Article Digital Operational Resilience Act (DORA)

Digital Operational Resilience Act

Kurz: DORA

By  Insight Editor / 4 Jun 2024  / Topics: Cybersecurity

Was ist der Digital Operational Resilience Act (DORA)

Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung, die den EU-Finanzsektor dazu verpflichtet, einen umfassenden Rahmen für das Risikomanagement im Bereich der Informations- und Kommunikationstechnologie (IKT) umzusetzen. Das Ziel dieser Verordnung ist es, die IT-Vorschriften für den Finanzsektor zu harmonisieren und die digitale Widerstandsfähigkeit weiter zu stärken. 

DORA ergänzt die bestehenden Rechtsvorschriften - NIS2 und GDPR. DORA wurde zusammen mit der NIS2 veröffentlicht, die darauf abzielt, die Widerstandsfähigkeit der EU-Infrastruktur zu verbessern. Obwohl beide Verordnungen für Finanzinstitute gelten, hat DORA Vorrang, da sie spezifischer ist als NIS2.

An wen richtet sich DORA?

DORA gilt für alle in der EU tätigen Finanzinstitute - einschließlich Banken, Versicherungsgesellschaften, Zahlungsdienstleister und Marktinfrastrukturanbieter. Die Verordnung soll sicherstellen, dass alle Finanzinstitute über angemessene Maßnahmen verfügen, um operative Risiken, die sich auf ihre Kunden, das Finanzsystem und die Wirtschaft insgesamt auswirken können, zu verhindern und zu mindern.

Warum is DORA wichtig?

DORA ist wichtig, weil es darauf abzielt, die operative Widerstandsfähigkeit des EU-Finanzsektors zu gewährleisten. Diese EU-Verordnung verlangt von den Finanzinstituten, dass sie Maßnahmen zur Vorbeugung und Abschwächung operativer Risiken, wie Cyberangriffe und IT-Ausfälle, ergreifen. DORA wird auch einen Rahmen für die koordinierte Reaktion auf Vorfälle und den Informationsaustausch zwischen Finanzinstituten und Aufsichtsbehörden schaffen. Durch die Schaffung eines gemeinsamen Rahmens für die operative Widerstandsfähigkeit soll DORA sicherstellen, dass der Finanzsektor auch bei operativen Störungen weiterhin effektiv arbeiten und die Wirtschaft insgesamt unterstützen kann.

Wann tritt DORA in Kraft?

Am 17. Januar 2025 müssen Finanzunternehmen mit DORA und den technischen Regulierungsstandards, die von den Europäischen Aufsichtsbehörden (ESAs) noch entwickelt werden, konform sein. Obwohl das Inkrafttreten noch einige Zeit dauert, ist es ratsam, jetzt mit den Vorbereitungen für DORA zu beginnen.

Welches sind die wichtigsten Säulen von DORA?

DORA stützt sich auf fünf Säulen:

  1. Governance und Risikomanagement: Finanzinstitute sollten einen Rahmen für Governance und Risikomanagement schaffen, um operative Risiken zu ermitteln, zu steuern und zu reduzieren.
  2. Business Continuity Management: Finanzinstitute sollten einen Rahmen für das Management ihrer Geschäftskontinuität einrichten, um sicherzustellen, dass sie im Falle einer Störung weiterhin kritische Dienstleistungen erbringen können.
  3. Cybersicherheit: Finanzinstitute sollten Maßnahmen ergreifen, um Cyber-Bedrohungen zu verhindern, zu erkennen und auf sie zu reagieren.
  4. Outsourcing: Finanzinstitute müssen die Risiken beherrschen, die mit der Auslagerung kritischer Funktionen an Drittanbieter verbunden sind.
  5. Vorfall-Management: Von Finanzinstituten wird erwartet, dass sie Vorfälle und erhebliche Cyber-Bedrohungen prozessbasiert verwalten, klassifizieren und behandeln.

Was können Sie als Unternehmen tun?

Unternehmen können jetzt damit beginnen, ihre derzeitige Situation im Hinblick auf die Anforderungen von DORA zu analysieren und von dort aus Maßnahmen zu ergreifen. Es gibt verschiedene bewährte Verfahren und Leitlinien zur Erfüllung der Anforderungen an Risikomanagement, Informationssicherheit und Outsourcing. Die Umsetzung von DORA sorgt für eine Vereinheitlichung und Verschärfung dieser Anforderungen.

Organisationen müssen zunächst sicherstellen, dass sie diese bestehenden Anforderungen erfüllen. Dies gibt Aufschluss darüber, welche Maßnahmen bereits vorhanden sind und welche noch definiert werden müssen. Diese Erkenntnisse bilden die Grundlage für eine Basismessung, nach der zusätzliche Maßnahmen festgelegt werden können. Dieser Ansatz hat den Vorteil, dass er auf dem aktuellen Risikomanagement basiert, vorhandene Ergebnisse einbezieht und es der Organisation ermöglicht, nachzuweisen, ob und in welchem Umfang sie die verschiedenen Anforderungen erfüllt.

Weitere Informationen

Insight kann Sie dabei unterstützen, die richtigen Anforderungen zu ermitteln und sie erfolgreich umzusetzen. Unser Ansatz zeichnet sich durch eine strukturierte Vorgehensweise aus, die Ihnen hilft, die richtigen Schritte im Prozess zu durchlaufen.
Für weitere Informationen kontaktieren Sie unsere Spezialisten.