kommunikationstechnologie (IKT) verbessern und die Widerstandsf\u00e4higkeit des europ\u00e4ischen Finanzsektors auch im Falle schwerwiegender digitaler Betriebsst\u00f6rungen sicherstellen. <\/strong><\/p>\n\n\n\n

Was ist DORA?<\/strong><\/strong><\/h2>\n\n\n\n

Im September 2020 ver\u00f6ffentlichte die EU Kommission den ersten Entwurf des Digital Operational Resilience Acts (DORA) mit dem Ziel, einen Regulierungsrahmen zu schaffen, der die Widerstandsf\u00e4higkeiten des europ\u00e4ischen Finanzsektors st\u00e4rken sollte. DORA dient der Harmonisierung und Vereinheitlichung bestehender Regularien in den Bereichen Cybersicherheit und Informations- und Kommunikationstechnik (IKT) auf dem europ\u00e4ischen Finanzmarkt durch die Stabilisierung der digitalen operationellen Resilienz. Zudem schafft DORA einen Rechtsrahmen f\u00fcr die \u00dcberwachung kritischer IKT-Drittanbieter*innen wie beispielsweise gro\u00dfe Cloud-Anbieter.<\/p>\n\n\n\n

Die wichtigsten Bestimmung von DORA<\/h2>\n\n\n\n

KT-Risikomanagement:<\/strong> <\/p>\n\n\n\n

Finanzunternehmen m\u00fcssen umfassende IKT-Risikomanagement-Systeme zur Sicherung der Cyber-Resilienz und Erkennung von IKT-bezogenen Vorf\u00e4llen (inkl. Identifikation, Priorisierung, Umgang, L\u00f6sung und Meldung) einrichten. <\/p>\n\n\n\n

Meldung von Vorf\u00e4llen:<\/strong> <\/p>\n\n\n\n

Wie oben erw\u00e4hnt sind Unternehmen dazu verpflichtet, IKT-bezogene Vorf\u00e4lle unverz\u00fcglich den zust\u00e4ndigen Beh\u00f6rden zu melden und regelm\u00e4\u00dfig Updates zu geben. Dazu werden Fr\u00fchwarnsysteme weiterentwickelt und Kriterien zur Klassifikation festgelegt. <\/p>\n\n\n\n

Pr\u00fcfung der digitalen Betriebsstabilit\u00e4t<\/strong>: <\/p>\n\n\n\n

Unternehmen sind verpflichtet, neuartige Tests einzuf\u00fchren (Threat Intelligence und Threat-Led-Penetration-Tests, kurz: TLPT). Durch regelm\u00e4\u00dfige Tests soll die digitale operationale Resilienz sichergestellt werden. <\/p>\n\n\n\n

Risikomanagement von Drittanbietern:<\/strong> <\/p>\n\n\n\n

Die \u00dcberwachung von externen IKT-Dienstleistern und die Durchf\u00fchrung einer Sorgfaltspr\u00fcfung (Due Diligence) zur Risikovermeidung geh\u00f6ren ebenfalls zu den Vorgaben von DORA.<\/p>\n\n\n\n

Informationsaustausch:<\/strong> <\/p>\n\n\n\n

Ein weiterer wesentlicher Bestandteil von DORA ist die Vorgabe, dass sich Finanzinstitute \u00fcber Cyber-Bedrohungen austauschen, um die kollektive Widerstandsf\u00e4higkeit gegen Cybersicherheit zu verbessern.<\/p>\n\n\n\n

Am 14. Dezember 2022 haben das Europ\u00e4ische Parlament und der Europ\u00e4ische Rat die Verordnung \u00fcber die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act) beschlossen. Sie ist am 17. Januar 2023 in Kraft getreten und wird ab dem 17. Januar 2025 angewendet, wie auf der Webseite der Bundesanstalt f\u00fcr Finanzdienstleistungsaufsicht <\/a>nachzulesen ist. <\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Diesen Zweck erf\u00fcllt DORA<\/strong><\/strong><\/strong><\/h2>\n\n\n\n

DORA dient in erster Linie der Verbesserung der Cybersicherheit, der Sicherstellung der operationalen Resilienz und der Harmonisierung von verschiedenen Regularien. <\/p>\n\n\n\n

Ziel ist es, Netz- und Informationssysteme innerhalb der EU im Falle einer schwerwiegenden Betriebsunterbrechung, beispielsweise infolge einer Cyberattacke, zu sichern.<\/p>\n\n\n\n

Vor dem Inkrafttreten von DORA, agierten alle EU-Mitgliedsstaaten anhand ihrer eigenen, l\u00e4nderspezifischen Richtlinien. Daraus ergab sich jedoch ein Flickenteppich an Anforderungen, der f\u00fcr Unternehmen in der Finanzdienstleistungsbranche wie beispielsweise Kreditinstitute, Versicherungsunternehmen oder Zahlungsdienstleister schwierig zu durchschauen und umzusetzen war. Mit DORA wollte die EU einen einheitlichen Rahmen zur Reduzierung von IKT-Risiken und Cyberattacken schaffen. Das gemeinsame Regelwerk aller EU-Staaten erleichtert die Einhaltung f\u00fcr die Akteure und verbessert gleichzeitig die Widerstandsf\u00e4higkeit des gesamten EU-Finanzsektors. <\/p>\n\n\n\n

Der Umfang von DORA<\/strong><\/strong><\/h2>\n\n\n\n

DORA gilt f\u00fcr alle Institutionen des Finanzsektors innerhalb der EU. Zu diesem breiten Feld geh\u00f6ren unter anderem:<\/p>\n\n\n\n