DORA-Verordnung: IKT-Risikomanagement im Finanzsektor
Going Public

Was ist die DORA-Verordnung?

Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung, die am 17. Januar 2023 in Kraft trat und ab dem 17. Januar 2025 für betroffene Unternehmen angewendet werden muss. Sie zielt darauf ab, Finanzunternehmen und ihre IT-Dienstleister besser vor Cyber-Attacken und IT-Pannen zu schützen.

Inhalt:

Zentrale Anforderungen

Verantwortung der Geschäftsleitung

Fragen und Antworten zur DORA

 

Zentrale Anforderungen von DORA

1. Informationssicherheitsmanagement und IKT-Risikomanagement

1. Informationssicherheitsmanagement und IKT-Risikomanagement

DORA verlangt von Finanzunternehmen, ein robustes IKT-Risikomanagement (Informations- und Kommunikationstechnologie) zu etablieren. Unternehmen müssen systematische Prozesse einführen, um IT-Risiken frühzeitig zu erkennen, zu bewerten und zu minimieren. Dazu gehört unter anderem:

  • Die Implementierung einer umfassenden IT-Sicherheitsstrategie
  • Regelmäßige Schwachstellenanalysen und Bedrohungsbewertungen
  • Entwicklung von Notfallplänen für den Fall von Cyberangriffen oder Systemausfällen
  • Sicherstellung der Resilienz gegenüber externen und internen Bedrohungen

Jedes Finanzunternehmen muss sicherstellen, dass seine IT-Infrastruktur widerstandsfähig gegenüber Cyberangriffen und technischen Ausfällen ist.

2. Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle

Unternehmen müssen in der Lage sein, IKT-bezogene Störungen oder Cyberangriffe schnell zu erkennen, zu analysieren und zu melden. DORA verpflichtet Finanzorganisationen zu einer strukturierten Vorgehensweise:

  • Klassifizierung von IT-Sicherheitsvorfällen nach Schweregrad
  • Meldepflicht an die zuständigen Aufsichtsbehörden (z. B. BaFin)
  • Erstellung detaillierter Berichte über IT-Störungen
  • Koordination mit betroffenen Stakeholdern zur schnellen Problemlösung

Diese Regelungen sollen sicherstellen, dass Bedrohungen frühzeitig erkannt und entsprechende Maßnahmen zur Schadensbegrenzung eingeleitet werden.

2. Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle
3. Tests der digitalen operationalen Resilienz

3. Tests der digitalen operationalen Resilienz

Ein zentrales Element von DORA ist die regelmäßige Prüfung der Widerstandsfähigkeit der IT-Systeme. Finanzinstitute müssen:

  • Stresstests und Penetrationstests durchführen, um Schwachstellen aufzudecken
  • Simulationsübungen zu Cyberangriffen und Systemausfällen durchführen
  • Sicherheits- und Notfallpläne testen und optimieren
  • Externe Experten hinzuziehen, um eine unabhängige Bewertung der IT-Resilienz sicherzustellen

Durch diese Tests wird überprüft, ob Unternehmen im Ernstfall in der Lage sind, den Betrieb aufrechtzuerhalten und angemessen zu reagieren.

4. Management des IKT-Drittparteienrisikos

Da viele Finanzunternehmen externe IT-Dienstleister wie Cloud-Anbieter, Rechenzentren oder Software-Services nutzen, stellt DORA besondere Anforderungen an das Risikomanagement von Drittanbietern. Unternehmen müssen:

  • Die Sicherheitsmaßnahmen ihrer IT-Dienstleister regelmäßig überprüfen
  • Vertragsanforderungen für externe Anbieter verschärfen
  • Notfallstrategien entwickeln, falls ein IT-Dienstleister ausfällt oder angegriffen wird
  • Sicherstellen, dass Drittanbieter ebenfalls DORA-konform handeln

DORA führt zudem einen speziellen Überwachungsrahmen für kritische IKT-Dienstleister ein, um deren Sicherheit und Stabilität zu gewährleisten.

4. Management des IKT-Drittparteienrisikos
5. Austausch von Informationen und Erkenntnissen

5. Austausch von Informationen und Erkenntnissen

Ein weiterer wichtiger Aspekt von DORA ist die Förderung des Informationsaustauschs über Cyberbedrohungen und Sicherheitsvorfälle zwischen Unternehmen, Behörden und IT-Dienstleistern. Dies soll:

  • Die frühzeitige Identifikation neuer Bedrohungen ermöglichen
  • Branchenübergreifende Zusammenarbeit in der Cybersicherheit fördern
  • Finanzunternehmen helfen, von den Erfahrungen anderer zu lernen
  • Die Entwicklung von effektiveren Abwehrmaßnahmen gegen Cyberangriffe unterstützen

Durch eine bessere Vernetzung innerhalb der Finanzbranche können Unternehmen schneller auf neue Gefahren reagieren und sich gegenseitig vor Risiken warnen.

Icon Beratung

Beratung & Info

Sie benötigen mehr Informationen? Vereinbaren Sie noch heute einen Beratungstermin mit unserem Kundenberater, Herrn Frank Klier. Alternativ können Sie kostenloses Informationsmaterial anfordern.

BERATUNGSTERMIN

INFOMATERIAL

Icon Buchung

Buchung & Start

Sie wollen Ihre Datenschutz- und IT-Sicherheitskenntnisse auf den neuesten Stand bringen? Sehr gern! Nutzen Sie für die Buchung unser Online-Formular – einfach, schnell und bequem.

ZUR BUCHUNG

 

Verantwortung der Geschäftsleitung unter DORA

Die DORA-Verordnung stellt hohe Anforderungen an die persönliche Verantwortung der Geschäftsleitung von Finanzunternehmen. Das bedeutet, dass das Leitungsorgan nicht nur die allgemeinen Richtlinien für die IT-Sicherheit festlegen muss, sondern auch für deren Umsetzung und kontinuierliche Überprüfung verantwortlich ist. Fehler oder Versäumnisse können erhebliche rechtliche und finanzielle Konsequenzen haben, einschließlich hoher Bußgelder. Die wichtigsten Aufgaben der Geschäftsleitung im Rahmen von DORA umfassen:

1. Leitlinien zur Informationssicherheit einführen und regelmäßig prüfen

Die Geschäftsleitung muss sicherstellen, dass das Unternehmen über eine klare und umfassende Strategie für die IT-Sicherheit verfügt. Dazu gehören:

  • Definition von Sicherheitsrichtlinien: Unternehmen müssen klare IT-Sicherheitsrichtlinien erstellen, die sich an den Anforderungen von DORA orientieren.
  • Regelmäßige Überprüfung und Aktualisierung: Angesichts neuer Bedrohungen und technologischer Entwicklungen müssen diese Richtlinien kontinuierlich überprüft und angepasst werden.
  • Integration in das Risikomanagement: Die IT-Sicherheitsstrategie muss fester Bestandteil des übergeordneten Risikomanagements des Unternehmens sein.
  • Schulung und Sensibilisierung: Die Geschäftsleitung trägt Verantwortung dafür, dass alle Mitarbeiter regelmäßig geschult werden, um IT-Sicherheitsrisiken zu minimieren.

Warum ist das wichtig?
Durch eine klare IT-Sicherheitsstrategie können Finanzunternehmen Risiken besser steuern, Cyberangriffe frühzeitig erkennen und sich gegen Systemausfälle absichern.

2. Eindeutige Zuständigkeiten für IKT-bezogene Funktionen entwickeln

DORA verlangt, dass Finanzunternehmen klare Zuständigkeiten und Verantwortlichkeiten für die IT- und Sicherheitsprozesse festlegen. Dazu gehört:

  • Bestimmung von Verantwortlichen für IT-Sicherheit & Risikomanagement – Unternehmen müssen festlegen, wer für welche Sicherheitsprozesse zuständig ist.
  • Benennung eines Chief Information Security Officers (CISO) – Dieser sollte direkt an die Geschäftsleitung berichten.
  • Etablierung von Notfallplänen & Reaktionsstrategien – Falls eine Cyberattacke oder ein Systemausfall eintritt, muss sofort klar sein, wer welche Maßnahmen ergreift.
  • Abstimmung mit externen Partnern & Behörden – Finanzunternehmen müssen sicherstellen, dass ihre IT-Dienstleister ebenfalls den Sicherheitsanforderungen gerecht werden.

Warum ist das wichtig?
Ohne klare Zuständigkeiten entstehen Chaos und Verzögerungen im Krisenfall, was die Schäden eines Cyberangriffs oder einer IT-Panne drastisch erhöhen kann.

3. Maßnahmen und Prozesse für die IKT-Geschäftsfortführung genehmigen und überwachen

Neben der Prävention von Cyberrisiken muss die Geschäftsleitung auch sicherstellen, dass das Unternehmen im Falle eines Angriffs oder IT-Ausfalls funktionsfähig bleibt. Das bedeutet:

  • Erstellung eines IT-Notfallplans: Finanzunternehmen müssen detaillierte Business Continuity Pläne (BCP) und Disaster Recovery Strategien (DRS) entwickeln.
  • Regelmäßige Tests der Widerstandsfähigkeit: Unternehmen müssen überprüfen, ob ihre IT-Systeme in Krisensituationen zuverlässig arbeiten.
  • Überwachung externer IT-Dienstleister: Besonders Cloud-Anbieter und Software-Dienstleister müssen strenge Resilienz-Anforderungen erfüllen.
  • Laufende Kontrolle durch das Management: Die Geschäftsleitung muss sich regelmäßig mit Berichten zu IT-Sicherheitsmaßnahmen auseinandersetzen und nachweislich aktiv daran mitarbeiten.

Warum ist das wichtig?
Ein Cyberangriff oder IT-Ausfall kann zu enormen finanziellen Verlusten und regulatorischen Konsequenzen führen. Unternehmen, die keine belastbaren Maßnahmen zur Geschäftsfortführung haben, riskieren hohe Strafen und Vertrauensverluste bei Kunden und Investoren.

Icon Beratung

Beratung & Info

Sie benötigen mehr Informationen? Vereinbaren Sie noch heute einen Beratungstermin mit unserem Kundenberater, Herrn Frank Klier. Alternativ können Sie kostenloses Informationsmaterial anfordern.

BERATUNGSTERMIN

INFOMATERIAL

Icon Buchung

Buchung & Start

Sie wollen Ihre Datenschutz- und IT-Sicherheitskenntnisse auf den neuesten Stand bringen? Sehr gern! Nutzen Sie für die Buchung unser Online-Formular – einfach, schnell und bequem.

ZUR BUCHUNG

 

Fragen & Antworten rund um DORA

  • Gemäß dem Digital Operational Resilience Act (DORA) sind Finanzunternehmen zur Durchführung von Schulungen und Sensibilisierungsmaßnahmen verpflichtet. Diese Verpflichtung erstreckt sich auf alle Ebenen des Unternehmens, von der Belegschaft bis zum Management.

    Konkret sind folgende Gruppen zur Schulung verpflichtet:

    1. Alle Mitarbeiter: Pflichtschulungen sollen sicherstellen, dass jeder Mitarbeiter über grundlegende IT-Sicherheitskenntnisse verfügt und sich seiner Verantwortung bewusst ist.
    2. Führungskräfte und Management: Eine spezielle Sensibilisierung der Führungsebene ist vorgesehen, um die Verantwortlichkeit zu stärken und die Bereitstellung ausreichender Ressourcen zu gewährleisten.

     

    Die Schulungen sollen verschiedene Themen abdecken, darunter:

    • Phishing
    • Social Engineering
    • Sichere Passwortverwaltung
    • Sicherer Umgang mit Daten
    • IT-Sicherheitsrisiken im Allgemeinen

    Diese Maßnahmen zielen darauf ab, die digitale Resilienz des Unternehmens zu stärken, indem sichergestellt wird, dass alle Beteiligten über die Gefahren und Herausforderungen der digitalen Welt informiert sind und wissen, wie sie im Krisenfall richtig reagieren.

  • Die Umsetzungsfrist für DORA endet am 16. Januar 2025. Unternehmen sollten bis dahin:

    • Die Anwendbarkeit von DORA prüfen
    • Eine Reifegradmessung bestehender Prozesse durchführen
    • Notwendige Maßnahmen definieren und umsetzen

  • DORA führt einen Überwachungsrahmen für kritische IKT-Dienstleister ein. Anbieter von Cloud-Computing, Software, Datenanalyse und Rechenzentren müssen zusätzliche Vorkehrungen treffen

  • Bei Verstößen gegen DORA drohen Bußgelder von bis zu 10 Millionen EUR oder 5% des weltweiten Vorjahresumsatzes.

  • Die BaFin hat Umsetzungshinweise zu DORA veröffentlicht, die Unternehmen bei der Implementierung unterstützen sollen. Diese Hinweise berücksichtigen auch die technischen Regulierungsstandards und enthalten eine Übersicht der Mindestvertragsinhalte für Vereinbarungen mit IKT-Drittdienstleistern.

  • Finanzinstitute müssen zur Umsetzung von DORA folgende spezifische Maßnahmen ergreifen:

     

    IKT-Risikenmanagement

    • Einen internen Governance- und Kontrollrahmen zur effektiven Steuerung von IKT-Risiken einrichten.

    • Einen umfassenden, dokumentierten IKT-Risikomanagementrahmen implementieren, der Strategien zur Identifizierung, Erkennung, Schutz, Prävention, Gegenmaßnahmen und Wiederherstellung umfasst.

    • Das Leitungsorgan in die Verantwortung nehmen für die Festlegung der Strategie zur digitalen Resilienz und Bereitstellung angemessener Ressourcen.

    Management des IKT-Drittparteienrisikos

    • Ein systematisches Management des IKT-Drittparteienrisikos einführen.

    • Effektive Überwachung und Kontrolle von IKT-Drittanbietern, einschließlich Cloud-Service-Anbietern, sicherstellen.

    • Mindestvertragsinhalte mit IKT-Drittdienstleistern vereinbaren.

    Digitale Resilienz-Tests

    • Regelmäßige erweiterte Penetrationstests (Threat-Led-Penetration-Test, TLPT) durchführen

    • Potenzielle Schwachstellen identifizieren und Gegenmaßnahmen erarbeiten

    Umsetzungsschritte

    1. Eine umfassende Gap-Analyse durchführen, um den regulatorischen Reifegrad zu bestimmen.

    2. Bestehende IKT-Risikomanagement-Rahmenwerke, Incident Reporting-Verfahren, Resilienz-Tests und das Management von IKT-Drittanbieterrisiken bewerten.

    3. Änderungen aus dem ersten Paket der technischen Standards in die Implementierungspläne integrieren.

    4. Ein Projekt zur DORA-Umsetzung aufsetzen, einschließlich Aufwandsabschätzung und Festlegung von Projektzielen.

    5. Identifizierte Lücken gemäß der Gap-Analyse schließen.

    6. Das Projekt beenden und in den Regelkreislauf überführen.

    Finanzinstitute sollten beachten, dass die Umsetzung von DORA eine enge Zusammenarbeit zwischen verschiedenen Unternehmensfunktionen erfordert und eine frühzeitige Auseinandersetzung mit den Vorgaben entscheidend ist, um die Anforderungen innerhalb der vorgegebenen Frist bis zum 17. Januar 2025 zu erfüllen

  • Der Digital Operational Resilience Act (DORA) betrifft eine breite Palette von Finanzunternehmen und IKT-Dienstleistern in der EU. Zu den betroffenen Unternehmen gehören:

    • FinanzunternehmenKreditinstitute (Banken)
    • Zahlungsinstitute und Kontoinformationsdienstleister
    • E-Geld-Institute
    • Wertpapierfirmen und Investmentfirmen
    • Versicherungs- und Rückversicherungsunternehmen
    • Anbieter von Krypto-Dienstleistungen und Emittenten wertreferenzierter Token
    • Zentralverwahrer und zentrale Gegenparteien
    • Handelsplätze und Transaktionsregister
    • Verwalter alternativer Investmentfonds und Verwaltungsgesellschaften
    • Ratingagenturen
    • Crowdfunding-Dienstleister

    IKT-Dienstleister

    DORA betrifft auch IKT-Drittanbieter, die Dienstleistungen für Finanzunternehmen erbringen, darunter:

    • Software-Anbieter
    • Managed IT Services
    • Hardware-as-a-Service-Anbieter
    • Cloud-Computing-Dienstleister
    • Betreiber von Rechenzentren

    Es ist wichtig zu beachten, dass DORA dem Grundsatz der Verhältnismäßigkeit folgt. Die Anforderungen werden abhängig von der Art, Größe und Komplexität des jeweiligen Unternehmens angewendet. Zudem gibt es Ausnahmen für Kleinstunternehmen mit weniger als 10 Mitarbeitern und einem Jahresumsatz unter 2 Millionen Euro.

    Insgesamt sind EU-weit über 22.000 Finanzunternehmen von DORA betroffen. Die Verordnung zielt darauf ab, die digitale operative Resilienz im Finanzsektor zu stärken und harmonisierte Anforderungen an das IKT-Risikomanagement einzuführen.

  • Nach DORA sind für Finanzunternehmen folgende spezifische Tests der IKT-Systeme vorgeschrieben:

    Sicherheitstests für alle IKT-Systeme und -Anwendungen, die kritische oder wichtige Funktionen unterstützen. Diese umfassen:

    • Schwachstellenbewertungen und -scans
    • Open-Source-Analysen
    • Netzwerksicherheitsbewertungen
    • Lückenanalysen
    • Überprüfungen der physischen Sicherheit
    • Fragebögen und Scans von Softwarelösungen
    • Quellcodeprüfungen (soweit durchführbar)
    • Szenariobasierte Tests
    • Kompatibilitätstests
    • Leistungstests
    • End-to-End-Tests
    • Penetrationstests

    Threat-Led-Penetration Tests (TLPT) für ausgewählte große Unternehmen der Branche. Diese simulieren unterschiedliche Bedrohungsszenarien und -techniken und sind anspruchsvoller als herkömmliche Penetrationstests.

    Zentralverwahrer und zentrale Gegenparteien müssen zusätzlich Schwachstellenbewertungen durchführen, bevor Anwendungen, Infrastrukturkomponenten oder IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen, eingesetzt oder wieder eingesetzt werden.

    Die Tests müssen regelmäßig, mindestens einmal jährlich, durchgeführt werden. Kleinstunternehmen können einen risikobasierten Ansatz mit strategischer Planung für IKT-Tests kombinieren, um ein ausgewogenes Verhältnis zwischen Ressourcenaufwand und Risikomanagement zu gewährleisten.

  • Nach DORA müssen die Tests zur digitalen operationellen Resilienz wie folgt durchgeführt werden:

    Allgemeine Sicherheitstests:
    Mindestens einmal jährlich für alle IKT-Systeme und -Anwendungen, die kritische oder wichtige Funktionen unterstützen.

    Threat-Led Penetration Tests (TLPT):
    Mindestens alle drei Jahre für ausgewählte große und systemrelevante Finanzunternehmen.

    Für Kleinstunternehmen (weniger als 10 Mitarbeitende und weniger als 10 Millionen Euro Umsatz) gelten Erleichterungen bezüglich der Häufigkeit und Durchführung der Tests, basierend auf dem Grundsatz der Verhältnismäßigkeit.

    Es ist wichtig zu beachten, dass diese Mindestanforderungen je nach Unternehmensgröße, Risikoprofil und spezifischen regulatorischen Anforderungen variieren können. Finanzunternehmen sollten einen risikobasierten Ansatz verfolgen und ihre Testfrequenz entsprechend anpassen.