Header Background
 
  •  ▸ 
  • Über uns  ▸ 
  • Wissensblog
 
 

DORA (Digital Operational Resilience Act) – Anforderungen und Auswirkungen

Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung zur Stärkung der operativen IT-Resilienz im Finanzsektor, die ab dem 17. Januar 2025 verpflichtend ist. Sie definiert einheitliche Anforderungen an das IT-Risikomanagement, die Cybersicherheit, die Meldung von Sicherheitsvorfällen sowie die Überprüfung und Kontrolle von Drittanbietern. Unternehmen müssen robuste Schutzmaßnahmen, kontinuierliche Überwachungssysteme und regelmäßige Sicherheitstests implementieren, um Cyberangriffe und IT-Ausfälle zu minimieren. DORA gilt für Banken, Versicherungen, Zahlungsdienstleister sowie kritische IT-Dienstleister und setzt damit neue Standards für die digitale Sicherheit in der EU. 

Welche Anforderungen stellt DORA?

DORA definiert fünf zentrale Anforderungen:

1. IT-Risikomanagement (Artikel 5-16 DORA)
Finanzunternehmen müssen ein robustes IT-Risikomanagement implementieren, um Cyberbedrohungen zu minimieren. Dazu gehören:

  • Governance & Strategie: Klare Verantwortlichkeiten für IT-Risiken auf Führungsebene.
  • Identifikation von IT-Risiken: Regelmäßige Risikoanalysen und Bedrohungsbewertungen.
  • Schutzmaßnahmen: Firewalls, Verschlüsselung, Netzwerksegmentierung und Zugriffskontrollen.
  • Überwachung & Detektion: Kontinuierliches Monitoring von Systemen und Anomalieerkennung.
  • Reaktions- und Wiederherstellungspläne: Notfallstrategien zur schnellen Wiederaufnahme des Betriebs nach Cyberangriffen.

2. Meldung von IT-Sicherheitsvorfällen (Artikel 17-23 DORA)
Unternehmen müssen alle wesentlichen Cybervorfälle innerhalb eines festgelegten Zeitrahmens an die zuständigen Behörden melden.
- Fristen & Meldepflichten:

  • Erstmeldung innerhalb von 24 Stunden nach der Entdeckung.
  • Detaillierte Folgeberichte innerhalb von 72 Stunden mit Analyse der Ursachen.
  • Abschlussbericht nach einem Monat mit Maßnahmen zur Schadensbegrenzung.

3. Tests zur operativen Resilienz (Artikel 24-30 DORA)
Regelmäßige Penetrationstests und Schwachstellenanalysen sind vorgeschrieben, um Sicherheitslücken zu identifizieren.
- Anforderungen an Tests:

  • Jährliche Threat-Led Penetration Testing (TLPT) für kritische Finanzunternehmen.
  • Simulation von Cyberangriffen (z. B. Red-Teaming-Tests).
  • Tests müssen von unabhängigen, zertifizierten Anbietern durchgeführt werden.


4. Risiko-Management für Drittanbieter (Artikel 31-39 DORA)
DORA schreibt strenge Regeln für die Zusammenarbeit mit Cloud-Providern, Software-Anbietern und IT-Dienstleistern vor.
- Anforderungen:

  • Sorgfältige Auswahl von IT-Dienstleistern anhand von Risikoanalysen.
  • Vertragliche Sicherheitsauflagen, z. B. Datenschutz, Zugriffsbeschränkungen und Auditrechte.
  • Notfallpläne für IT-Ausfälle von Drittanbietern.
  • EU-Aufsicht über kritische Drittanbieter (z. B. große Cloud-Anbieter wie AWS, Microsoft Azure, Google Cloud).

5. Informationsaustausch & Zusammenarbeit (Artikel 40-44 DORA)
Finanzunternehmen sollen Cyberbedrohungen und Sicherheitsvorfälle untereinander austauschen.
- Ziele:

  • Gemeinsame Verteidigungsstrategien gegen Cyberangriffe.
  • Schnellere Identifikation neuer Bedrohungen.
  • Schaffung eines europäischen Frühwarnsystems für Cyberrisiken.

Wer ist von DORA betroffen?

DORA gilt für alle regulierten Finanzunternehmen in der EU, darunter:

  • Banken, Sparkassen, Kreditinstitute
  • Versicherungen und Rückversicherungen
  • Zahlungsdienstleister (z. B. PayPal, Stripe)
  • Investmentgesellschaften, Wertpapierfirmen
  • Kryptodienstleister
  • Börsen, Handelsplattformen
  • Ratingagenturen

Auch IT-Dienstleister sind betroffen, wenn sie kritische Services für Finanzinstitute bereitstellen, z. B.:

  • Cloud-Anbieter (AWS, Azure, Google Cloud)
  • Zahlungsnetzwerke (Visa, Mastercard)
  • IT-Sicherheitsunternehmen
  • Softwareanbieter für Bankensysteme


Vorteile und Herausforderungen von DORA
Vorteile:
✅ Einheitliche Cybersicherheitsstandards für den gesamten EU-Finanzsektor
✅ Höhere Widerstandsfähigkeit gegen Cyberangriffe und IT-Ausfälle
✅ Verbesserte Transparenz und Meldepflichten für Sicherheitsvorfälle
✅ Striktere Kontrolle von IT-Dienstleistern und Cloud-Anbietern

Herausforderungen:
❌ Hoher Umsetzungsaufwand für Finanzunternehmen (neue Prozesse, Compliance-Anpassungen)
❌ Kosten für regelmäßige Penetrationstests und IT-Sicherheitsaudits
❌ Abhängigkeit von Drittanbietern – höhere Anforderungen an Cloud-Provider
❌ Komplexe Meldepflichten mit engen Fristen

Fazit: Wie sollten Unternehmen auf DORA reagieren?

DORA ist eine der umfassendsten EU-Vorgaben zur IT-Sicherheit im Finanzsektor. Unternehmen sollten jetzt handeln, um bis Januar 2025 die Anforderungen zu erfüllen. Wichtige Schritte sind:

  • Aufbau eines IT-Risikomanagement-Frameworks
  •  Einführung von automatisierten Überwachungs- und Erkennungssystemen
  • Regelmäßige Security-Tests und Penetrationstests durchführen
  • Überprüfung und Anpassung von Verträgen mit IT-Drittanbietern
  • Schulungen für Mitarbeiter zu Cybersecurity & Notfallmanagement

Schulungen

Möchten Sie tiefer in dieses Thema eintauchen? Besuchen Sie unsere Schulungen IT-Recht / Lizenzierung und erweitern Sie Ihr Wissen mit unseren Experten.

Autor: Florian Deinhard,
Februar 2025

 
 
 

Diese Seite weiterempfehlen:

0
Merkzettel öffnen
0
Besuchsverlauf ansehen
IT-Schulungen.com Control Panel
Warnung Icon Sie haben in Ihrem Browser Javascript deaktiviert! Bitte aktivieren Sie Javascript um eine korrekte Darstellung und Funktionsweise von IT-Schulungen zu gewährleisten. Warnung Icon