Zum Hauptinhalt springen
WebID
DeutschEnglishEspañol

Digital Operational Resilience Act (DORA)

Was die neue EU-Verordnung DORA für Unternehmen bedeutet

Cyberangriffe, Systemausfälle und digitale Abhängigkeiten: All das sind Themen, mit denen Unternehmen zunehmend konfrontiert sind. Besonders im Finanzsektor, in dem digitale Systeme das Rückgrat für die Geschäftsprozesse bilden, ist die Resilienz gegen IT-basierten Störungen jeder Art von entscheidender Bedeutung.

Genau hier setzt die Verordnung Digital Operational Resilience Act (DORA) der EU an. Mit dieser Verordnung soll ein wesentlicher Beitrag dazu geleistet werden, den europäischen Finanzmarkt gegenüber Cyberrisiken und Vorfällen der Informations- und Kommunikationstechnologie (IKT) zu stärken.

Was ist DORA?

DORA, die EU-Verordnung 2022/2554, trat im Januar 2023 in Kraft und ist seit dem 17. Januar 2025 verbindlich anzuwenden. Ziel ist es, die digitale Betriebsstabilität (Operational Resilience) von Unternehmen im Finanzsektor zu stärken, also sicherzustellen, dass diese selbst im Falle schwerwiegender IT-Störungen oder Cyberangriffe funktionsfähig bleiben. Diese verbindlich anzuwendenden Maßnahmen zur Stärkung der IT-Sicherheit betrifft dabei nicht bloß die unternehmensinternen IT-Systeme, sondern auch die von externen Partnern und Dienstleistern bereitgestellten Komponenten.

Wer muss DORA anwenden?

DORA ist seit Januar 2025 verbindlich anzuwenden in allen regulierten Unternehmen im Finanzwesen. Das sind beispielsweise:

  • Banken
  • Versicherungen
  • Zahlungsdienstleister
  • Investmentfirmen
  • Krypto-Dienstleister
  • IT-Dienstleister mit kritischer Relevanz (beispielsweise Cloud-Anbieter, Datenzentren).

Kernbereiche von DORA

DORA soll die digitale operationale Resilienz des gesamten europäischen Finanzsektors stärken und umfasst sechs wesentliche Bereiche.

IT-Risikomanagement-Implementierung

In Kapitel II legt DORA über die Finanzsektoren hinweg harmonisierte und einheitliche Anforderungen fest. Unternehmen müssen gemäß Artikel 5 bis 16 robuste interne Prozesse zum Umgang mit IKT-Risiken (Informations- und Kommunikations-Technology) implementieren. Dazu gehören beispielsweise Risikoanalysen, Frühwarnsysteme und klare Zuständigkeiten.

DORA-Vorgaben zur Klassifizierung und Meldung von IKT-Vorfällen

Kapitel III DORA umfasst die Verpflichtung, Managementprozesse zu implementieren, die neben der Behandlung von IKT-bezogenen Vorfällen auch die Überwachung, Protokollierung, Klassifizierung und Meldung von IKT-bezogenen Vorfällen umfasst.

Als IKT-bezogenen Vorfall definiert DORA ein von einem Finanzunternehmen nicht geplantes Ereignis beziehungsweise eine entsprechende Reihe verbundener Ereignisse, das bzw. die die Sicherheit der Netzwerk- und Informationssysteme beeinträchtigt und nachteilige Auswirkungen auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten oder auf die vom Finanzunternehmen erbrachten Dienstleistungen hat (Art. 3 Nr. 8 DORA).

Wird ein Vorfall gemäß Art. 3 Nr. 10, Art. 18 DORA   als schwerwiegend klassifiziert, so unterliegt er der Meldepflicht. Darunter fallen etwa Cyberangriffe oder Systemausfälle, die innerhalb kurzer Fristen an die zuständigen Aufsichtsbehörden gemeldet und zusätzlich durch konkret ausgeführte Maßnahmen zur Wiederherstellung der Systemsicherheit ergänzt werden.

Testen der digitalen operativen Resilienz-

Kapitel IV, Artikel 24 bis 27 DORA verpflichtet alle Finanzunternehmen dazu, ihre Informations- und Kommunikationstechnologie umfangreich zu prüfen, wofür ein risikobasiertes, proportionales Testprogramm zu etablieren ist.

Sie sind mit Inkrafttreten der DORA-Verordnung verpflichtet, regelmäßig technische Tests durchzuführen, um beispielsweise

  • die Widerstandsfähigkeit der IT-Systeme zu prüfen
  • Open-Source-Software zu analysieren
  • die Netzsicherheit und die physische Sicherheit in den Finanzunternehmen zu prüfen
  • Gap-Analysen sowie Szenario-basierte Tests, Kompatibilitätstests oder Penetrationstests ausführen.

Auf diese Weise sollen Finanzunternehmen unter anderem erkennen, ob und wie gut sie auf IKT-Vorfälle vorbereitet sind und wo sie möglicherweise Schwachstellen in ihrer digitalen operationellen Resilienz haben.

DORA-Vorgaben betreffen auch das Drittparteien-Management

Die Zusammenarbeit und/oder Bereitstellung von Lösungen durch externe IT-Dienstleister muss transparent, kontrollierbar und vertraglich klar geregelt sein. Kapitel V, Abschnitt I, Artikel 28 bis 30 DORA befasst sich darum auch mit den Risiken, die durch die Nutzung von IKT-Dienstleistungen mit Drittdienstleistern entstehen können.

Von den Finanzunternehmen verlangt DORA eine Einschätzung und Überwachung der IKT-Drittparteienrisiken. Schon vor Vertragsabschluss muss darum eine Risikobewertung sowie eine Due-Diligence-Prüfung erfolgen. Finanzdienstleister müssen außerdem während der gesamten Bezugszeit der Dienstleistungen von einem externen Dienstleister berücksichtigen, wie abhängig sie von dem jeweiligen IKT-Drittdienstleister sind und welche Risiken aus der Vertragsbeziehung entstehen könnten. Und es muss sichergestellt werden, dass der entsprechende Drittanbieter im Falle eines IKT-Vorfalls Unterstützung leisten und gegebenenfalls auch Ausstiegsstrategien vorweisen kann.

Überwachungsrahmen für kritische Drittanbieter

Im Rahmen der EU-Finanzmarktregulierung befasst sich Kapitel V, Abschnitt II, Artikel 31 bis 44 DORA auch damit, wie die Anwendung von DORA im Hinblick auf kritische Drittanbieter weiter zu konkretisieren ist. Hier geht es darum, die Konvergenz und Effizienz von Aufsichtskonzepten in Bezug auf das IKT-Drittparteienrisiko im Finanzsektor zu fördern und die digitale operationale Resilienz von Finanzunternehmen und zugleich die Stabilität des EU-Finanzsystems als solches zu stärken.

Im Fokus des Überwachungsrahmenwerks stehen diejenigen IKT-Drittdienstleister, die auf Grundlage eines Einstufungsprozesses von den europäischen Aufsichtsbehörden als kritische, beziehungsweise überwachungsbedürftige IKT-Drittdienstleister benannt wurden. Welche Kriterien dabei ausschlaggebend sind, regelt DORA in Artikel 31 Absatz.2 sowie ergänzend künftig eine Delegierte Verordnung der Europäischen Kommission. Die konkrete Leitlinien sowie Regulierungs- und technische Implementierungsstandards werden dabei durch die folgenden drei EU-Behörden erarbeitet:

  • EU-Wertpapieraufsichtsbehörde (European Securities and Markets Authority, ESMA)
  • EU-Bankenaufsichtsbehörde (European Banking Authority, EBA)
  • EU-Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (European Insurance and Occupational Pensions Authority, EIOPA).

Austausch von Informationen sowie Cyberkrisen- und Notfallübungen

Mit Kapitel VI, Artikel 45 und Kapitel VII Artikel 49, regt DORA an, zur Stärkung der digitalen operationellen Resilienz des europäischen Finanzsektors Informationen und Erkenntnisse über Cyberbedrohungen untereinander auszutauschen. Denn es ist überaus sinnvoll, mögliche Indikatoren für Beeinträchtigungen, neue Bedrohungsmuster und -Taktiken, Techniken und Verfahren, Cybersicherheitswarnungen und Konfigurationstools zu kennen und so mögliche Einfallstore für noch größere Risiken zu vermeiden.

Was bedeutet DORA in der Praxis?

Die meisten Unternehmen im europäischen Finanzsektor sollten Ihre Maßnahmen zur Erfüllung der Verordnung des Digital Operational Resilience Act inzwischen abgeschlossen haben.

Aber auch nach erfolgreicher Überprüfung, Anpassung und Implementierung aller erforderlichen internen Prozesse, IT-Systeme und Verträge müssen sie DORA weiterhin im Blick behalten. Denn die IKT-Risiken werden vor dem Hintergrund der kontinuierlichen technologischen Entwicklungen weitere Iterationen nach sich ziehen müssen.

DORA wird auch zukünftig Compliance-Aufwand verursachen

Viele Unternehmen müssen ihre internen Prozesse, Verträge und IT-Systeme auch nach der Erfüllung der DORA-Vorgaben regelmäßig überprüfen und gegebenenfalls anpassen.

IT-Sicherheit wird mit DORA zur Chefsache

Die Geschäftsleitung von Finanzunternehmen trägt explizit die Verantwortung für die regelrechte Umsetzung der DORA-Anforderungen, womit einmal mehr verdeutlicht wird, wie wichtig es für den gesamten EU-Finanzmarkt ist, die Resilienz gegenüber Cyberangriffen zu stärken und damit das Vertrauen und die Stabilität im digitalen Finanzmarkt zu fördern.

DORA hat Konsequenzen für die Kooperation mit IT-Dienstleistern

Klare Verträge mit Drittanbietern, umfassende Risikobewertungen und Eskalationspläne sind Pflicht, um einem den DORA-Vorgaben entsprechendes Drittanbieter-Management zu gewährleisten.

Im Umkehrschluss haben Drittanbieter gegenüber den Unternehmen im Finanzsektor darzulegen, dass sie die DORA-Vorgaben erfüllen und mit den entsprechenden Maßnahmen im Falle eines IKT-Vorfalls reagieren.

DORA verstärkt die Dokumentationspflichten

Alles muss nachvollziehbar dokumentiert sein – von der Risikoanalyse bis zur Vorfallmeldung gilt eine umfassende Dokumentationspflicht, die auch die Drittanbieter beinhaltet.

Von den digitalen Identifikations- und Signatur-Verfahren von WebID beispielsweise profitieren rund 80 Prozent der Banken in Deutschland – und für viele Kunden wurde die Umsetzung der DORA-Anforderungen bereits fristgerecht durchgeführt.

Wiederverwendbare digitale Identitäten im Aufwärtstrend

Dieses White Paper analysiert den globalen Trend wiederverwendbarer digitaler Identitäten, beleuchtet ihre Entwicklung, Vorteile und Herausforderungen, und untersucht ihre Rolle in der Zukunft des digitalen Identitätsmanagements.
Jetzt anfordern
WebID Whitepaper Wiederverwendbare digitale Identitäten im Aufwärtstrend