Die Digital Operational Resilience Act (DORA), offiziell als Verordnung (EU) 2022/2554 bekannt, stellt seit ihrem Inkrafttreten am 17. Januar 2025 das zentrale Regelwerk für die digitale Stabilität des europäischen Finanzsektors dar.
Während der erste Teil dieser Serie die theoretischen Grundlagen und die fünf Kernsäulen der Verordnung – vom Risikomanagement bis zum Informationsaustausch – beleuchtet hat, widmet sich dieser zweite Teil der praktischen Umsetzung.
Für Finanzunternehmen, zu denen neben Banken auch Versicherungen, Wertpapierfirmen und Betreiber kritischer Infrastrukturen gehören, fungiert DORA als umfassender Bauplan, um die Stabilität von Finanzdienstleistungen auch bei Cyberangriffen zu gewährleisten.
Ein strukturiertes Vorgehen ist hierbei unerlässlich, da die Verordnung einen ganzheitlichen Ansatz verlangt, der tiefgreifende technische, organisatorische und prozessuale Anpassungen erfordert.
Ziel ist es, die digitale Resilienz nicht nur reaktiv zu sichern, sondern proaktiv auf ein neues Niveau zu heben.
Dabei berücksichtigt die Aufsicht durch das Proportionalitätsprinzip die unterschiedliche Größe der Institute. Denn für bestimmte Kleinstunternehmen mit weniger als zehn Mitarbeitern und einem geringen Jahresumsatz gelten vereinfachte Anforderungen, um die administrative Belastung in einem angemessenen Rahmen zu halten.
Die erfolgreiche Implementierung beginnt mit einer ehrlichen und detaillierten Bewertung der aktuellen Lage, die den Grundstein für alle weiteren strategischen Entscheidungen legt.
1.1 Gap-Analyse durchführen
Der erste operative Schritt besteht in einem systematischen Abgleich der bestehenden ICT-Infrastruktur sowie der internen Prozesse mit den spezifischen Anforderungen der DORA-Verordnung.
Dabei werden die fünf Säulen der Verordnung detailliert geprüft, um den aktuellen Erfüllungsgrad der Organisation zu ermitteln. Die Erfahrung zeigt, dass der größte Handlungsbedarf meist in der Governance, der Testtiefe sowie im Drittparteienrisikomanagement (z. B. Auditrechte und Ausstiegsstrategien) besteht.
Die Gap-Analyse identifiziert zudem vorhandene Stärken: Ein bestehendes ISMS nach internationalen Standards dient hierbei als solide Basis und beschleunigt die DORA-Umsetzung erheblich.
1.2 Kritische Abhängigkeiten identifizieren
DORA verlangt eine kontinuierliche Identifizierung und Klassifizierung aller ICT-gestützten Unternehmensfunktionen, Informationswerte und Assets. Dieser Prozess ist fundamental, da sich die Intensität der regulatorischen Anforderungen, wie etwa die Durchführung von Threat-Led Penetration Tests (TLPT), unmittelbar nach der Kritikalität der Systeme richtet.
Externe Abhängigkeiten: Angesichts der zunehmenden Nutzung von Cloud-Diensten und externen Dienstleistern ist das Management des Drittparteienrisikos ein entscheidender Bereich.
Unternehmen sind verpflichtet, ein umfassendes Informationsregister über alle vertraglichen Vereinbarungen mit ICT-Drittdienstleistern zu führen, welches jährlich an die zuständigen Behörden wie die BaFin gemeldet werden muss.
Basierend auf der Bestandsaufnahme folgt die Phase der Konzeption und Implementierung konkreter Maßnahmen, um die digitale Resilienz fest in der Organisation zu verankern.
2.1 ICT-Risikomanagement stärken
Das ICT-Risikomanagement bildet das Herzstück der Verordnung und erfordert einen soliden, umfassenden und gut dokumentierten Rahmen. Die letztendliche Verantwortung hierfür trägt das Leitungsorgan, welches die Strategie aktiv überwachen muss. Dies beinhaltet die Festlegung von Risikotoleranzschwellen und klaren Informationssicherheitszielen.
Zur Risikominderung müssen robuste Sicherheitsrichtlinien implementiert werden, die den Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Daten sicherstellen. Dies umfasst technische Kontrollen wie Zugriffsbeschränkungen, Verschlüsselung und ein konsequentes Patch-Management.
Ein wesentlicher Punkt ist zudem die Belastbarkeit der IT-Systeme: Diese müssen nicht nur im Normalbetrieb funktionieren, sondern auch Spitzenlasten oder Krisensituationen problemlos bewältigen können.
Ergänzend müssen umfassende Wiederherstellungspläne und Datensicherungsrichtlinien entwickelt werden, um Datenverlust und Ausfallzeiten im Ernstfall zu minimieren.
2.2 Management von Vorfällen verbessern
Ein effizienter Vorfallmanagementprozess ist entscheidend, um auf Sicherheitsvorfälle schnell und konsistent reagieren zu können. Finanzunternehmen müssen klare Kriterien zur Klassifizierung von Vorfällen etablieren, wobei Faktoren wie die Anzahl betroffener Kunden, die geografische Ausbreitung, die Dauer des Vorfalls und ein möglicher Datenverlust herangezogen werden.
Schwerwiegende ICT-bezogene Vorfälle unterliegen einer strikten Meldepflicht an die zuständigen Behörden. Dieser Meldeprozess ist mehrstufig gestaltet und umfasst Erst-, Zwischen- und Abschlussberichte. Ein besonderes Augenmerk liegt auf der Transparenz gegenüber den Kunden: Sollten diese von einem Vorfall betroffen sein, der ihre finanziellen Interessen beeinträchtigt, müssen sie unverzüglich informiert werden.
2.3 Operationelle Resilienz testen
DORA schreibt regelmäßige und umfassende Tests der ICT-Systeme und -Prozesse vor, um deren Widerstandsfähigkeit zu validieren. Jährlich müssen Tests auf allen Systemen durchgeführt werden, die kritische Funktionen unterstützen, wozu Schwachstellenbewertungen, Netzwerksicherheitsanalysen und einfache Penetrationstests gehören.
Für Unternehmen, die von den Aufsichtsbehörden als kritisch eingestuft werden, gelten zudem verschärfte Anforderungen in Form von bedrohungsorientierten Penetrationstests (TLPT). Diese müssen mindestens alle drei Jahre durchgeführt werden, basieren auf realen Bedrohungsszenarien und simulieren gezielte Cyberangriffe auf Live-Produktionssysteme. Sämtliche Testergebnisse müssen lückenlos dokumentiert und der Aufsicht übermittelt werden.
2.4 ICT-Drittparteienrisiko managen
Angesichts der tiefen Verflechtung mit externen Dienstleistern ist ein proaktives Drittparteienmanagement unerlässlich. Unternehmen müssen eine dedizierte Strategie für dieses Risiko annehmen und vor jedem Vertragsabschluss eine gründliche Risikoanalyse sowie eine Due Diligence des Anbieters durchführen.
Verträge mit ICT-Drittdienstleistern müssen wesentliche Bestimmungen enthalten, die über Standardverträge hinausgehen. Dazu gehören detaillierte Service Level Agreements (SLAs), umfassende Audit- und Einsichtsrechte, Unterstützung bei ICT-Vorfällen sowie klare Ausstiegsstrategien zur Vermeidung von Lock-in-Effekten. Für kritische Dienstleister mit Sitz in einem Drittland besteht zudem die Verpflichtung, innerhalb von zwölf Monaten nach ihrer Einstufung als kritisch eine Tochtergesellschaft innerhalb der EU zu gründen.
2.5 Informationsaustausch etablieren
Um die kollektive Abwehrfähigkeit des Finanzsektors zu stärken, fördert DORA den freiwilligen Austausch von Informationen über Cyberbedrohungen und Schwachstellen. Finanzunternehmen sind angehalten, sich in vertrauenswürdigen Gemeinschaften (ISACs) zu organisieren, um Erkenntnisse über Angriffsvektoren und Schutzmaßnahmen zu teilen. Dieser Austausch muss jedoch strikten Verhaltensregeln unterliegen, die die Vertraulichkeit und den Datenschutz, sowie Geschäftsgeheimnisse, gewährleisten. Die Teilnahme an solchen Vereinbarungen muss der zuständigen Behörde gemeldet werden.
Phase 3: Die Aufrechterhaltung – DORA als kontinuierlicher Prozess
Compliance ist kein einmaliger Zustand, sondern erfordert eine dauerhafte Einbettung in die Unternehmenskultur und -prozesse.
3.1 Governance-Strukturen schaffen
Eine nachhaltige Resilienz erfordert klare Verantwortlichkeiten innerhalb der Organisation. Dies beginnt bei der Benennung spezifischer Rollen, wie etwa eines DORA-Beauftragten, der die Einhaltung der Vorgaben koordiniert.
Ein wesentlicher Bestandteil der Governance ist die regelmäßige Berichterstattung an die Geschäftsleitung über ICT-Risiken, Vorfälle und die Ergebnisse der Resilienztests, damit das Leitungsorgan seiner Überwachungspflicht effektiv nachkommen kann.
3.2 Training und Bewusstsein schaffen
Die technologische Infrastruktur ist nur so sicher wie die Menschen, die sie bedienen. Daher sind kontinuierliche Schulungsprogramme für Mitarbeiter auf allen Ebenen – vom Sachbearbeiter bis zum Vorstand – unerlässlich. Ziel ist es, das Bewusstsein für ICT-Risiken zu schärfen und die Belegschaft regelmäßig über neue Bedrohungslagen, wie etwa aktuelle Ransomware-Trends, zu informieren.
3.3 Kontinuierliche Überprüfung und Verbesserung
Ein resilientes System zeichnet sich durch seine Lernfähigkeit aus. Unternehmen müssen ihre Prozesse und Schutzmaßnahmen regelmäßig überprüfen und an technologische Entwicklungen oder veränderte Bedrohungsszenarien anpassen. Ein strukturierter „Lessons Learned“-Prozess nach jedem ICT-Vorfall oder nach Abschluss von Resilienztests stellt sicher, dass Schwachstellen nachhaltig geschlossen und die Verteidigungsstrategien stetig verfeinert werden.
More...
Sie brauchen Unterstützung beim Thema Informationssicherheit?
Sprechen Sie uns gerne direkt an und vereinbaren Sie ein kostenfreies Beratungsgespräch mit einem unserer Experten für Informationssicherheit.
Fazit
DORA markiert einen Wendepunkt in der Regulierung der digitalen Sicherheit, indem sie fragmentierte nationale Regeln durch einen einheitlichen und robusten EU-weiten Rahmen ersetzt. Die Verordnung schließt kritische Lücken und stärkt das Mandat der Aufsichtsbehörden wie der BaFin und der ESAs, um systemische Risiken durch die hohe Vernetzung der Finanzmärkte zu minimieren.
Für Finanzunternehmen stellt die Umsetzung zwar eine erhebliche Herausforderung dar, sie sollte jedoch als strategische Chance begriffen werden, das Vertrauen der Märkte zu sichern und die eigene Zukunftsfähigkeit in einer digitalisierten Welt zu stärken. Da die Zeit zur vollständigen Umsetzung drängt, ist ein proaktives Handeln der Führungsebene entscheidend, um Cybersicherheit dauerhaft als „Chefsache“ zu verankern.
FAQ: Häufige Fragen zur DORA Verordnung
Mit einer Gap-Analyse und einer Bestandsaufnahme. Unternehmen müssen ihre aktuelle IT-Infrastruktur mit den DORA-Vorgaben abgleichen, kritische Funktionen identifizieren und ein vollständiges Informationsregister über alle Verträge mit IT-Drittanbietern erstellen.
Das Drittparteienrisikomanagement wird deutlich strenger. Vor Vertragsabschluss ist eine Due Diligence Pflicht. Verträge müssen nun explizite Auditrechte, klare Service Level Agreements (SLAs) und Ausstiegsstrategien enthalten, um Abhängigkeiten (Vendor Lock-in) zu verhindern.
Alle Unternehmen müssen jährlich Basistests (z. B. Schwachstellenanalysen) auf kritischen Systemen durchführen. Für besonders wichtige Institute sind zudem alle drei Jahre bedrohungsorientierte Penetrationstests (TLPT) Pflicht, die reale Cyberangriffe auf Live-Systeme simulieren.
Michael Phan
Berater
