carmasec

Das musst Du jetzt über DORA wissen

Stichtag 17. Januar 2025! In unserem Blogbeitrag erläutern wir die EU-Richtlinie und erklären, wie sie fristgerecht umgesetzt werden kann.

Zurück zur Artikelübersicht

Dies ist ein Beitrag unseres LinkedIn-Newsletters CyberPulse News.
Abonniere den Newsletter, um kein Update mehr zu verpassen.

In diesem Blogbeitrag schildert Senior Trusted Advisor Carsten Marmulla die Anforderungen von DORA – dem Digital Operational Resilience Act. Dieser betrifft vor allem Akteure des Finanzmarkts und wird am 17. Januar 2025 in Kraft treten. Du kennst DORA noch nicht oder bist unsicher, was noch zu tun ist? Wir geben Dir einen Überblick über die Anforderungen der EU-Verordnung und deren Umsetzung.

Die wichtigsten Fakten zu DORA

Das musst Du über DORA wissen

Der Digital Operational Resilience Act (DORA) ist eine EU-weite Verordnung zur Stärkung der Cybersicherheit und Widerstandsfähigkeit im Finanzsektor. Angesichts zunehmender Cyberbedrohungen sollen Finanzdienstleister in der Lage sein, auch bei IT-Ausfällen oder Cyberangriffen reibungslos zu funktionieren. DORA definiert daher klare Vorgaben, wie Unternehmen Risiken in ihrer IT-Infrastruktur managen und mit externen Dienstleistern umgehen sollen. Der Fokus liegt dabei auf Prävention, Überwachung und schnellem Krisenmanagement. Das Besondere an DORA: Es gilt nicht nur für Banken, sondern für eine Vielzahl von Akteuren im Finanzsektor.

Wer ist von DORA betroffen?

Die Verordnung betrifft nicht nur Banken und Versicherungen, sondern auch viele weitere Akteure des Finanzmarktes. Dazu gehören zum Beispiel:

  • Zahlungsdienstleister
  • Kryptobörsen
  • Fondsgesellschaften
  • Wertpapierfirmen
  • Betreiber von Handelsplattformen und andere Anbieter von Finanzinfrastrukturen

Auch Cloud-Anbieter und Software-Entwickler, die IT-Lösungen für Finanzunternehmen anbieten, fallen unter die DORA-Vorgaben. Damit soll die Cybersicherheit in der gesamten Lieferkette des Finanzsektors erhöht werden.

Der breite Anwendungsbereich von DORA spiegelt die Abhängigkeit moderner Finanzunternehmen von digitalen Prozessen wider und bezieht alle relevanten Akteure ein. Falls Du unsicher bist, ob Du betroffen bist, helfen Dir unsere Expter:innen für IT-GRC gerne bei der Einordnung.

Ab wann gilt DORA?

DORA ist bereits am 17. Januar 2023 in Kraft getreten und wird laut der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) ab dem 17. Januar 2025 angewendet werden.

Das bedeutet, dass alle betroffenen Unternehmen ab diesem Zeitpunkt die geforderten Maßnahmen umgesetzt haben müssen. Es gibt keinen Aufschub oder „Schonfrist“. Der Termindruck führt in den betroffenen Organisationen dazu, dass die internen Sicherheitsstrukturen schnell überprüfen und gegebenenfalls Anpassungen bis zur Frist vorgenommen werden müssen.

Was ist zu tun?

Um den Anforderungen von DORA gerecht zu werden, müssen Unternehmen eine Vielzahl von Maßnahmen ergreifen, die sich auf verschiedene Bereiche der IT-Sicherheit konzentrieren.

Zu den wesentlichen Punkten zählen:

  1. IT-Risikomanagement (Informations- und Kommunikationstechnik): Finanzunternehmen müssen ein umfassendes Risikomanagement für ihre IT-Systeme etablieren. Dabei gilt es, potenzielle Bedrohungen und Schwachstellen frühzeitig zu erkennen und Maßnahmen zur Risikominimierung einzuleiten.
  2. Notfallplanung und Krisenmanagement: Unternehmen müssen sicherstellen, dass sie auch in Krisenzeiten, wie etwa bei einem Cyber-Angriff, handlungsfähig bleiben. Dazu gehören Notfallpläne, die festlegen, wie bei einem IT-Ausfall zu reagieren ist, um den Geschäftsbetrieb aufrechtzuerhalten.
  3. Regelmäßige Widerstandsfähigkeits- und Stresstests: DORA schreibt vor, dass Finanzinstitute regelmäßig Tests durchführen, um die Belastbarkeit ihrer IT-Infrastruktur zu überprüfen. Solche Stresstests simulieren Worst-Case-Szenarien, um sicherzustellen, dass die Systeme auch unter extremen Bedingungen funktionsfähig bleiben.
  4. IT-Sicherheitsvorfälle überwachen und melden: Treten Sicherheitsvorfälle oder IT-Ausfälle auf, müssen diese überwacht und unverzüglich an die Aufsichtsbehörden gemeldet werden. Eine zeitnahe und umfassende Kommunikation ist entscheidend, um aufkommende Bedrohungen einzudämmen.
  5. Management von externen Dienstleistern: Externe Dienstleister, die IT-Dienstleistungen für Finanzunternehmen erbringen, müssen ebenfalls die DORA-Anforderungen erfüllen. Die Unternehmen sind dafür verantwortlich, dass ihre Partner und Lieferanten die gleichen hohen Sicherheitsstandards einhalten.

Die EU gibt mit den Regulatory Technical Standards (RTS) klare Vorgaben, die den Unternehmen als Leitfaden für die Umsetzung der Anforderungen in die Praxis dienen. Diese RTS-Dokumente werden von der Europäischen Bankenaufsichtsbehörde (EBA) entwickelt und legen die technischen Details fest.

Was droht bei Nichtumsetzung?

Die Nichtumsetzung der DORA-Vorgaben kann für Unternehmen schwerwiegende Folgen haben. Zum einen drohen hohe Bußgelder, die je nach Schwere des Verstoßes verhängt werden können. Zum anderen kann es zu einem erheblichen Reputationsverlust kommen. Gerade im Finanzsektor ist das Vertrauen der Kunden von zentraler Bedeutung. Ein IT-Ausfall oder ein erfolgreicher Cyberangriff kann nicht nur finanziellen Schaden verursachen, sondern auch das Vertrauen der Kunden nachhaltig erschüttern.

Wie kann carmasec Dir helfen?

Stehst Du vor der Herausforderung, die komplexen Anforderungen von DORA in Deine Prozesse zu integrieren?

Hier können wir Dich gezielt unterstützen:

  • Gap-Analyse (Soll-Ist-Vergleich) Im ersten Schritt prüfen wir, wo Dein Unternehmen in Bezug auf DORA steht. Wir führen eine umfassende Analyse durch, in der wir die aktuellen Prozesse und Sicherheitsmaßnahmen Deines Unternehmens mit den Anforderungen von DORA vergleichen. So identifizieren wir Schwachstellen und Risiken, die angegangen werden müssen.
  • Definition der Maßnahmenpakete Auf Basis der Gap-Analyse erstellen wir konkrete Maßnahmenpakete, die genau auf die Bedürfnisse und Anforderungen deines Unternehmens zugeschnitten sind. Wir entwickeln einen maßgeschneiderten Aktionsplan, der die Umsetzung der DORA-Vorgaben sicherstellt.
  • Hilfe bei der Umsetzung Die Umsetzung der Maßnahmen ist ein entscheidender Schritt. Wir unterstützen dich bei der Einführung und Umsetzung der notwendigen Prozesse und Systeme, damit dein Unternehmen die DORA-Anforderungen erfüllt. Dies kann auch die Schulung deiner Mitarbeiterinnen und Mitarbeiter umfassen, um sicherzustellen, dass alle relevanten Akteure auf die neuen Anforderungen vorbereitet sind.

Fazit

DORA ist ein entscheidender Schritt zu mehr IT-Sicherheit im Finanzsektor. Die Verordnung fordert von den Unternehmen eine proaktive Auseinandersetzung mit Risiken und Sicherheitslücken in ihrer digitalen Infrastruktur. Dabei geht es nicht nur um die Einhaltung gesetzlicher Vorgaben, sondern um den Schutz des gesamten Geschäftsbetriebs. Mit DORA-konformen Sicherheitsmaßnahmen sichern Unternehmen nicht nur ihre eigenen IT-Systeme, sondern tragen auch zur Stabilität des gesamten Finanzmarktes bei.

Jetzt ist der richtige Zeitpunkt, mit der Umsetzung zu beginnen!

Stelle jetzt die Weichen für die Zukunft und ergreife DORA-konforme Maßnahmen. Unsere Expert:innen für Cybersicherheit stehen Dir zur Seite und stellen sicher, dass Dein Unternehmen optimal aufgestellt ist und auch in Zukunft sicher und widerstandsfähig bleibt.

Hier kannst Du uns kontaktieren.