Der Digital Operational Resilience Act

Wie Sie DORA erfolgreich umsetzen & Ihre digitale Sicherheit stärken

Verbesserte Cybersicherheit & Resilienz

Klare Verantwortlichkeiten

Strafen bei Nichteinhaltung

Was genau ist der Digital Operational Resilience Act?

Der Digital Operational Resilience Act (DORA) ist eine Verordnung der Europäischen Union, die darauf abzielt, die digitale Betriebsstabilität und Widerstandsfähigkeit von Finanzunternehmen zu verbessern.

Angesichts der zunehmenden Digitalisierung und der damit verbundenen Risiken im Bereich der Informations- und Kommunikationstechnologie (IKT) soll DORA sicherstellen, dass Finanzinstitute in der Lage sind, IKT-bezogene Störungen zu überstehen, darauf zu reagieren und entsprechende Maßnahmen einzuleiten. Selbiges gilt auch für andere Finanzunternehmen, darunter Investmentgesellschaften, Wertpapierfirmen, Versicherungsunternehmen und IKT-Dienstleister.

Mit DORA soll somit ein harmonisierter Rechtsrahmen geschaffen werden, der die digitalen Sicherheitsstandards in der gesamten EU vereinheitlicht und erhöht. Dies trägt dazu bei, das Vertrauen in die Stabilität des Finanzsektors zu stärken und die Widerstandsfähigkeit gegenüber digitalen Bedrohungen zu erhöhen.

Digital Operational Resilience Act (DORA)

Bis wann müssen Unternehmen Dora umgesetzt haben?

Der Digital Operational Resilience Act wurde vom Europäischen Parlament bereits am 16. Januar 2023 verabschiedet und wird ab dem 17. Januar 2025 verbindlich für alle Finanzdienstleister in der EU gelten. Diese zweijährige Übergangsperiode ermöglicht es betroffenen Unternehmen, sich umfassend auf die neuen Anforderungen vorzubereiten und sicherzustellen, dass alle notwendigen Maßnahmen zur digitalen Betriebsstabilität umgesetzt werden. Es ist entscheidend, dass Unternehmen bereits jetzt mit der Planung und Umsetzung beginnen, um pünktlich und vollständig konform zu sein. 

Werden die Vorgaben von DORA nicht fristgerecht erfüllt, können Unternehmen empfindliche Strafen und Sanktionen drohen. Die europäischen Aufsichtsbehörden haben das Recht, hohe Geldstrafen zu verhängen und restriktive Maßnahmen zu ergreifen, die den Geschäftsbetrieb erheblich beeinträchtigen können. Es ist daher von größter Wichtigkeit, die Implementierung von DORA ernst zu nehmen und alle Anforderungen rechtzeitig zu erfüllen, um rechtliche und finanzielle Konsequenzen zu vermeiden. 

Countdown zur Umsetzung des
Digital Operational Resilience Act

0
Tage
0
Stunden
0
Minuten
0
Sekunden

Warum ist DORA für die Finanzbranche derart wichtig?

Der Digital Operational Resilience Act ist entscheidend für die Finanzbranche der EU. Mit zunehmender Digitalisierung steigen die Risiken von Cyberangriffen und IT-Ausfällen nachweislich. DORA stellt sicher, dass Finanzunternehmen durch umfassende Sicherheitsmaßnahmen, strikte Risikomanagementanforderungen und Notfallplanungen widerstandsfähig bleiben. Es schafft einen einheitlichen Rechtsrahmen, der das Vertrauen in die Finanzmärkte stärkt und den Informationsaustausch fördert. Durch DORA sind Finanzunternehmen besser geschützt, können kontinuierlich operieren und tragen zur Stabilität der gesamten Branche bei. 

Im Jahr 2023 meldete die BaFin einen signifikanten Anstieg der IT-Vorfälle bei Zahlungsdienstleistern, insgesamt 235 Fälle, was einem Anstieg von 17,5% entspricht. Cyber-Attacken machten nur 5,1% der Vorfälle aus, während 94,9% auf interne operationelle Fehler zurückzuführen waren, darunter Prozess- und Systemfehler. Rund 40% der Vorfälle wurden durch Probleme bei externen Dienstleistern verursacht, was die Risiken durch die Konzentration von IT-Dienstleistungen verdeutlicht. Die meisten Vorfälle betrafen die Verfügbarkeit von Online- und Mobile-Banking-Diensten oder verzögerten Transaktionen. Insgesamt waren 7,12 Millionen Zahlungsdienstnutzer von den Vorfällen betroffen, wobei der durchschnittliche Vorfall ein Transaktionsvolumen von 224 Millionen Euro betraf. 

Verpassen Sie nicht die DORA-Frist!
Sichern Sie Ihre kostenfreie Beratung.

Was soll mit dem Digital Operational
Resilience Act
erreicht werden?

Harmonisierung der Regulierung

DORA zielt darauf ab, die verschiedenen nationalen Regelungen zur digitalen Betriebsstabilität innerhalb der EU zu harmonisieren und so einheitliche Standards zu schaffen. 

 

Sicherstellung der Betriebsfortführung

Die Verordnung soll gewährleisten, dass Finanzunternehmen auch bei schweren IKT-Störungen ihren Betrieb ohne Einschränkungen fortführen können. 

Erhöhung der Transparenz

DORA zielt darauf ab, die Transparenz bezüglich IKT-bezogener Risiken und der entsprechenden Bewältigungsmaßnahmen innerhalb der Finanzbranche zu steigern.  

Schutz der Verbraucher

Ein weiteres Ziel ist der Schutz der Verbraucher vor den Folgen von IKT-bezogenen Störungen und Cyber-Bedrohungen, indem die Stabilität und Sicherheit der Finanzdienstleistungen erhöht wird.

Verbesserung der Governance

DORA fordert von Finanzunternehmen eine stärkere Einbindung des Managements in die Steuerung und Überwachung von IKT-Risiken, um eine bessere Governance und Rechenschaftspflicht zu gewährleisten.

Effiziente Nutzung von Ressourcen

Die Verordnung fördert die effiziente Nutzung von Ressourcen durch die Implementierung von standardisierten Prozessen und Protokollen zur Bewältigung von IKT-Risiken und -Vorfällen.

Förderung der internationalen Zusammenarbeit

DORA soll auch die Zusammenarbeit und den Informationsaustausch mit internationalen Aufsichtsbehörden und Organisationen fördern, um globale Bedrohungen effektiv zu bewältigen. 

Was sind die Folgen, wenn DORA nicht umgesetzt wird?

Die Auswirkungen von DORA sind weitreichend und betreffen alle Finanzunternehmen innerhalb der EU. Durch die Einführung strengerer IKT-Risikomanagement-Richtlinien und Meldepflichten für IKT-bezogene Vorfälle müssen Unternehmen ihre digitalen Infrastrukturen stärken und regelmäßig auf Resilienz testen. Drittanbieter-Risiken werden durch strengere Überwachungs- und Bewertungsanforderungen minimiert. 

Erhebliche Geldstrafen

Unternehmen, die den Anforderungen von DORA nicht nachkommen, können mit hohen Geldbußen belegt werden.

 

Reputationsschäden

Die Nichteinhaltung von DORA kann zu einem erheblichen Verlust des Vertrauens bei Kunden und Partnern führen.

Eingeschränkte Marktchancen

Unternehmen, die DORA nicht umsetzen, könnten Schwierigkeiten haben, Geschäftspartner und Kunden zu gewinnen, die Wert auf regulatorische Compliance legen.

Erhöhtes Risiko von Cyber-Angriffen

Ohne die Einhaltung der DORA-Richtlinien könnte die digitale Infrastruktur des Unternehmens anfälliger für Cyber-Bedrohungen und Sicherheitsvorfälle sein.

Regulatorische Maßnahmen

Behörden könnten zusätzliche Überwachungsmaßnahmen ergreifen oder den Betrieb einschränken, bis die Compliance erreicht ist.

Geschäftsunterbrechungen

Fehlende Resilienzmaßnahmen könnten zu häufigeren und längeren Betriebsunterbrechungen führen.

Rechtliche Konsequenzen

Unternehmen könnten sich rechtlichen Schritten von Kunden oder Geschäftspartnern gegenübersehen, die durch IT-Sicherheitsvorfälle geschädigt wurden. 

Erhöhte Versicherungskosten

Versicherungen könnten höhere Prämien verlangen oder den Versicherungsschutz einschränken, wenn ein Unternehmen die DORA-Anforderungen nicht erfüllt.

Welche DORA-Vorschriften müssten Finanzdienstleister umsetzen?

Robustes IKT-Risikomanagement

Finanzdienstleister müssen umfassende Rahmenwerke zur Verwaltung von IKT-Risiken implementieren. 

Vorfallmanagement und Berichterstattung

Verpflichtung zur Meldung und Bewältigung von IKT-bezogenen Vorfällen. 

Regelmäßige Resilienztests

Durchführung regelmäßiger Tests zur Sicherstellung der Widerstandsfähigkeit von Systemen und Prozessen. 

Management von Drittanbietern

Effektive Verwaltung und Überwachung der Risiken, die durch Drittanbieter entstehen. 

Informationssicherheit

Entwicklung und Aufrechterhaltung einer umfassenden Informationssicherheitsstrategie. 

Informationsaustausch

Förderung des Austauschs von Cyber-Bedrohungsinformationen innerhalb der Branche. 

Dokumentationspflicht

Sicherstellung der vollständigen Dokumentation und Klassifizierung von IKT-Ressourcen und -Vorfällen. 

Mitarbeiterschulung

Regelmäßige Schulungen und Weiterbildungen zu IKT-Sicherheit und Risikomanagement für das Personal.

Stresstests

Mit einem Stresstest soll die Widerstandsfähigkeit des jeweiligen Unternehmens ermittelt werden.

Welche Kriterien müssen Unternehmen bei Drittanbietern beachten?

Drittanbieter sind externe Dienstleister, die kritische Informations- und Kommunikationstechnologiedienstleistungen (IKT-Dienstleistungen) für Finanzunternehmen bereitstellen. Dazu zählen Cloud-Service-Provider, IT-Sicherheitsfirmen, Datenzentren und andere Technologieanbieter, die maßgeblich zur Funktionsfähigkeit und Sicherheit der Finanzunternehmen beitragen. 

Risikobewertung und -überwachung

Unternehmen müssen eine gründliche Risikobewertung der Drittanbieter durchführen und kontinuierlich überwachen, um sicherzustellen, dass potenzielle Risiken frühzeitig erkannt und gemanagt werden können.

 

Vertragliche Vereinbarungen

Alle vertraglichen Vereinbarungen mit Drittanbietern sollten klare Bestimmungen zu den Erwartungen und Anforderungen in Bezug auf Sicherheit, Servicequalität und Datenschutz enthalten. 

Sicherheitsstandards

Drittanbieter müssen nachweislich hohe Sicherheitsstandards einhalten und zertifiziert sein, um die Integrität und Vertraulichkeit der Daten zu gewährleisten. 

Transparenz und Berichterstattung

Zudem müssen diese verpflichtet werden, regelmäßige Berichte über Sicherheitsvorfälle und Maßnahmen zur Risikominderung bereitzustellen. 

Subkontrahenten-Management

Drittanbieter müssen ihre eigenen Subkontrahenten verwalten und sicherstellen, dass auch diese den gleichen hohen Sicherheitsstandards folgen. 

Notfallpläne und Wiederherstellung

Robuste Notfallpläne müssen vorhanden sein, um die Kontinuität der Dienstleistungen auch im Falle eines Sicherheitsvorfalls zu gewährleisten. 

Einhaltung gesetzlicher Vorgaben

Drittanbieter müssen alle relevanten gesetzlichen und regulatorischen Anforderungen einhalten, um sicherzustellen, dass das Finanzunternehmen konform bleibt. 

Audits und Inspektionen

Finanzunternehmen sollten regelmäßige Audits und Inspektionen bei ihren Drittanbietern durchführen, um die Einhaltung der Sicherheits- und Servicevereinbarungen zu überprüfen. 

 

Physische Sicherheit

Dazu gehört die umfassende Sicherheit gesamter Einrichtungen, deren Räumlichkeiten, Datenzentren sowie der Schutz sensibler Informationen und IT-Infrastrukturen.

Interportabilität

Finanzunternehmen müssen sicherstellen, Daten und IT-Dienstleistungen zwischen verschiedenen Systemen und Dienstleistern nahtlos zu übertragen und miteinander zu verbinden.

So unterstützen wir Ihr Unternehmen bei der Umsetzung von DORA

Die Implementierung des Digital Operational Resilience Act (DORA) stellt viele Finanzunternehmen vor erhebliche Herausforderungen. Die fernao group GmbH unterstützt Sie dabei, die Anforderungen von DORA effizient und effektiv zu erfüllen.

IKT-Risikomanagement

Wir helfen Ihnen, robuste Rahmenwerke zur Verwaltung von IKT-Risiken zu entwickeln und zu implementieren. Unsere Experten unterstützen Sie bei der Identifikation, Bewertung und Minimierung potenzieller Risiken.

 

Vorfallmanagement und Berichterstattung

fernao unterstützt Sie bei der Einrichtung und Optimierung von Prozessen zur Meldung und Bewältigung von IKT-bezogenen Vorfällen. Wir sorgen dafür, dass Ihr Unternehmen jederzeit bereit ist, auf Vorfälle schnell und effektiv zu reagieren. 
 

Digitale Resilienztests

Mit regelmäßigen Tests der digitalen Resilienz stellen wir sicher, dass Ihre Systeme und Prozesse widerstandsfähig gegen Angriffe und Ausfälle sind. Unser Team führt umfassende Penetrationstests und Schwachstellenanalysen durch.

Management von Drittanbietern

Wir beraten Sie bei der Auswahl und Überwachung Ihrer Drittanbieter. FERNAO stellt sicher, dass alle externen Dienstleister den hohen Sicherheitsanforderungen und regulatorischen Vorgaben von DORA entsprechen.

Informationsaustausch

Profitieren Sie von unserer Expertise im Bereich des sicheren Informationsaustauschs über Cyber-Bedrohungen. Wir fördern den Austausch innerhalb Ihrer Organisation und mit externen Partnern, um Ihre gesamte Sicherheitslage zu verbessern. 

TLPT

Mit Threat-led Penetration Testing bewerten wir gezielt die Widerstandsfähigkeit Ihres Unternehmens gegenüber Cyberbedrohungen, indem potenzielle Schwachstellen in Ihren IT-Systemen identifiziert und behoben werden.

ISMS

Durch ISMS unterstützen wir die Umsetzung von DORA, indem wir individuelle Informationssicherheitsmanagementsysteme zur Erfüllung regulatorischer Anforderungen implementieren.

FAQ: Die häufigsten Fragen zu DORA auf einen Blick

Wie unterscheidet sich DORA von bestehenden Regelungen?

DORA vereint und harmonisiert bestehende nationale und internationale Regelungen unter einem einheitlichen EU-Rahmenwerk. Es legt spezifische Anforderungen fest, die von betroffenen Unternehmen umgesetzt werden müssen.

Werden interne IKT-Abteilungen von DORA betroffen?

Wie detailliert müssen Vorfallberichte sein?

Kann unser Unternehmen weiterhin mit Drittanbietern außerhalb der EU zusammenarbeiten?

Welche Kosten sind mit der Umsetzung von DORA verbunden?

Was passiert, wenn man nicht pünktlich konform ist?

Welche Sanktionen drohen bei Nichteinhaltung von DORA?

Wie kann ich mehr über DORA erfahren?

Ihre kostenfreie Erstberatung zur DORA-Umsetzung

Sprechen Sie mit unseren Experts

Die Einhaltung der Anforderungen des Digital Operational Resilience Act (DORA) ist entscheidend, um zukünftig den Betrieb von Unternehmen im Finanzsektor zu gewährleisten. Lassen Sie uns über Ihre spezifischen Anforderungen und Herausforderungen sprechen. Unser Team steht bereit, um Ihnen zu zeigen, wie wir Ihr Unternehmen durch die DORA-Compliance führen können. Jedes Unternehmen ist einzigartig, und wir sind darauf spezialisiert, individuelle Lösungen zu entwickeln, die auf Ihr Tätigkeitsfeld und Ihre spezifischen Bedürfnisse zugeschnitten sind.

fernao.com | Branchen & Themen | DORA