de en it fr

Digital Operational Resilience Act (DORA): Praxisleitfaden für Finanzunternehmen

Einleitung

Die Finanzbranche ist heute stärker denn je von digitalen Technologien abhängig. Ob Online-Banking, Zahlungsverkehr oder digitale Versicherungsservices – IT-Systeme und Daten bilden das Rückgrat nahezu aller Geschäftsprozesse. Gleichzeitig rücken Cyberangriffe und IT-Ausfälle immer stärker in den Fokus von Aufsichtsbehörden, da sie Versorgung, Finanzen und Vertrauen massiv gefährden können.

Mit dem Digital Operational Resilience Act (DORA) schafft die EU einen einheitlichen Rechtsrahmen, der sicherstellen soll, dass Finanzunternehmen auch unter Stress widerstandsfähig bleiben.

Was ist DORA?

DORA ist eine EU-Verordnung (EU) 2022/2554, die am 14. Dezember 2022 verabschiedet wurde. Sie gilt ab dem 17. Januar 2025 verbindlich in allen EU-Mitgliedstaaten.

Ziele von DORA:

  • IT-Störungen und Cyberangriffe abwehren und bewältigen
  • Einheitliche EU-Standards für Resilienz schaffen
  • Aufsichtsrechtliche Kontrolle über kritische IT-Dienstleister ermöglichen

Damit gilt: Alle Akteure im Finanzsystem müssen nach denselben hohen Standards arbeiten und Risiken konsequent managen.

Wer ist betroffen?

DORA betrifft fast alle regulierten Finanzunternehmen – und sogar deren IT-Dienstleister.

Betroffene Akteure:

  • Kreditinstitute (Großbanken, Spezialbanken)
  • Versicherungen und Rückversicherer
  • Asset Manager, Fondsanbieter, Kapitalverwaltungsgesellschaften
  • Zahlungsdienstleister & E-Geld-Institute
  • Börsen, Handelsplätze, Zentralverwahrer
  • Regulierte Kryptowerte-Dienstleister

Selbst kleinere Institute, die bisher weniger im Fokus standen, sind eingeschlossen. Dazu kommen kritische IT-Drittanbieter, die künftig unter direkter EU-Aufsicht stehen können.

Kernanforderungen von DORA

  1. IKT-Risikomanagement
    • Aufbau eines Rahmenwerks zur Identifizierung, Bewertung und Steuerung von IT-Risiken
    • Einbindung des Vorstands (Governance)
    • Dokumentation in Policies und Handbüchern
    • Risikoanalysen (Business Impact Analysis)
    • Technische & organisatorische Kontrollen (Firewalls, Backups, Schulungen)
    IKT-Risikomanagement
  2. Incident Management & Reporting
    • Prozesse zur Meldung und Bearbeitung von IT-Zwischenfällen
    • Klassifizierung von Vorfällen und Definition von Schwellenwerten
    • Meldefrist: erste Meldung innerhalb von 24–72 Stunden
    • Kommunikation mit Kunden und Aufsicht im Ernstfall
  3. Digitale Resilienztests
    • Jährliche Standardtests: Vulnerability Scans, Wiederanlauftests, Notfallübungen
    • Threat-Led Penetration Tests (TLPT) für große Institute alle drei Jahre
    • Tabletop-Übungen für Management und Bereichsübergreifende Notfallszenarien
  4. Drittanbieter-Risikomanagement
    • Register aller IT-Dienstleister führen
    • Risikoanalyse je Anbieter (Ausfall, Konzentrationsrisiken)
    • Mindestanforderungen an Verträge (Sicherheitsklauseln, Exit-Strategien)
    • Kontinuierliches Monitoring der Dienstleister
    Drittanbieter-Risikomanagement
  5. Informationsaustausch
    • Kooperation zwischen Finanzinstituten beim Teilen von Cyber-Bedrohungen
    • Teilnahme an Brancheninitiativen oder Verbänden
    • Nutzung gemeinsamer Lagebilder zur Früherkennung neuer Angriffsmuster

Zeitplan & Compliance

  • 2023: DORA tritt in Kraft, erste Vorbereitungen laufen.
  • 2024: Veröffentlichung der Regulatory Technical Standards (RTS) durch die EU-Aufsichtsbehörden.
  • 17. Januar 2025: DORA Day – alle Regeln gelten verbindlich.
  • Ab 2025: Laufende Aufsicht, Reportingpflichten, Prüfungen.

Herausforderungen in der Praxis

  • Hohe Koordinationsaufwände zwischen Abteilungen
  • Anpassung bestehender Rahmenwerke & Prozesse
  • Vertragsänderungen mit Dienstleistern
  • Ressourcenbedarf (intern & extern)
  • Zeitdruck und Change Management

» Zur Blog Startseite