TL;DR

DORA (Digital Operational Resilience Act) zielt auf die digitale Widerstandsfähigkeit des Finanzsektors ab. Wenn Sie eine Bank, ein Versicherer, eine Fintech-Firma oder ein Technologieanbieter sind, der sie beliefert, sind Sie davon betroffen.

Umfasst das IKT-Risikomanagement, obligatorische Bedrohungstests (wie TLPT), die Beaufsichtigung von Risiken durch Dritte und eine strenge Berichterstattung über Vorfälle.

In Kraft seit dem 17. Januar 2025 - mit empfindlichen Strafen, wenn man davon überrascht wird.

DORA Scorecard Zusammenfassung:

• Entwickelnde Aufwand: Mäßig bis hoch (Erfordert die Umsetzung sicherer und belastbarer Kodierungsverfahren, die Unterstützung eines robusten IKT-Risikomanagements, die Ermöglichung einer detaillierten Protokollierung/Berichterstattung von Vorfällen, die Teilnahme an fortgeschrittenen Belastbarkeitstests).
• Tooling-Kosten: Hoch (Investitionen in IKT-Risikomanagement-Tools, fortgeschrittene Sicherheitstest-Tools (Pentesting, TLPT), robuste Überwachung/SIEM, Risikomanagement-Plattformen von Drittanbietern, Lösungen für Geschäftskontinuität/Disaster Recovery).
• Auswirkungen auf den Markt: Kritisch (verpflichtend für praktisch alle Finanzinstitute in der EU und ihre kritischen IKT-Anbieter; legt die Messlatte für die betriebliche Ausfallsicherheit hoch).
• Flexibel: Mäßig (Die Verordnung legt die Anforderungen für die wichtigsten Säulen fest, lässt jedoch eine Verhältnismäßigkeit auf der Grundlage von Größe, Risikoprofil und Art/Komplexität der Dienstleistungen zu).
• Intensität der Prüfung: HochCompliance wird von den zuständigen nationalen Behörden und den Europäischen Aufsichtsbehörden (ESAs) überwacht; erfordert den Nachweis von robusten Rahmenwerken, Testergebnissen und Fähigkeiten zum Management von Zwischenfällen).

Was ist DORA?

Der Digital Operational Resilience Act (Verordnung (EU) 2022/2554), kurz DORA, ist ein wichtiger Teil der EU-Gesetzgebung, der einheitliche Anforderungen an die Sicherheit von Netzwerk- und Informationssystemen zur Unterstützung der Geschäftsprozesse von Finanzunternehmen festlegt. Sie schafft einen verbindlichen, umfassenden Rahmen, der speziell darauf ausgerichtet ist, die IT-Sicherheit und die operative Widerstandsfähigkeit des EU-Finanzsektors zu stärken.

Im Gegensatz zu NIS2, das breit angelegt ist, konzentriert sich DORA ausschließlich auf Finanzunternehmen (Banken, Versicherungen, Wertpapierfirmen, Zahlungsinstitute, Anbieter von Kryptowährungen usw.) und die kritischen IKT-Drittanbieter (wie Cloud-Plattformen, Softwareanbieter, Datenanalyseanbieter), die sie bedienen.

DORA stützt sich auf fünf zentrale Säulen:

1. IKT-Risikomanagement: Verlangt von den Unternehmen ein umfassendes, gut dokumentiertes Rahmenwerk für das IKT-Risikomanagement, einschließlich Strategien, Richtlinien, Verfahren, Protokollen und Werkzeugen, um IKT-Risiken zu identifizieren, zu schützen, zu erkennen, darauf zu reagieren und sich davon zu erholen. Die oberste Verantwortung liegt bei den Leitungsorganen.
2. IKT-bezogene Vorfallverwaltung und -meldung: Schreibt Prozesse zur Erkennung, Verwaltung, Protokollierung, Klassifizierung und Meldung größerer IKT-bezogener Vorfälle an die zuständigen Behörden unter Verwendung standardisierter Vorlagen und Zeitpläne vor.
3. Testen der digitalen operativen Belastbarkeit: Verlangt von den Einrichtungen, dass sie ein verhältnismäßiges und risikobasiertes Testprogramm für die digitale betriebliche Ausfallsicherheit einrichten, das Schwachstellenbewertungen, Netzwerksicherheitsbewertungen, szenariobasierte Tests und, für bedeutende Einrichtungen, fortgeschrittene bedrohungsgesteuerte Penetrationstests (TLPT) mindestens alle drei Jahre umfasst.
4. IKT-Risikomanagement für Drittparteien: Strenge Regeln für das Risikomanagement im Zusammenhang mit der Inanspruchnahme von IKT-Drittanbietern. Dazu gehören eine Due-Diligence-Prüfung vor Vertragsabschluss, spezifische Vertragsbestimmungen (für Zugang, Audit, Sicherheit, Ausstiegsstrategien), eine Bewertung des Konzentrationsrisikos und eine laufende Überwachung.
5. Austausch von Informationen: Förderung des freiwilligen Austauschs von Informationen und Erkenntnissen über Cyberbedrohungen zwischen Finanzunternehmen, um das kollektive Bewusstsein und die Widerstandsfähigkeit zu verbessern.

Die DORA soll sicherstellen, dass das Finanzsystem auch bei schwerwiegenden Betriebsstörungen aufgrund von IKT-Problemen oder Cyberangriffen widerstandsfähig bleiben kann. Sie ist im Januar 2023 in Kraft getreten, und die Finanzinstitute müssen sie bis zum 17. Januar 2025 erfüllen.

Warum ist sie wichtig?

DORA ist von entscheidender Bedeutung für den EU-Finanzsektor und sein Ökosystem:

• Harmonisierung: Schaffung eines einheitlichen, kohärenten Regelwerks für die digitale operationelle Resilienz in allen EU-Mitgliedstaaten, das die fragmentierten nationalen Ansätze ersetzt.
• Finanzielle Stabilität: Ziel ist es, zu verhindern, dass IKT-Vorfälle einzelne Finanzunternehmen oder das Finanzsystem im Allgemeinen destabilisieren.
• Adressiert Systemrisiken: Erkennt die zunehmende Abhängigkeit von IKT und die potenziellen Systemrisiken, die durch Ausfälle, insbesondere bei kritischen Drittanbietern, entstehen.
• Direkte Beaufsichtigung kritischer Anbieter: Den Europäischen Aufsichtsbehörden (ESAs wie EBA, ESMA, EIOPA) werden direkte Aufsichtsbefugnisse über benannte kritische IKT-Drittanbieter (CTPPs) gewährt.
• Obligatorische Compliance: Im Gegensatz zu anderen Rahmenregelungen ist DORA eine Verordnung, die direkt anwendbar und für alle Unternehmen im Geltungsbereich rechtsverbindlich ist.
• Erhöhte Anforderungen an die Widerstandsfähigkeit: Sie gehen über die grundlegende Cybersicherheit hinaus und erfordern robuste Tests (einschließlich TLPT), ein detailliertes Vorfallsmanagement und ein strenges Risikomanagement durch Dritte.
• Rechenschaftspflicht des Managements: Ähnlich wie bei NIS2 wird die Verantwortung für die Beaufsichtigung der IKT-Risiken eindeutig dem Management übertragen.

Für Finanzunternehmen und ihre wichtigsten Technologielieferanten ist die compliance von entscheidender Bedeutung für die behördliche Zulassung, den Marktzugang und die Aufrechterhaltung der betrieblichen Stabilität in der EU.

Was und wie umsetzen (technisch und politisch)

Die Umsetzung von DORA erfordert erhebliche Anstrengungen im Rahmen der fünf Säulen, die technische und politische Maßnahmen umfassen:

1. IKT-Risikomanagement-Rahmen (Art. 5-16):
   
   • Politik/Strategie: Entwicklung und Aufrechterhaltung eines soliden, umfassenden IKT-Risikomanagementrahmens, der von der Geschäftsleitung genehmigt wird.
   • Technische Kontrollen: Implementierung von Sicherheitsmaßnahmen auf der Grundlage einer Risikobewertung - Identifizierung, Schutz (sichere Konfigurationen, Patches, Netzsicherheit, physische Sicherheit), Erkennung (Überwachungssysteme, Erkennung von Anomalien), Reaktion und Wiederherstellung (Backups, Notfallpläne). Dazu gehören Tools wie Firewalls, SIEM, EDR, Schwachstellenmanagement und IAM.
   • Dokumentation: Führen Sie eine umfassende Dokumentation des Rahmens, der Risikobewertungen, der Umsetzung der Kontrollen und der Wirksamkeitstests.
2. Management von Zwischenfällen und Berichterstattung (Art. 17-23):
   
   • Prozesse: Einrichtung von Prozessen zur Überwachung, Erkennung, Klassifizierung (auf der Grundlage der in den technischen Regulierungsstandards (RTS) definierten Kriterien), Verwaltung, Protokollierung und Meldung größerer IKT-Vorfälle.
   • Technische Unterstützung: Implementierung von Protokollierungs- und Überwachungstools (SIEM), die in der Lage sind, Vorfälle zu erkennen und die für die Berichterstattung erforderlichen Daten zu sammeln. Entwicklung von Arbeitsabläufen für die Berichterstattung.
3. Prüfung der digitalen operationellen Belastbarkeit (Art. 24-27):
   
   • Testprogramm: Erstellen Sie ein risikobasiertes Programm, das Schwachstellenbewertungen, Open-Source-Analysen, Netzwerksicherheitsbewertungen, physische Sicherheitsüberprüfungen, szenariobasierte Tests und Kompatibilitätstests umfasst.
   • Werkzeuge: Einsatz von Schwachstellenscannern, Konfigurationsscannern, DAST, SAST, SCA-Tools.
   • Bedrohungsgesteuerte Penetrationstests (TLPT): Für bedeutende Einrichtungen werden fortgeschrittene TLPT (wie TIBER-EU) auf der Grundlage spezifischer RTS durchgeführt, an denen externe, zertifizierte Prüfer beteiligt sind, die reale Angreifer simulieren. Erfordert ausgereifte Erkennungs- und Reaktionsfähigkeiten, um effektiv zu sein.
4. ICT-Risikomanagement für Dritte (Art. 28-44):
   
   • Strategie und Politik: Entwickeln Sie eine Strategie und Politik für das Management von Risiken im Zusammenhang mit IKT-Drittanbietern.
   • Register der Informationen: Führen Sie ein detailliertes Register aller IKT-Dienstleistungsverträge mit Dritten.
   • Sorgfältige Prüfung: Führen Sie strenge Sicherheits- und Belastbarkeitsprüfungen durch , bevor Sie Verträge mit IKT-Anbietern abschließen.
   • Vertragliche Anforderungen (Art. 30): Stellen Sie sicher, dass die Verträge obligatorische Klauseln zu Sicherheitsstandards, Audit-Rechten, Zusammenarbeit bei der Meldung von Vorfällen, klaren Dienstbeschreibungen, Standorten der Datenverarbeitung und Ausstiegsstrategien enthalten.
   • Beaufsichtigung kritischer Anbieter (CTPPs): Zusammenarbeit mit den ESAs bei der direkten Beaufsichtigung der benannten CTPPs.
   • Konzentrationsrisiko: Bewertung und Steuerung der Risiken, die mit der starken Abhängigkeit von einem oder wenigen Anbietern verbunden sind.
5. Informationsaustausch (Art. 45):
   
   • (freiwillige) Beteiligung an Vereinbarungen über den Austausch von Erkenntnissen und Informationen über Cyber-Bedrohungen, um die compliance DSGVO zu gewährleisten.

Die Umsetzung erfordert eine starke Governance, engagierte Ressourcen, eine abteilungsübergreifende Zusammenarbeit (IT, Sicherheit, Risiko, Recht, Beschaffung) und oft erhebliche Investitionen in Technologie und Fachwissen.

Häufig zu vermeidende Fehler

Einrichtungen, die DORA anwenden, sollten diese häufigen Fehler vermeiden:

1. Verzögerung der Umsetzung: Zu langes Warten, um mit den umfangreichen Arbeiten zu beginnen, die für die Lückenanalyse, die Entwicklung eines Rahmens, die Durchführung von Tests und die Sanierung von Verträgen mit Dritten vor der Frist im Januar 2025 erforderlich sind.
2. Unterschätzung des Umfangs/Aufwands: Unkenntnis des Umfangs der DORA-Anforderungen in allen fünf Säulen und unzureichende Ressourcenausstattung für die compliance .
3. Behandlung als reine IT/Sicherheitsangelegenheit: Unzureichende Einbeziehung der Risiko-, Rechts- und Beschaffungsabteilung sowie der Geschäftsleitung, insbesondere im Hinblick auf den IKT-Risikorahmen und das Risikomanagement für Dritte.
4. Unzureichendes Risikomanagement für Drittanbieter: Versäumnis, eine angemessene Due-Diligence-Prüfung durchzuführen, Verträge mit obligatorischen Klauseln zu aktualisieren oder das Konzentrationsrisiko in Bezug auf IKT-Anbieter zu steuern.
5. Unzureichende Ausfallsicherheitstests: Durchführung von nur einfachen Schwachstellen-Scans anstelle der von DORA vorgeschriebenen umfassenden, risikobasierten Tests (einschließlich TLPT, falls erforderlich).
6. Unzureichende Bereitschaft zur Meldung von Zwischenfällen: Fehlende technische Überwachung oder interne Prozesse, um wichtige Vorfälle genau und innerhalb der vorgeschriebenen Fristen zu klassifizieren und zu melden.
7. Annahme, dass andere Rahmenwerke ausreichen: Ausschließliches Vertrauen auf die bestehende ISO 27001 oder andere compliance ohne Durchführung einer spezifischen Lückenanalyse im Vergleich zu den detaillierten Anforderungen von DORA, insbesondere in Bezug auf Risiko- und Ausfallsicherheitstests durch Dritte.

Was Wirtschaftsprüfer/Regulierungsbehörden fragen könntenEntwickelnde Focus)

Die Aufsichtsbehörden, die die compliance überprüfen, werden umfassende Befugnisse haben. Fragen, die sich auf die Entwicklungsteams auswirken, könnten sich auf die Widerstandsfähigkeit, die Sicherheit beim Entwurf, das Testen und die Unterstützung bei Zwischenfällen konzentrieren:

• (ICT Risk Mgmt) "Wie werden Sicherheits- und Belastbarkeitsanforderungen in den Lebenszyklus der Softwareentwicklung integriert?"
• (ICT Risk Mgmt) "Nachweis von sicheren Kodierungspraktiken und Schwachstellenmanagement in der Entwicklung".
• (Incident Mgmt) "Wie erleichtert die Protokollierung der Anwendung die Erkennung, Analyse und Meldung von IKT-bezogenen Vorfällen?"
• (Resilience Testing) "Welche Sicherheitstests (statisch, dynamisch, Komponenten) werden für die Anwendung durchgeführt? Geben Sie aktuelle Ergebnisse an."
• (Resilience Testing) "Wie ist die Anwendung so konzipiert, dass sie Ausfällen oder hoher Belastung standhält (z. B. Redundanz, Skalierbarkeit, Failover-Mechanismen)?"
• (Resilience Testing) "Können Sie den Prozess zur Wiederherstellung der Anwendung und ihrer Daten aus Sicherungskopien demonstrieren?"
• (Risiko von Drittanbietern) "Wie verwalten Sie Sicherheitsrisiken im Zusammenhang mit Softwarekomponenten oder APIs von Drittanbietern, die in die Anwendung integriert sind?"

Die Aufsichtsbehörden erwarten dokumentierte Rahmenbedingungen, Richtlinien, Verfahren, Testergebnisse, Protokolle von Zwischenfällen und den Nachweis, dass die Systeme und Prozesse widerstandsfähig sind.

Quick Wins für Entwicklungsteams

Auch wenn die vollständige compliance DORA komplex ist, können Entwicklerteams durch grundlegende Praktiken dazu beitragen:

1. Verbessern Sie die Anwendungsprotokollierung: Verbessern Sie die Anwendungsprotokolle, um sicherheitsrelevante Ereignisse und Fehler zu erfassen, die für die Analyse von Zwischenfällen nützlich sind. Stellen Sie sicher, dass die Protokolle zentralisiert sind.
2. SAST/SCA integrieren: Automatisches Sicherheitsscanning für Code und Abhängigkeiten frühzeitig in die CI/CD-Pipeline einbetten.
3. Schwerpunkt auf Ausfallsicherheitsmustern: Betonung von Programmierpraktiken, die die Ausfallsicherheit verbessern (z. B. angemessene Fehlerbehandlung, Timeouts, Wiederholungen, Zustandslosigkeit, wo möglich).
4. Dokumentieren Sie Abhängigkeiten: Führen Sie eine genaue Software Bill of Materials (SBOM) für Anwendungen.
5. Testen Sie Ausfallszenarien: Testen Sie, wie sich die Anwendung bei Fehlern verhält (z. B. wenn eine Abhängigkeit nicht verfügbar ist oder eine hohe Belastung vorliegt).
6. Sichere Konfiguration: Stellen Sie sicher, dass die Anwendungen über sichere Standardkonfigurationen verfügen, und externalisieren Sie die Konfigurationseinstellungen in geeigneter Weise.

Ignorieren Sie dies und... (Folgen der Compliance)

Die DORA verleiht den zuständigen Behörden erhebliche Aufsichts- und Durchsetzungsbefugnisse. Die compliance kann zur Folge haben:

• Verwaltungssanktionen/Bußgelder: DORA selbst legt zwar keine spezifischen Bußgelder fest (und überlässt die Umsetzung zum Teil den Mitgliedstaaten), abercompliance der zugrundeliegenden Richtlinien/Verordnungen, die es verschärft, oder die Nichtbefolgung von Anordnungen der zuständigen Behörden kann zu erheblichen Bußgeldern führen (möglicherweise bis zu 1-2 % des weltweiten Umsatzes oder spezifische Beträge wie 10 Mio. EUR, je nach nationaler Umsetzung und spezifischen Verstößen). Berichtigung: Einige Quellen erwähnen Zwangsgelder von bis zu 1 % des durchschnittlichen weltweiten Tagesumsatzes für kritische Drittanbieter, die direkt von den ESAs beaufsichtigt werden. Die nationalen Sanktionen für Finanzunternehmen selbst werden unterschiedlich ausfallen, dürften aber erheblich sein.
• Abhilfemaßnahmen: Die Behörden können anordnen, dass Unternehmen ihr Verhalten einstellen, bestimmte Abhilfemaßnahmen ergreifen oder bestimmte Informationen bereitstellen.
• Öffentliche Bekanntmachungen: Die Behörden können öffentliche Bekanntmachungen erlassen, in denen die nicht konforme Einrichtung und die Art des Verstoßes genannt werden.
• Entzug der Ermächtigung: In schwerwiegenden Fällen kann die Zulassung des Finanzinstituts entzogen werden.
• Management-Sanktionen: Mögliche Verwaltungsstrafen oder vorübergehende Verbote für Mitglieder des Leitungsorgans, die für Verstöße verantwortlich sind.
• Schädigung des Rufs: Die öffentliche Bekanntgabe voncompliance oder daraus resultierenden Vorfällen schadet dem Vertrauen in den Finanzsektor erheblich.
• Betriebseinschränkungen: Die Behörden können Betriebsbeschränkungen verhängen, bis die compliance wieder compliance .

FAQ

Wer muss sich an DORA halten?

Die DORA gilt für ein breites Spektrum von Finanzunternehmen in der EU, darunter Banken, Kreditinstitute, Zahlungsinstitute, Wertpapierfirmen, Versicherungs- und Rückversicherungsunternehmen, Krypto-Asset-Dienstleister, Crowdfunding-Plattformen, zentrale Gegenparteien (CCPs), Transaktionsregister, Verwalter alternativer Investmentfonds (AIFMs), OGAW-Verwaltungsgesellschaften und auch kritische IKT-Drittdienstleister, die von den europäischen Aufsichtsbehörden benannt werden.

Wann ist die Frist für die compliance?

Finanzinstitute müssen bis zum 17. Januar 2025 vollständig mit der DORA konform sein.

In welchem Zusammenhang steht DORA mit NIS2?

DORA stellt eine lex specialis für den Finanzsektor dar. Das bedeutet, dass Finanzunternehmen, die sowohl unter die DORA als auch unter die NIS2 fallen, in erster Linie die spezifischeren Anforderungen der DORA in Bezug auf das IKT-Risikomanagement, die Meldung von Vorfällen, die Prüfung der Widerstandsfähigkeit und das Risiko Dritter befolgen. Für Aspekte, die nicht von der DORA abgedeckt werden, gilt weiterhin die NIS2.

Was sind bedrohungsgesteuerte Penetrationstests (TLPT) im Rahmen von DORA?

TLPT ist eine fortgeschrittene Form der Ausfallsicherheitsprüfung, die für bedeutende Finanzunternehmen gemäß DORA (Artikel 26) vorgeschrieben ist. Dabei werden die Taktiken, Techniken und Verfahren (TTPs) realer Bedrohungsakteure simuliert, die auf die kritischen Funktionen und die zugrunde liegenden Systeme des Unternehmens abzielen. Sie basiert auf Rahmenwerken wie TIBER-EU und erfordert zertifizierte externe Prüfer.

Gilt DORA auch für Cloud-Anbieter?

Ja, in erheblichem Maße. Anbieter von Cloud werden im Rahmen von DORA als IKT-Drittdienstleister betrachtet. Finanzinstitute, die Cloud-Dienste nutzen, müssen strenge Anforderungen an das Risikomanagement von Drittanbietern erfüllen (Art. 28-30). Darüber hinaus unterliegen Cloud-Anbieter, die von den europäischen Aufsichtsbehörden als "kritisch" eingestuft werden, der direkten Aufsicht und möglichen Sanktionen (Art. 31-44).

Was sind die Hauptpfeiler von DORA?

Die fünf Hauptpfeiler sind:

1. IKT-Risikomanagement
2. Management von ICT-bezogenen Vorfällen und Berichterstattung
3. Testen der digitalen Ausfallsicherheit
4. ICT-Risikomanagement für Drittparteien
5. Vereinbarungen über den Informationsaustausch

Gibt es eine Zertifizierung für DORA?

Nein, DORA selbst legt kein Zertifizierungssystem fest. Die Compliance wird von den zuständigen nationalen Behörden und den europäischen Aufsichtsbehörden (für kritische IKT-Drittanbieter) überwacht und durchgesetzt. Die Unternehmen weisen die compliance durch ihre implementierten Rahmenwerke, Richtlinien, Testergebnisse, Berichte über Vorfälle und die Zusammenarbeit mit den Aufsichtsbehörden nach.