☝ Schon gewusst?
Als Verordnung ist DORA unmittelbar für alle EU-Mitgliedsstaaten gültig. Anders als etwa eine Richtlinie erfordert DORA keine zuvorige Umsetzung in nationales Recht .
Glossar
Was ist die DORA-Verordnung und wie gelingt die Umsetzung?
Cyberattacken und IT-Ausfälle können weitreichende Folgen haben – auch und gerade im Finanzsektor. Genau deshalb hat die Europäische Union die DORA-Verordnung (Digital Operational Resilience Act) verabschiedet, die die digitale Stabilität und den Schutz geschäftskritischer Daten (Datensicherheit) im Finanzsystem gewährleisten und solchen Szenarien vorbeugen soll. Denn Angriffe, bei denen Hacker sensible Kundendaten erbeuten und damit Erpressungsversuche starten, können nicht nur das Vertrauen in Finanzinstitute massiv erschüttern, sondern auch langfristigen Schaden für die Branche und das europäische Finanzsystem verursachen. Dieser Beitrag gibt einen Überblick über die DORA-Verordnung, ihre Anforderungen und darüber, wie Unternehmen diese erfolgreich umsetzen können.
Keyfacts
- Die EU-Verordnung DORA ist eine Regelung, die die digitale Resilienz des europäischen Finanzsektors gegenüber IT-Störungen wie Cyberattacken verbessern soll.
- Betroffen sind nicht nur Unternehmen aus dem Finanzsektor, sondern auch kritische Drittanbieter innerhalb deren Lieferkette (z. B. IKT-Dienstleister).
- Die DORA-Verordnung legt den Fokus auf fünf Kernbereiche: IKT-Risikomanagement, Umgang mit IKT-Vorfällen, Tests der operationalen Resilienz, Management von ITK-Dienstleister-Risiken, Förderung des Informationsaustauschs
1. Was genau ist die DORA-Verordnung und ab wann ist sie gültig?
Der Digital Operational Resilience Act soll die digitale Widerstandsfähigkeit (Resilienz) des europäischen Finanzsektors gegenüber Cyberattacken, IT-Ausfällen und anderen digitalen Störungen verbessern. Als EU-Verordnung enthält er verbindliche Vorgaben, die Unternehmen dabei unterstützen, diese Anforderungen in die Praxis umzusetzen. Somit unterscheidet sich DORA von einer Richtlinie, die lediglich Empfehlungen abgibt. Sie harmonisiert bestehende Vorschriften und schafft einen einheitlichen Rahmen für den effektiven Umgang mit Risiken in der Informations- und Kommunikationstechnologie (IKT). Die Verordnung trat am 17. Januar 2023 in Kraft und ist ab dem 17. Januar 2025 in allen EU-Mitgliedstaaten verbindlich anzuwenden.
2. Für welche Unternehmen gilt die DORA-Verordnung?
Die EU-Verordnung DORA betrifft alle Unternehmen, deren Tätigkeitsfeld im europäischen Finanzsektor liegt. Hierunter fallen unter anderem:
- Banken- und Kreditinstitute
- Zahlungsdienstleister
- Wertpapierfirmen
- Kontoinformationsdienstleister
- E-Geld-Institute/Kryptodienstleister
- Versicherungs- und Rückversicherungsunternehmen
- Einrichtungen der betrieblichen Altersvorsorge
- Versicherungsvermittler
- Datenbereitstellungsdienste
- Anbieter betrieblicher Altersversorgungen
- Investmentfirmen
- Rating-Agenturen
- Zentralverwahrer
- Kreditratingunternehmen
- Kapitalverwaltungsunternehmen
- Entwickler von Banking-Apps
- Hersteller von Geldautomaten
- Handelsplätze
- u. v. m.
❗ Wichtig:
Auch kritische Drittanbieter innerhalb der Lieferkette solcher Unternehmen fallen unter den Digital Operational Resilience Act. Hierzu zählen beispielsweise IKT-Dienstleister, die für den Finanzsektor von elementarer Bedeutung sind – wie etwa Softwarehersteller, Datenanalyseservices, Rechenzentren oder Anbieter von Cloud-Diensten wie Cloud Computing, Cloud-Speichern oder Cloud-Lösungen für Unternehmen. Für diese gilt es ebenfalls, Vorkehrungen zu treffen, um sich gegen Cyberattacken & Co. abzusichern. Da die EU-Verordnung DORA Finanzunternehmen verpflichtet, die von Drittanbietern ausgehenden Gefahren im Zaum zu halten, können selbst Anbieter betroffen sein, die an sich nicht als kritisch gelten.
Verstöße gegen die DORA-Verordnung ziehen mitunter empfindliche Bußgelder nach sich.
👉 Sie möchten mehr erfahren, wann Sie als Berufsgeheimnisträger IKT-Services wie Cloud-Dienste nutzen dürfen und wie Sie Ihre Daten bestmöglich schützen? Unser Whitepaper gibt Aufschluss. Jetzt Whitepaper „Wann dürfen Geheimnisträger Cloud-Dienste nutzen?“ herunterladen!
3. DORA-Verordnung: Welche Pflichten müssen Unternehmen erfüllen?
Der Digital Operational Resilience Act verpflichtet die betroffenen Unternehmen dazu, ihren Geschäftsbetrieb auch bei IKT-Störungen aufrechtzuerhalten und die Auswirkungen potenzieller Bedrohungen auf ein Minimum zu reduzieren. Hierzu legt die EU-Verordnung DORA den Fokus auf fünf Kernbereiche:
1. IKT-Risikomanagement
So schreibt der Digital Operational Resilience Act ein umfassendes IKT-Risikomanagement vor. Zu den vorzunehmenden Maßnahmen zählen unter anderem:
- der Aufbau stabiler IKT-Lösungen
- die regelmäßige Wartung der Systeme
- die laufende Überwachung und Bewertung aller potenziellen IKT-Risikoquellen
- die Implementierung entsprechender Verteidigungsmechanismen
- Maßnahmen zur Erkennung ungewöhnlicher Aktivitäten
- Strategien zur Wahrung des Geschäftsbetriebs, inklusive Entwicklung und regelmäßiger Überprüfung robuster Notfall- und Wiederherstellungspläne
- die Nutzung von Erkenntnissen aus internen oder externen ITK-Vorfällen zur kontinuierlichen Verbesserung.
2. Umgang mit IKT-Sicherheitsvorfällen
Zudem fordert die DORA-Verordnung, ein System zur Bewertung, Bewältigung, Dokumentation und Meldung schwerwiegender IKT-Sicherheitsvorfälle zu etablieren. Ziel ist es, Gefahrenquellen frühzeitig zu identifizieren und eine schnelle und koordinierte Antwort auf Bedrohungen zu ermöglichen. Dies soll die Folgen für den Finanzmarkt und die Verbraucher gleichermaßen abschwächen.
❗ Wichtig: Die DORA-Verordnung schreibt klare Meldepflichten vor:
- Erstmeldung: Innerhalb von 24 Stunden nach Bekanntwerden eines Vorfalls muss eine Meldung bei der zuständigen Behörde erfolgen. Diese enthält wesentliche Informationen, wie eine Beschreibung des Vorfalls und Auskünfte zur Aktivierung eines Notfallplans.
- Folgemeldung: Innerhalb von 72 Stunden ist eine Folgemeldung einzureichen. Diese beinhaltet detailliertere Beschreibungen der Ursachen und eingeleiteten Maßnahmen sowie eine Lageeinschätzung.
- Abschlussbericht: Nach vollständiger Bearbeitung des Vorfalls ist ein Abschlussbericht vorzulegen, der alle ergriffenen Maßnahmen dokumentiert.
3. Tests der digitalen operationalen Resilienz
Der Digital Operational Resilience Act verpflichtet Unternehmen, auch die digitale operationale Widerstandsfähigkeit ihrer IKT-Systeme und -Prozesse regelmäßig auf Schwachstellen abzuklopfen und entsprechende Gegenmaßnahmen zu treffen.
Unter anderem verlangt die DORA-Verordnung:
- … jährliche Basis-Tests zur Identifikation und Behebung von Schwachstellen in IKT-Systemen.
- Penetrationstests (TLPT), also fortschrittliche, bedrohungsgesteuerte und unter realistischen Bedingungen durchgeführte Tests von Diensten, die Auswirkungen auf kritische Funktionen haben.
- … die Einbindung von Drittanbietern, denn externe Dienstleister sind angehalten, an den Tests mitzuwirken.
4. Management von Risiken durch externe IKT-Dienstleister
Ebenso fordert die DORA als EU-Verordnung klare Maßnahmen, das Risiko der Zusammenarbeit mit externen IKT-Dienstleistern zu bewerten und zu kontrollieren. Für die Finanzunternehmen gilt es sicherzustellen, dass ihre Partner dieselben hohen Standards im IKT-Risikomanagement einhalten wie sie selbst. Dazu gehören regelmäßige Audits ebenso wie Compliance-Prüfungen. Kritische ITK-Anbieter unterliegen sogar einem EU-weiten Aufsichtsrahmen, der Empfehlungen zur Risikominderung geben kann. Berücksichtigen die Drittanbieter diese nicht, muss das Finanzunternehmen diesen Umstand in seine Risikobewertung einfließen lassen.
5. Förderung des Informationsaustauschs
Darüber hinaus ermutigt der Digital Operational Resilience Act die Finanzunternehmen, ihre Erfahrungen in Bezug auf Cyberbedrohungen, Schwachstellen und bewährte Sicherheitsmaßnahmen untereinander auszutauschen. Anonymisierte Daten, die die Aufsichtsbehörden den Unternehmen bereitstellen, sollen helfen, Risiken besser einzuschätzen und effektive Sicherheitsstrategien zu entwickeln.
Datenschutz als Basis der Resilienz
Auch der Datenschutz spielt im Zusammenhang mit der DORA-Verordnung eine entscheidende Rolle. Wie Unternehmen dazugehörige Anforderungen effektiv umsetzen können, zeigen wir in unserem Whitepaper.
4. Welche technologischen Maßnahmen für Sicherheit gemäß DORA-Verordnung gibt es?
Die erfolgreiche Umsetzung des Digital Operational Resilience Act erfordert es, die unternehmensinternen Cybersecurity-Strategien und -Richtlinien an die DORA-Vorgaben anzupassen und geeignete Sicherheitsmaßnahmen zu implementieren. Hierzu bedarf es moderner Technologien, die die digitale Resilienz sicherstellen und Bedrohungen effektiv begegnen. Dazu gehören unter anderem:
- Data Governance
Data Governance definiert klare Richtlinien und Prozesse für den sicheren und rechtskonformen Umgang mit Daten. Sie gewährleistet die Verfügbarkeit, Integrität und Vertraulichkeit sensibler Informationen und minimiert Risiken wie Datenverlust oder unbefugten Zugriff. Damit bildet sie das Fundament dafür, die Anforderungen des Digital Operational Resilience Act erfolgreich umzusetzen. - Strenge Zugriffskontrollen
Mithilfe robuster Zugangskontrollen, die über einfache Passwörter hinausgehen, lässt sich der Zugang zu sensiblen Daten wirksam absichern. So minimiert die Multi-Faktor-Authentifizierung (MFA) durch zusätzliche Verifikationsschritte – etwa durch einen per SMS gesendeten Passcode oder ein Einmalpasswort – das Risiko von Kontoübernahmen erheblich. Ein rollenbasiertes Zugriffskontrollsystem (Role-Based Access Control) stellt sicher, dass nur bestimmte Benutzer Zugang zu sensiblen Daten haben. Dies senkt das Risiko interner Bedrohungen. Eine Zero-Trust-Architektur wiederum verweigert standardmäßig jeglichen Zugriff und erzwingt eine kontinuierliche Überprüfung. - Starke Verschlüsselung
Sarke Verschlüsselungsmethoden sowohl für Daten im Ruhezustand als auch während der Übertragung sorgen dafür, dass selbst abgefangene Daten nicht lesbar sind. - Penetrationstests (Pentests)
Regelmäßige Penetrationstests, die tatsächliche Angriffsszenarien nachahmen, erlauben es, Schwachstellen in den Systemen zu identifizieren und zu beheben. - Audit-Trails und Log-Management
Audit-Trails und Log-Management sind unverzichtbare technische Maßnahmen, wenn es darum geht, die Anforderungen der DORA-Verordnung zu erfüllen. Audit-Trails ermöglichen eine lückenlose Nachverfolgbarkeit sicherheitsrelevanter Aktivitäten, wie zum Beispiel, wer wann welche Unterlagen bearbeitet, gelöscht, heruntergeladen, kopiert oder gesichtet hat. Log-Management hingegen sorgt für die umfassende Erfassung und Analyse aller Systemereignisse, einschließlich Systemfehlern, Netzwerkanomalien oder Anwendungsabstürzen. So lassen sich Sicherheitsrisiken frühzeitig erkennen und Bedrohungen schnell und effizient abwehren. - Disaster Recovery
Disaster Recovery umfasst Strategien und Maßnahmen zur schnellen Wiederherstellung von IT-Systemen nach Katastrophen wie Cyberangriffen, Naturereignissen oder Ausfällen der IT-Infrastruktur. Ziel ist es, die Betriebsfähigkeit rasch wiederherzustellen und die Auswirkungen auf Geschäftsprozesse so gering wie möglich zu halten. Ein Disaster-Recovery-Plan definiert hierfür konkrete Vorkehrungen, Prozesse und Richtlinien, die die Auswirkungen des Ausfalls effektiv abfedern sollen. - Virtuelle Datenräume auf Basis der Sealed-Cloud-Technologie
Virtuelle Datenräume unterstützen die sichere, orts- und geräteunabhängige Zusammenarbeit an Dateien (Secure Content Collaboration). Sie ermöglichen den Zugriff auf Dokumente, deren Austausch und Synchronisation sowie die parallele Bearbeitung in Echtzeit – alles unter Einhaltung höchster Sicherheitsstandards. Die patentierte Sealed-Cloud-Technologie verhindert dabei durch eine Kombination aus starker Verschlüsselung auf Dateiebene, isolierten Serversegmenten und sicheren Prozessoren den unbefugten Zugriff auf Daten. Dies garantiert, dass sensible Informationen nicht nur während ihrer Übertragung oder im Ruhezustand, sondern auch während ihrer Verarbeitung geschützt bleiben. Somit bieten virtuelle Datenräume, die auf dieser Technologie fußen, eine hochsichere Plattform für die Speicherung, Bearbeitung und den Austausch hochsensibler Daten. Besonders in stark regulierten Branchen wie dem Finanzsektor bieten virtuelle Datenräume damit eine ideale Lösung, um datenschutzkonform und effizient zusammenzuarbeiten.
Auch Data Loss Prevention und die Auswahl eines hochsicheren Rechenzentrums zählen zu sinnvollen technologischen Maßnahmen im Zusammenhang mit der DORA-Verordnung.
☝ Schon gewusst? Sealed-Cloud-Technologie
Die Sealed Cloud basiert auf dem Prinzip des Confidential Computing. Die Verarbeitung der Daten erfolgt in abgeschirmten, hardwarebasierten Umgebungen, die unbefugten Zugriff vollständig ausschließen. Dies gewährleistet:
- den Schutz sensibler Informationen auch während der Verarbeitung.
- den technischen Ausschluss selbst privilegierter Zugriffe (etwa durch Administratoren oder den Anbieter selbst)
- die Einhaltung strengster regulatorischer Anforderungen wie sie etwa im Finanzsektor bestehen.
Sie möchten wissen, wie der Datenraum idgard funktioniert?
Unser Whitepaper verrät, welche Technologie dahintersteckt.
5. FAQs
Wie unterscheidet sich die DORA-Verordnung von NIS2?
Bei NIS2 (Network and Information Security Directive) handelt es sich um eine Richtlinie, was bedeutet, dass sie ein Ziel festlegt, das von den EU-Mitgliedsstaaten umzusetzen ist. Das heißt, diese EU-Länder müssen die darin enthaltenen Vorgaben in nationales Recht wandeln und entsprechende Rechtsvorschriften schaffen, die es ermöglichen, dieses Ziel zu verwirklichen.
Im Gegensatz dazu handelt es sich beim DORA nicht um eine Richtlinie, sondern eine Verordnung. Damit ist der Digital Operational Resilience Act unmittelbar für alle EU-Mitgliedsstaaten gültig. Eine Umsetzung in nationales Recht ist nicht erforderlich. Die DORA-Verordnung wurde speziell für den Finanzsektor entwickelt, um einen einheitlichen EU-weiten Rahmen für die IKT-Sicherheit zu schaffen. Ziel ist die digitale Resilienz kritischer Finanzinfrastrukturen gegen Cyberangriffe und IT-Ausfälle.
Mehr zu diesem Thema ist in unserem Blogbeitrag „NIS2 vs. DORA: Unterschiede und verbreitete Missverständnisse“ nachzulesen.
Welche Sanktionen drohen Unternehmen bei Verstößen gegen die DORA-Verordnung?
Im Digital Operational Resilience Act sind keine festen Bußgeldbeträge für allgemeine Verstöße vorgesehen. Dennoch können Unternehmen mit verwaltungsrechtlichen, finanziellen und strafrechtlichen Sanktionen belegt werden. So besteht etwa die Möglichkeit, Zwangsgelder zu verhängen, wenn ein kritischer IKT-Drittdienstleister die geforderten Maßnahmen nicht umsetzt. In solchen Fällen drohen dem Anbieter Geldbußen von bis zu 1 % seines durchschnittlichen globalen Tagesumsatzes aus dem vorherigen Geschäftsjahr. Zusätzlich können tägliche Strafzahlungen für einen Zeitraum von bis zu sechs Monaten auferlegt werden – solange, bis die Vorschriften erfüllt sind.
Was sind IKT-Dienstleistungen im Sinne der DORA-Verordnung?
Zu IKT-Dienstleistungen zählen digitale Services und Datendienste, die ein Anbieter dem Kunden via IKT-System zur Verfügung stellt. Hierzu gehören unter anderem Hardwarelösungen und -dienstleistungen ebenso wie die technische Unterstützung durch den Anbieter (wie beispielsweise via Software- oder Firmware-Updates). Analoge Telefondienste fallen hingegen nicht darunter.
Datensicherheit
In diesem Whitepaper erfahren Sie, wie Sie sensible geschäftskritische Daten bestmöglich schützen.
