Lächelnde Person mit Brillen stützt Kopf in die Hand an Schreibtisch mit Monitoren, auf denen Quellcodes zu sehen sind, sitzend
© deagreez | stock.adobe.com
Finanzdienstleister, Fachgruppe

DORA – Digital Operational Resilience Act: Anforderungen und Auswirkungen auf Finanzdienstleister

Seit dem Inkrafttreten der DORA-Verordnung (Digital Operational Resilience Act) am 17. Januar 2025 stehen Finanzdienstleister in Europa vor neuen Herausforderungen. Hier ein Überblick über die wichtigsten Inhalte und Anforderungen sowie deren Auswirkungen auf die tägliche Arbeit im Finanzdienstleistungssektor.

Lesedauer: 1 Minute

24.02.2025

Die Verordnung, die auf die Stärkung der digitalen Widerstandsfähigkeit von Finanzunternehmen abzielt, setzt hohe Maßstäbe an die IT-Landschaften, Prozesse und Dokumentation. Adressaten der Verordnung sind nahezu alle Arten von Finanzinstituten und natürlich auch die Finanzdienstleister. Die Finanzmarktaufsichtsbehörde (FMA) wird die Einhaltung der Vorgaben überwachen. Ziel ist es, Risiken wie Cyberangriffe oder IT-Ausfälle besser zu bewältigen und so die Stabilität des Finanzsektors zu erhöhen. Doch was bedeutet das für uns konkret in der Praxis?

Wesentliche Anforderungen im Überblick

IKT-Risikomanagement: Unternehmen müssen ein umfassendes Risikomanagement für IKT-Risiken implementieren. Dazu gehören:

  • Inventarlisten für eingesetzte Hard- und Software mit Bewertung ihrer Bedeutung für das Unternehmen,
  • Frühzeitige Erkennung von IT-bezogenen Vorfällen, Bedrohungen und Schwachstellen,
  • Maßnahmen zur schnellen Reaktion und Wiederherstellung im Problemfall.

Umgang mit IKT-Vorfällen und Cyberbedrohungen

Für den Umgang mit IKT-Vorfällen und Cyberbedrohungen sind klare Prozesse zu definieren. Schwerwiegende Vorfälle müssen verpflichtend an die FMA gemeldet werden.

Tests zur Resilienz

Präventiv müssen Programme für Resilienz-Tests eingerichtet werden. Diese reichen von Schwachstellen-Scans und Gap-Analysen bis hin zu umfassenden Penetrationstests (Threat Led Penetration Tests), deren Umfang sich nach Art und Größe des Unternehmens richtet.

IKT-Drittparteienrisiko

Die Zusammenarbeit mit externen IKT-Dienstleistern birgt Risiken, die durch folgende Maßnahmen minimiert werden sollen:

  • Führung von Informationsregistern zu externen Dienstleistungen,
  • Due-Diligence-Prüfungen der Dienstleister,
  • Vertragsklauseln zur Risikoabsicherung.

Es bleibt abzuwarten, wie diese Anforderungen in der Praxis umgesetzt werden, da bisher keine standardisierten Vertragsklauseln vorgegeben sind.

Überwachung kritischer IKT-Drittdienstleister

DORA sieht einen Überwachungsrahmen für kritische IKT-Drittanbieter vor. Dies zielt auf die Abmilderung von Abhängigkeiten von global dominanten IT-Dienstleistern ab.

Erleichterungen für kleinere Unternehmen

Ein Lichtblick für kleinere Finanzunternehmen ist der in DORA verankerte Verhältnismäßigkeitsgrundsatz. Dieser ermöglicht erleichterte Anforderungen für simplere und kleinere Unternehmensstrukturen.

Handlungserfordernisse für Finanzdienstleister

Finanzunternehmen müssen zeitnah beginnen, die Anforderungen der DORA-Verordnung umzusetzen. Wichtige Schritte sind:

  1. Bestandsaufnahme: Identifikation und Dokumentation der eingesetzten IT-Systeme und ihrer Relevanz.
  2. Prozesse definieren: Aufbau klarer Prozesse zur Erkennung, Meldung und Bearbeitung von IT-Vorfällen.
  3. Vertragsprüfungen: Anpassung von Verträgen mit externen IKT-Dienstleistern.
  4. Resilienz-Tests: Entwicklung eines Testprogramms zur Stärkung der IT-Systeme.
  5. Mitarbeiterschulungen: Sensibilisierung von Mitarbeitern für die neuen Anforderungen.

DORA ist ein notwendiger Schritt zur Erhöhung der digitalen Resilienz im Finanzsektor. Die Umsetzung der Verordnung bringt jedoch erheblichen Aufwand mit sich, um die komplexen Anforderungen zu erfüllen und von den langfristigen Vorteilen einer stärkeren IT-Sicherheit zu profitieren.