Autor: Carsten Gellert (Senior Consultant #FORTSCHRITT)
- 27.02.2024 -

Im Januar 2023 ist der Digital Operational Resilience Act (DORA) für Finanzunternehmen in Kraft getreten. Bis Januar 2025 müssen die Anforderungen verpflichtend umgesetzt sein. Aber welche Anforderungen verbergen sich hinter dieser Verordnung? Der folgende Beitrag verschafft einen Überblick über die Anforderungen und Pflichten von DORA.

1. Was ist DORA?

Der Digital Operational Resilience Act, kurz DORA genannt, ist die EU-Verordnung über die digitale operationale Resilienz im Finanzsektor. DORA ist ein umfassendes Regelwerk für Cybersicherheit, den Umgang mit IKT-Risiken, also Risiken in der IT- und Kommunikationstechnik, und die digitale operationelle Resilienz, also die Ausfallsicherheit und Notfallkonzepte von Systemen, die den gesamten Finanzsektor betreffen. Entscheidend ist diese Verordnung für die Stärkung der Widerstandsfähigkeit und Früherkennung des europäischen Finanzmarktes gegenüber potenziellen Cyberrisiken und Sicherheitsvorfällen.

2. Was sind die Vorgaben von DORA?

DORA legt diverse technische Anforderungen an Finanzunternehmen fest. Diese lassen sich in folgende fünf Bereiche untergliedern:

IKT-Risikomanagement und -führung:

Wirksame Rahmenwerke, Richtlinien und Verfahren für das IKT-Risikomanagement müssen eingeführt und aufrechterhalten werden. Dadurch können Risiken frühzeitig erkannt, bewertet, gesteuert und gemindert werden. Die Gültigkeit dieser Richtlinien sollte regelmäßig überprüft werden.

Potenzielle Maßnahmen sind hier:

• Business Impact & Risiko Analysen
• Notfallmanagement (BCM)
• Richtlinien wie Access-Management oder Patch-Management
• Einführung von technischen Lösungen wie SIEM oder SOAR Software

Vorfallreaktion und -berichterstattung:

IT-Sicherheitsvorfälle müssen unverzüglich gemeldet werden. Diese Meldung hilft bei der zeitnahen Reaktion im Unternehmen sowie bei der Analyse weiterer potenzieller Risiken oder weiterer möglicher Angriffsziele.

Für kritische Vorfälle müssen drei Berichte vorgelegt werden:

1. Initialer Bericht an die Aufsichtsbehörden - wie die BaFin- sowie an Kunden und Dienstleister über den Vorfall
2. Bericht mit Angaben zur Problembehandlung sowie -lösung
3. Analysebericht bzgl. der Ursachen zur künftigen Vermeidung

Potenzielle Maßnahmen sind hier:

• Einführung von Systemen zum Reporting, Monitoring, Logging und zur Klassifizierung von Vorfällen
• Dieses System sollte alle potenziell beteiligten Parteien (u.a. auch Drittdienstleister) über diese Vorfälle informieren

Resilienztests

Es müssen Tests und Bewertungen in Bezug auf die Belastbarkeit der Systeme und der eingesetzten Maßnahmen durchgeführt werden. Dadurch sollen mögliche Schwachstellen in den Systemen rechtzeitig erkannt werden. Diese Tests sind in regelmäßigen Abständen und bei größeren Änderungen im System zu wiederholen.

Potenzielle Maßnahmen sind hier:

• Durchführung von z.B. Szenario-basierten Tests sowie Schwachstellentests auf jährlicher Basis
• Je nach Kritikalität der Institution sollten auch Penetration-Tests durchgeführt werden (alle 3 Jahre)

Risikomanagement von Drittanbietern

Finanzinstitute müssen Risiken im Zusammenhang mit Drittanbietern wie Cloud-Anbietern regelmäßig überwachen und steuern. Es muss sichergestellt werden, dass die digitalen Resilienzmaßnahmen der Drittanbietern auch den Anforderungen von DORA entsprechen.

Potenzielle Maßnahmen sind hier:

• Einsatz von standardisierten Verträgen mit Drittdienstleistern
• Sichtung aller Abhängigkeiten von Drittanbietern und Evaluation dieser Interdependenzen
• potenzielle Software-gestützte Untersuchung bei Verwendung von Drittanbieter-Software

Informationsaustausch

Ein reger Informationsaustausch bzgl. aktueller Bedrohungen und zu Methoden oder Maßnahmen zur Abwehr wird angestrebt.

Potenzielle Maßnahmen sind hier:

• Die Bereitstellung von Informationen über Cyberangriffe an die Behörden (anonymisiert)
• Bereitstellung der Informationen über Cyberangriffe durch die Behörden an die (andere) Finanzunternehmen (anonymisiert)

3. Wen betrifft Dora?

Bei den Worten „Finanzunternehmen“ mag der erste Gedanke sein, dass hauptsächlich Banken von den neuen Verordnungen betroffen sind. Tatsächlich sind jedoch alle Finanzunternehmen gemäß Artikel 2 DORA „Geltungsbereich“ ^[1] betroffen. Dies bedeutet, dass ab 2025 neben Kredit- und Zahlungsinstituten auch:

• Wertpapierfirmen,
• Zentralverwahrer,
• Handelsplätze,
• Krypto-Dienstleister,
• Versicherungs- und Rückversicherungsunternehmen,
• Einrichtungen der betrieblichen Altersvorsorge sowie
• IKT-Drittdienstleister, aber auch
• Ratingagenturen,
• Administratoren kritischer Referenzwerte,
• und weitere

von DORA betroffen sind und über eine ausreichend ausgebaute IT- und Cyber-Sicherheitsinfrastruktur verfügen müssen.

4. Wie verhält sich DORA zu anderen bestehenden Vorschriften und Richtlinien?

DORA ist als "lex specialis" ^[2] konzipiert und setzt jede sich überschneidende Regulierung, wie beispielsweise die Richtlinie über Netz- und Informationssysteme (NIS) ^[3], außer Kraft. Damit soll erreicht werden, dass Finanzinstitute DORA als Fokus für ihre Compliance-Bemühungen nutzen.

5. Wann tritt DORA in Kraft?

DORA ist bereits im Januar 2023 in Kraft getreten, wobei die unter DORA fallende Finanzunternehmen noch bis zum 17. Januar 2025 Zeit haben, den Anforderungen der neuen Verordnung nachzukommen ^[4].

6. Ich habe noch gar nicht mit den Vorbereitungen für DORA angefangen! Wie starte ich am besten?

Erste Schritte, die sie proaktiv umsetzen sollten, sind wie folgt:

I. Durchführung einer Gap-Analyse:

Analyse und Auswertung des aktuellen Reifegrads der Organisation in Bezug auf Risikomanagement und Einhaltung bestehender Richtlinien und Standards.

II. Entwicklung eines Projekt-Fahrplans:

Banal gesagt ist auch die Umsetzung der DORA-Maßnahmen „nur“ ein weiteres Projekt für Ihr Unternehmen. Identifizieren Sie also Anstrengungen, die zur Erfüllung der DORA-Anforderungen unabdingbar sind, erstellen Sie eine Strategie zur Härtung und zum Ausbau der Resilienz Ihrer Systeme, und priorisieren Sie diese Anstrengungen.

III. Beachtung von Governance, Compliance und Verwendung von Best-Practices

Stellen Sie sicher das die Governance, Complience und weiteren Praktiken Ihrer Institution mit den DORA-Vorgaben übereinstimmen und passen Sie diese ggf. an.

IV. Überwachung von regulatorischen Aktualisierungen:

Versuchen Sie, während der gesamten Umsetzung immer auf dem aktuellen Stand in Bezug auf neue regulatorische, technische oder behördliche Standards zu sein.

7. Wie kann #FORTSCHRITT Ihnen hier helfen?

#FORTSCHRITT verfügt über langjährige Erfahrung in der Digitalisierung von Finanzunternehmen. Wir bieten Ihnen Unterstützung als Sparringspartner für Ihre aktuelle Lösung oder Roadmap, sowohl in technischer als auch in organisatorischer Hinsicht. Falls Sie noch nicht mit der Planung von DORA begonnen haben, können wir Ihnen mit unserer Projektmanagement-Erfahrung helfen, die DORA-Deadline noch zu erreichen. Sprechen Sie mich und mein Team gerne über das Feld "Kontakt zu unserem Experten" an.

 Wenn Sie diesen Beitrag zitieren möchten, nutzen Sie gerne folgende Quellenangabe:

Gellert, C. (2024, 27. Februar). DORA-Endspurt – Ein Jahr bis zum Stichtag. FORTSCHRITT GmbH. https://fortschritt.co/blog-de/323-dora-endspurt-ein-jahr-bis-zum-stichtag