← Zurück zur Startseite

DORA: Alle wichtigen Informationen auf einen Blick

Der Digital Operational Resilience Act (DORA) soll die Cybersicherheit erhöhen und die Resilienz stärken. Diese Anforderungen kommen auf den Finanzsektor zu.
Ole Barkmann
Ole Barkmann
Jetzt teilen:

Mit dem am 16. Januar 2023 in Kraft getretenen Digital Operational Resilience Act (DORA) [pdf] soll den wachsenden Cyberrisiken begegnet werden. Das Rahmenwerk hat zum Ziel, nationale Standards zu konsolidieren und für digitale Betriebsstabilität von EU-Finanzunternehmen zu sorgen. Konkret soll DORA sie in die Lage versetzen, auf Störungen und Bedrohung angemessen zu reagieren. Die Verordnung adressiert explizit Non-Financial Risks (NFR) und trägt damit der Tatsache Rechnung, dass diese in der Risikolandkarte von Finanzinstituten gegenüber Financial Risks immer mehr an Relevanz gewinnen.

Wer ist von DORA betroffen?

Der Digital Operational Resilience Act betrifft EU-weit über 22.000 Finanzunternehmen – darunter Banken, Versicherer, Versicherungsvermittler, Wertpapierfirmen, Dienstleister für Crypto-Assets aber auch IKT-Drittanbieter (z.B. Clouddienstleister).

DORA – ab wann müssen die Anforderungen umgesetzt werden?

Da es sich um eine Verordnung handelt, gilt DORA ohne weitere Umsetzungsakte unmittelbar in den Mitgliedsstaaten. Für die Implementierung durch die betroffenen Finanzunternehmen ist eine 24-monatige Frist bis zum 17. Januar 2025 vorgesehen.

24.09.2020: Die EU-Kommission veröffentlicht den DORA-Entwurf.

2020

Das EU-Parlament erstellt den Bericht für das Verhandlungsmandat im Trilog (Rat, Kommission und Parlament).

2021

24.06.2022: Kompromiss zwischen EU-Rat und EU-Parlament.

10.11.2022: Annahme des finalen Textes der Verordnung.

27.12.2022: Veröffentlichung im EU-Amtsblatt.

2022

16.01.2023: DORA tritt in Kraft

Die Aufsichtsbehörde legt technische Regulierungs- und Durchführungsstandards fest. Sie enthalten Spezifikationen und Anleitungen für die Umsetzung der DORA-Anforderungen.

Entwürfe bis 17.01.2024:

  • Einzelheiten zum IKT-Risikomanagement
  • Details zur Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen

Entwürfe bis 17.07.2024:

  • Details zur Berichtspflicht (z.B. Termine und Formate)
  • Einzelheiten zu erweiterten Tests von Tools, Systemen und Prozessen auf Basis von Threat Led Penetration Testing
  • Details zum Management des IKT-Drittparteienrisikos sowie Vorgaben für ein Register
  • Spezifizierungen zur Struktur des Überwachungsrahmens für kritische IKT-Drittdienstleister
2023/2024

17.01.2025: Anwendung der Verordnung.

2025

Die Handlungsfelder von DORA

DORA adressiert vor allem die folgenden fünf zentralen Kernthemen:

  • Vereinheitlichung und Verbesserung des IKT-Risikomanagements
  • Einrichtung und Pflege belastbarer Systeme und Werkzeuge
  • Identifizierung, Klassifizierung und Dokumentation kritischer Funktionen
  • Erweiterte und vereinheitlichte Meldepflichten
  • Test sind zu protokollieren
  • Vorfälle/Störungen müssen klassifiziert und geclustert werden
  • Jährliche Tests von Werkzeugen und Systemen
  • Durchführung bedrohungsgesteuerter Penetrationstests
  • Spezifizierung institutsindividueller Präventionsmaßnahmen
  • Risikomanagement von Dienstleistungspartnern
  • Kritische IKT-Drittdienstleister unterliegen zukünftig EU-Aufsichtsrahmen
  • Vollständiges Auslagerungsverzeichnis
  • Regelungen zum Informationsaustausch über Cyberbedrohungen zwischen Finanzunternehmen
  • Aufsichtsbehörde stellt anonymisierte Erkenntnisse über Cyberbedrohung zur Verfügung

Hier ist ein erhöhter Umsetzungsaufwand zu erwarten

Viele der Vorgaben von DORA überschneiden sich mit bereits bekannten Regularien (z.B. MaRisk/BAIT, MaGo/VAIT, KAMaRisk/ZAIT und EBA-Guidelines). Allerdings beinhaltet das Rahmenwerk einige Verschärfungen – v.a. mit Blick auf die Themen „Kritische IKT-Dienstleister“ und „Belastbarkeitstests“:

1. Kritische IKT-Dienstleister

IKT-Drittdienstleister, die mit kritischen Funktionen befasst sind, rücken mit DORA deutlich in den Fokus. Sie sind zu identifizieren, in einem Auslagerungsverzeichnis bzw. Informationsregister zu erfassen und speziell zu beaufsichtigen. In diesem Kontext sind Finanzunternehmen auch explizit dazu aufgefordert, das Konzentrationsrisiko bei Drittanbietern zu berücksichtigen. Zudem wird mit DORA erstmals eine direkte Aufsicht für kritische IKT-Drittdienstleister durch eine europäische Aufsichtsbehörde eingeführt. Deren Durchgriffsrechte wachsen damit erheblich – bis hin zur Befugnis, die Kündigung von Verträgen anzuordnen.

IT-Governance, IT-Risikomanagement und IT-Compliance

Mit seiner GRC Suite hat PASS eine gute Grundlage für das integrierte Management von Steuerungsvorgaben, Risiken, internen wie externen Prüfungen sowie die Überwachung von KPIs geschaffen. Dabei können die Module der GRC Suite an jede Institutsgröße angepasst werden und sind erweiterbar, beispielsweise um ein Auslagerungs- und ein Vertragsregister.
Hier informieren
Tipp!

2. Belastbarkeitstests

DORA bringt eine Steigerung der Frequenz bei Penetrations- und Belastungstests der digitalen Resilienz mit sich. Systeme und Werkzeuge müssen jährlich getestet werden; alle drei Jahre sind darüber hinaus bedrohungsorientierte Penetrationstests (TLPT) durchzuführen – und zwar von einer entsprechend qualifizierten und unabhängigen Stelle. Hierzu wird es ein Rahmenwerk mit Anforderungen geben. Finanzunternehmen ist es dabei sicher zu empfehlen, ihre risikobasierten Testprogramme bereits frühzeitig zu stärken und sich dabei an TIBER-DE / TIBER-EU zu orientieren.

Exkurs: TIBER-DE / TIBER-EU

Um die Widerstandsfähigkeit von Finanzinstituten zu stärken, erließ die Europäische Zentralbank im Mai 2018 mit TIBER-EU (Threat Intelligence-based Ethical Red Teaming) ein Framework für Tests in Form simulierter Cyberangriffe. Dieses wurde auf den deutschen Finanzmarkt übertragen und als TIBER-DE veröffentlicht. Das Rahmenwerk richtet sich an Banken, Versicherer, Finanzmarktinfrastrukturen und Dienstleister, die ihre Cyber-Abwehr auf den Prüfstand stellen möchten. TIBER-DE ist allerdings keine finanzaufsichtlich angeordnete Maßnahme und demnach ist eine Teilnahme freiwillig.

Machbarer Aufwand

Mit DORA unterliegt die digitale Resilienz im Finanzsektor erstmals einheitlichen Regeln. Der individuelle Umsetzungsaufwand hängt dabei stark von der Unternehmensgröße, den Risiken des Geschäftsmodells sowie dem aktuellen Status quo der digitalen Resilienz ab. Wie bereits ausgeführt, werden vor allem die Themen „Auslagerung“ und „Belastbarkeitstests“ in den Fokus rücken, wobei Finanzinstitute, welche BAIT/VAIT/ZAIT bereits konsequent umsetzen, beim Thema „Auslagerung“ einen klaren Vorteil haben werden. 

Lesen Sie mehr dazu: Die BAIT definieren die Anforderungen der Aufsicht an die Informationssicherheit in Banken – so helfen sie Cyberangriffen vorzubeugen.

Unter dem Strich wird das IT-Risikomanagement mit DORA noch komplexer und es gilt, nicht nur den Überblick zu behalten, sondern das Thema aktiv zu steuern. Hierbei kann eine Governance, Risk und Compliance Software wie z.B. PASS GRC unterstützen.

Die Anforderungen von DORA decken sich im Übrigen in weiten Teilen mit der neuen EU-Verordnung zur Cybersicherheit NIS2. Sprich: Viele Finanzunternehmen schlagen hier zwei Fliegen mit einer Klappe.  

Exkurs: NIS2

NIS2 (Network and Information Security 2) trat am 16. Januar 2023 in Kraft und wird die seit 2016 geltende Richtlinie zur Netz- und Informationssicherheit (NIS) ersetzen. Sie definiert einheitliche Mindeststandards für die Cybersicherheit kritischer Infrastrukturen in der EU und hat zum Ziel, sie besser vor Cyberbedrohungen zu schützen. Um Rechtsklarheit und Kohärenz zu gewährleisten, wurde NIS2 an sektorspezifische Rechtsvorschriften angepasst – so auch an DORA. EU-Staaten müssen NIS2 bis Oktober 2024 in nationales Recht überführen.


Bildquelle: Shutterstock

Schreibe einen Kommentar

Ähnliche Artikel
Linkedin Twitter Instagram Facebook Youtube Soundcloud Rss