Die digitale Transformation hat den Finanzsektor grundlegend verändert und die Bedeutung von IT-Systemen und digitaler Resilienz hervorgehoben. In diesem Kontext hat die Europäische Union die Verordnung DORA (Digital Operational Resilience Act) im Januar 2023 eingeführt, um die digitale operationale Resilienz im Finanzsektor zu stärken und Cyberrisiken zu minimieren. Wir haben die wichtigen Impulse aus diesen neuen Anforderungen zusammengefasst.

Warum ist DORA notwendig? 

Die zunehmende Vernetzung von Dienstleistern und IKT-Systemen (insbesondere Cloudleistungen) im Finanzsektor hat die Anfälligkeit für Störungen erhöht und dessen Auswirkungen verstärkt. Dadurch können Angriffe auf IKT-Systeme, Netze und IKT-Dienstleister von Finanzunternehmen die Finanzstabilität in der EU und weltweit gefährden. DORA zielt darauf ab, diesem Risiko durch die Einführung hoher Standards für IKT-Resilienz und Cybersicherheit entgegenzuwirken. 

Was sind die Hauptregelungsbereiche von DORA? 

DORA fordert von allen Finanzunternehmen, dass sie ihre Widerstandsfähigkeit gegen böswillige Angriffe von innen und außen stärken sowie die von IKT-Dienstleistern und Geschäftspartnern ausgelösten Prozessstörungen bewältigen können. Für Finanzunternehmen, die bisher die BAIT, VAIT, KAIT oder ZAIT anwenden mussten, enthält DORA viele bereits bekannte Anforderungen. Die Regelungen werden durch DORA häufig verschärft, indem der Aspekt der Resilienz hervorgehoben wird, oder ihr Anwendungsbereich wird deutlich ausgeweitet, sodass mehr Dienstleistungsarten erfasst werden. DORA umfasst folgende Regelungsbereiche:

  • Standards für die digitale operationale Resilienz: DORA legt Standards fest, um die Widerstandsfähigkeit von IKT-Systemen und Infrastrukturen gegenüber Störungen und Angriffen zu stärken.
  • Anforderungen an kritische IKT-Dienstleister: Die Verordnung stellt hohe Anforderungen an IKT-Dienstleister, um sicherzustellen, dass sie die Stabilität des Finanzsystems nicht gefährden.
  • Informationsaustausch zwischen Finanzunternehmen: DORA fördert den Informationsaustausch zwischen Finanzunternehmen, um die Ausbreitung von Schadensereignissen zu begrenzen.
  • Vereinheitlichung der aufsichtlichen Anforderungen: Die Verordnung vereinheitlicht die aufsichtlichen Anforderungen zwischen verschiedenen Akteuren im Finanzsektor, um einen konsistenten Ansatz zur Gewährleistung der digitalen Resilienz zu fördern. 

Wie betrifft DORA Unternehmen im Finanzsektor? 

DORA betrifft alle Finanzunternehmen sowie deren IKT-Dienstleister. Es werden hohe Anforderungen an die IKT-Resilienz und Cybersicherheit gestellt, um die Stabilität des Finanzsystems zu gewährleisten. Zudem werden die Anforderungen an die Resilienz von IKT-Systemen vereinheitlicht und auf ein höheres Niveau gehoben. Die Stärkung der Widerstandsfähigkeit muss demnach zur obersten Priorität erklärt werden und die Unternehmensleitung muss gezielt Verantwortung für die IKT-Sicherheit übernehmen. 

Die Konsequenzen der Nichteinhaltung von DORA sind ernst zu nehmen, da sie sich erheblich auf das betroffene Unternehmen auswirken können. Dies betrifft nicht nur den Bußgeldrahmen, der beispielsweise für Banken bis zu 5 Mio. Euro beträgt, sondern vor allem die Auswirkungen auf die Geschäftstätigkeit, wenn diese durch einen Cyberangriff schlimmstenfalls für mehrere Monate unterbrochen oder stark beeinträchtigt ist.  

Leitfaden für die Einhaltung von DORA  

Die neuen Anforderungen durch DORA sind vielfältig und erfordern die Berücksichtigung zahlreicher Aspekte:

  • Schulungen zur DORA-Konformität: Schulen Sie Ihre Fach- und Führungskräfte zu den neuen Anforderungen und Umsetzungsmöglichkeiten. 
  • Vorbereitung auf DORA: Machen Sie eine Gap-Analyse und erstellen Sie einen  Projektplan zur zeitgerechten Erreichung der DORA-Compliance.
  • Spezielle Anforderungen: Berücksichtigen Sie spezielle Anforderungen, wie beispielsweise das IKT-Drittparteienmanagement oder den IKT-Risikomanagementrahmen. 
  • Qualitätssicherung: Sichern Sie die Qualitätssicherung der von Ihnen selbst erarbeiteten Lösungen auch im Hinblick auf mögliche Prüfungen der Finanzaufsicht. 
  • Fachliche Expertise: Bilden Sie eine fachliche Expertise für Prüfungen der Internen Revision zu ausgewählten Themenbereichen (Co-Sourcing) aus. 

Ihr Ansprechpartner

Wir stehen Ihnen gerne für einen detaillierten Austausch zur Verfügung.

csm MatthiasKurfels 04 d8c5a3bfeb

Matthias Kurfels

Managing Consultant
Tel.:  +49 173 6916001