Skip to main content

We have a tailored site for international audiences

EU DORA: Ein umfassender Leitfaden

Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung, die darauf abzielt, die digitale Widerstandsfähigkeit von Finanzinstituten zu stärken. Dieser Leitfaden beschreibt die Anforderungen von DORA in den Bereichen Risikomanagement, Vorfallsmeldung und Resilienztests.  

Inhalte dieses Leitfadens:

Was ist DORA?Hauptziele von DORAFür wen ist DORA relevant?Vorbereitung auf die DORA-KonformitätDetaillierte Schritte zur Einhaltung der DORA-RichtlinienWelche Rolle spielt Signicat?

DORA in Kürze

Was ist DORA?

Das Gesetz über digitale operationelle Resilienz (Digital Operational Resilience Act, DORA) ist eine von der Europäischen Union erlassene Verordnung, die die digitale operationelle Resilienz von Finanzinstituten stärken soll. Ziel ist es, sicherzustellen, dass Finanzinstitute allen Arten von IKT-bedingten Störungen und Bedrohungen widerstehen und sich davon erholen können. DORA führt strenge Anforderungen in den Bereichen Risikomanagement, Berichterstattung über Vorfälle und Resilienztests ein und etabliert einen Rahmen für die Aufsicht und Durchsetzung durch zuständige Behörden.  

Durch die Harmonisierung dieser Standards in der gesamten EU strebt DORA an, die Stabilität und Sicherheit des Finanzsektors zu verbessern, Verbraucher zu schützen und die Marktintegrität in einer zunehmend digitalisierten Landschaft zu wahren. Die Verordnung ist seit dem 17. Januar 2025 in Kraft.  

Ziele

Hauptziele von DORA

  • Verbesserung der IT-Sicherheit und der betrieblichen Widerstandsfähigkeit

    DORA verfolgt das Ziel, sicherzustellen, dass Finanzinstitute in der Lage sind, allen Arten von IKT-bezogenen Störungen und Bedrohungen Stand zu halten, darauf zu reagieren und sich davon zu erholen.

  • Harmonisierung der Vorschriften

    Durch die Schaffung eines einheitlichen Rahmens möchte DORA die regulatorische Fragmentierung verringern und gleiche Wettbewerbsbedingungen im gesamten EU-Raum schaffen.

  • Schutz der Verbraucher und Stabilisierung des Finanzsystems:

    Die Sicherstellung der operativen Widerstandsfähigkeit von Finanzunternehmen hilft, Verbraucher zu schützen und die Stabilität und Integrität des Finanzsystems zu bewahren

Für wen ist DORA relevant?

DORA gilt für eine Vielzahl von Finanzakteuren innerhalb der EU, darunter sowohl traditionelle Finanzinstitute als auch verschiedene andere Akteure im Finanzökosystem.

    • Banken und Kreditinstitute: Als Hauptakteure im Finanzsystem müssen Banken die DORA-Vorgaben einhalten, um sicherzustellen, dass ihre Betriebsaktivitäten widerstandsfähig gegenüber Störungen bleiben.
    • Versicherungsunternehmen: Diese Organisationen müssen ihre Betriebsprozesse absichern, um Policeninhaber zu schützen und Vertrauen zu bewahren.
    • Investmentfirmen: Investmentfirmen sind verpflichtet, ihre Abläufe so zu sichern, dass ein kontinuierlicher Service gewährleistet ist und Investoreninteressen geschützt werden.
    • Zahlungsdienstleister: Diese Einrichtungen müssen sicherstellen, dass ihre Systeme widerstandsfähig sind, um Unterbrechungen von Zahlungsdienstleistungen zu vermeiden.

  • Die Anforderungen von DORA erstrecken sich auch auf kritische Drittanbieter wie Cloud-Dienstleister, Datenanalysefirmen und andere Anbieter von IKT-Diensten, die essenzielle Leistungen für Finanzinstitutionen erbringen. Diese Anbieter spielen eine entscheidende Rolle für die operationelle Widerstandsfähigkeit finanzieller Einrichtungen und müssen denselben Standards entsprechen, um die Stabilität des Finanzsystems zu gewährleisten.

    • Aufsichtsbehörden und Regulatoren: Sie müssen die Umsetzung und Einhaltung der DORA-Vorschriften überwachen.
    • Finanzmarktinfrastrukturen: Hierzu zählen zentrale Wertpapierverwahrstellen und Handelsplattformen, die ihre Systeme sicher und widerstandsfähig halten müssen.
    • Outsourcing-Dienstleister: Alle Drittanbieter, die kritische oder wichtige Funktionen für Finanzinstitutionen übernehmen, müssen die DORA-Anforderungen einhalten.

Vorbereitung auf die DORA-Konformität

Um die DORA-Konformität zu erreichen, müssen Finanzinstitute und relevante Interessengruppen verschiedene wichtige Schritte unternehmen. Die Vorbereitung umfasst das Verständnis der Anforderungen, die Umsetzung notwendiger Änderungen und die kontinuierliche Überwachung sowie Verbesserung von Maßnahmen zur operativen Resilienz.

  • Der erste Schritt zur Konformität besteht darin, die von DORA festgelegten Anforderungen vollständig zu verstehen. Dies beinhaltet, sich mit den spezifischen Artikeln und Richtlinien der Verordnung vertraut zu machen. Wichtige Schwerpunkte umfassen:

    • Rahmenwerk für Risikomanagement: Entwicklung eines umfassenden Risikomanagementrahmens, der sich mit IKT-Risiken befasst.
    • Meldung von Zwischenfällen: Einrichtung von Prozessen zur Meldung IKT-bezogener Zwischenfälle an die zuständigen Behörden.
    • Test der digitalen operativen Resilienz: Regelmäßiges Testen der Resilienz von Systemen und Prozessen.
    • Informationsaustausch: Teilnahme an Vereinbarungen zum Informationsaustausch zur Verbesserung der kollektiven Sicherheit.
    • Risikomanagement für Drittanbieter: Sicherstellung, dass Drittanbieter die DORA-Anforderungen einhalten.

  • Sobald die Anforderungen verstanden sind, müssen Finanzinstitute die notwendigen Änderungen umsetzen, um den DORA-Vorgaben zu entsprechen. Dies umfasst:

    • Entwicklung robuster Richtlinien und Verfahren: Erstellung und Aktualisierung von Richtlinien und Verfahren, die die DORA-Anforderungen erfüllen.
    • Verbesserung der IKT-Infrastruktur: Investitionen in Technologie und Infrastruktur, um die Widerstandsfähigkeit und Sicherheit zu stärken.
    • Schulungs- und Sensibilisierungsprogramme: Mitarbeiterschulungen zur Bedeutung der betrieblichen Resilienz und ihrer Rolle bei der Einhaltung der Anforderungen.
    • Durchführung von Risikoanalysen: Regelmäßige Bewertung und Minderung von IKT-Risiken durch umfassende Risikoanalysen.

  • Die Einhaltung von DORA ist kein einmaliger Aufwand, sondern erfordert eine kontinuierliche Überwachung und laufende Verbesserungen. Finanzinstitute sollten:

    • Durchführung regelmäßiger Audits und Bewertungen: Regelmäßige Überprüfung und Bewertung der Einhaltung der DORA-Anforderungen.
    • Prozesse zur kontinuierlichen Verbesserung implementieren: Ergebnisse aus Audits und Bewertungen nutzen, um Maßnahmen zur operativen Resilienz stetig zu verbessern.
    • Mit den regulatorischen Änderungen Schritt halten: Über Änderungen oder Updates zu DORA informiert bleiben und die Compliance-Bemühungen entsprechend anpassen.

Detaillierte Schritte zur Einhaltung der DORA-Richtlinien

Organisationen können diese sieben Schritte befolgen, um sich auf die Einhaltung der DORA-Richtlinien vorzubereiten.

Schritt 1: Etablierung eines Governance-Rahmens

Ein robuster Governance-Rahmen ist entscheidend für die Überwachung der Bemühungen zur Einhaltung der DORA-Richtlinien. Dazu gehört:

  • Ernennung eines DORA-Compliance-Beauftragten: Benennen Sie eine Führungskraft, die für die Überwachung der Einhaltung der DORA-Richtlinien verantwortlich ist.
  • Bildung eines Compliance-Ausschusses: Stellen Sie ein Team aus Mitgliedern verschiedener Abteilungen zusammen, um umfassende Compliance-Bemühungen sicherzustellen.
  • Entwicklung einer Compliance-Strategie: Umreißen Sie eine klare Strategie zur Erreichung und Aufrechterhaltung der DORA-Konformität.

Schritt 2: Durchführung einer Gap-Analyse

Eine Gap-Analyse hilft dabei, Bereiche zu identifizieren, in denen die aktuellen Praktiken den Anforderungen der DORA-Richtlinien nicht entsprechen. Dies umfasst:

  • Abgleich der aktuellen Praktiken mit den DORA-Anforderungen: Vergleichen Sie bestehende Richtlinien, Verfahren und Kontrollen mit den DORA-Richtlinien.
  • Identifikation von Schwachstellen: Heben Sie Bereiche hervor, die verbessert werden müssen, um die Compliance-Standards zu erfüllen.
  • Entwicklung eines Sanierungsplans: Erstellen Sie einen detaillierten Plan zur Behebung der identifizierten Schwachstellen und zur Stärkung der operativen Widerstandsfähigkeit.

Schritt 3: Verbesserung der Risikomanagementpraktiken

Die Verbesserung der Risikomanagementpraktiken ist entscheidend für die Einhaltung der DORA-Richtlinien. Dazu gehört:

  • Entwicklung einer Risikomanagementrichtlinie: Erstellen Sie eine Richtlinie, die den Ansatz zur Bewältigung von IKT-Risiken beschreibt.
  • Regelmäßige Risikobewertungen: Führen Sie gründliche Bewertungen durch, um potenzielle Bedrohungen zu identifizieren und zu entschärfen.
  • Umsetzung von Risikominderungsmaßnahmen: Entwickeln und implementieren Sie Kontrollen zur Bekämpfung identifizierter Risiken und zur Verbesserung der Resilienz.

Schritt 4: Stärkung der Meldung von Vorfällen und der Reaktionsmechanismen

Effektive Mechanismen zur Meldung und Bewältigung von Vorfällen sind entscheidend für die Einhaltung von DORA. Dies umfasst:

  • Einführung von Meldeprotokollen: Entwickeln Sie klare Verfahren für die Meldung von IKT-bezogenen Vorfällen an die zuständigen Behörden.
  • Erstellung eines Reaktionsplans: Legen Sie Schritte fest, wie auf IKT-Vorfälle reagiert und wie diese bewältigt werden können.
  • Schulung der Mitarbeitenden: Sensibilisieren Sie Ihre Mitarbeitenden für ihre Rollen und Verantwortlichkeiten im Rahmen der Vorfallsbewältigung.

Schritt 5: Durchführung von Tests der digitalen operativen Resilienz

Regelmäßige Tests zur Überprüfung der digitalen operativen Resilienz sind eine wesentliche Anforderung von DORA. Dies beinhaltet:

  • Entwicklung einer Teststrategie: Erstellen Sie eine umfassende Strategie zur Überprüfung der Resilienz von Systemen und Prozessen.
  • Regelmäßige Durchführung von Tests: Führen Sie regelmäßig Belastungstests durch, einschließlich Penetrationstests und szenariobasierter Tests.
  • Analyse der Testergebnisse: Überprüfen und analysieren Sie die Ergebnisse der Tests, um Schwachstellen und Verbesserungsmöglichkeiten zu identifizieren.

Schritt 6: Verbesserung des Managements von Drittparteirisiken

Die Einhaltung der DORA-Anforderungen durch Drittanbieter ist von zentraler Bedeutung. Dies umfasst:

  • Bewertung von Drittparteirisiken: Analysieren Sie die Risiken im Zusammenhang mit Drittanbietern und deren Auswirkungen auf die operative Resilienz.
  • Entwicklung von Richtlinien zum Umgang mit Drittparteirisiken: Erstellen Sie Richtlinien und Verfahren für das Management dieser Risiken.
  • Überwachung der Einhaltung von Anforderungen: Führen Sie regelmäßige Bewertungen durch, um sicherzustellen, dass Drittanbieter die DORA-Vorschriften einhalten.

Schritt 7: Förderung von Informationsaustausch und Zusammenarbeit

Zusammenarbeit und Informationsaustausch sind essenziell, um die kollektive Sicherheit zu verbessern. Dies umfasst:

  • Teilnahme an Informationsaustausch-Initiativen: Engagieren Sie sich in branchenweiten Initiativen, um über neue Bedrohungen informiert zu bleiben.
  • Zusammenarbeit mit anderen Organisationen: Arbeiten Sie mit anderen Finanzorganisationen zusammen, um bewährte Verfahren auszutauschen und die kollektive Resilienz zu stärken.
  • Meldung an Regulierungsbehörden: Stellen Sie eine zeitnahe Meldung von Vorfällen und Compliance-Bemühungen an die zuständigen Behörden sicher.
Sicherheit & Compliance

Es geht um Vertrauen

Signicat unternimmt die notwendigen Schritte, um die DORA-Anforderungen zu erfüllen und einen reibungslosen Übergang für unsere Kunden sicherzustellen.

Wir bieten geschäftskritische Dienstleistungen für Europas größte Unternehmen an. Unsere Betriebs-, System-, Entwicklungs- und Supportprozesse erfüllen bereits die strengsten Standards für das ICT-Risikomanagement, die Vorfallsmeldung und die Überwachung von Drittanbietern – einschließlich ISO/IEC 27001, SOC2 und weiterer Standards.

  • ISO 27001 Ikon transp 334x321 2
  • Socforserviceorganizationslogocpas
  • Gdpr cropped
  • Qtsp

Signicat liefert die höchsten Sicherheits- und Compliance-Standards.

Zertifizierungen und Compliance