DORA (Digital Operational Resilience Act) (🇩🇪)

Posted on by Robaix

Was ist DORA (Digital Operational Resilience Act)?

  • EU-weite Verordnung zur digitalen operationalen Resilienz im Finanzsektor.
  • Ziel: Sicherstellung, dass Finanzunternehmen Cyber-Angriffen, IT-Störungen und anderen digitalen Risiken standhalten können.
  • Gilt für eine breite Palette von Finanzunternehmen (Banken, Versicherungen, Wertpapierfirmen, aber auch Leasingunternehmen) und deren kritische IKT-Drittdienstleister.

Kernelemente von DORA

  • IKT-Risikomanagement: Strenge Anforderungen an die Identifizierung, Messung, Steuerung und Überwachung von IKT-Risiken.
  • Meldung von IKT-Vorfällen: Einheitliche Klassifizierung und Meldung schwerwiegender IKT-Vorfälle an die Aufsichtsbehörden.
  • Tests der digitalen operationalen Resilienz: Regelmäßige Überprüfung der IKT-Systeme und Prozesse, z.B. durch Penetrationstests.
  • Management des IKT-Drittparteienrisikos: Stärkere Überwachung und Steuerung von Risiken, die durch die Auslagerung von IKT-Dienstleistungen an Dritte entstehen.
  • Informationsaustausch: Förderung des Austauschs von Cyber-Bedrohungsinformationen zwischen Finanzunternehmen.

Warum ist DORA für Finanzinstitutionen relevant (auch außerhalb der EU)?

  • Extraterritorialität: DORA betrifft nicht nur EU-Unternehmen, sondern auch IKT-Drittdienstleister, die kritische Dienste für EU-Finanzunternehmen erbringen, unabhängig von ihrem Standort (z.B. Indien, USA).
  • Lieferketten: Wenn unsere Unternehmen IKT-Dienstleistungen für EU-Finanzinstitutionen anbieten oder Teil einer globalen Finanzgruppe mit EU-Einheiten sind, müssen wir die DORA-Anforderungen verstehen und einhalten.
  • Standardisierung: DORA schafft einen einheitlichen Rahmen in der EU, was auch Auswirkungen auf globale Standards im Bereich der digitalen Resilienz haben kann.

Wichtige Fristen (Stand: 28.07.2025)

  • DORA ist am 16. Januar 2023 in Kraft getreten.
  • Die meisten Anforderungen müssen ab dem 17. Januar 2025 angewendet werden.
  • Für einige spezifische Punkte (z.B. vereinfachter IKT-Risikomanagementrahmen für kleinere Unternehmen) gibt es längere Übergangsfristen, aber das Meldewesen beginnt für alle ab 2025.

Unterschieden zwischen DORA und anderen Richtilinien und Gesetzte

Hier die wichtigste Unterschiede zwischen DORA und die Richtilinien und Gesetzte, die in der USA, UK, und allgemein in der Welt gültig sind.

DORA – Der EU-Ansatz (im Vergleich zu USA, UK und globalen Trends)

  • Umfassende und harmonisierte Regelung für den gesamten EU-Finanzsektor:
    • DORA: Eine einzige Verordnung, die umfassende und verbindliche Regeln für die digitale operationale Resilienz für über 20 Arten von Finanzunternehmen in allen EU-Mitgliedstaaten schafft. Das Ziel ist eine Harmonisierung, um Fragmentierung zu vermeiden.
    • USA: Haben keine einzelne, umfassende Regelung wie DORA. Stattdessen gibt es ein Patchwork von Vorschriften und Leitlinien von verschiedenen Aufsichtsbehörden (z.B. FDIC, OCC, Federal Reserve, SEC, NIST CSF, FFIEC). Diese sind oft spezifischer für bestimmte Arten von Finanzinstitutionen oder Risikobereichen.
    • UK: Hat nach dem Brexit einen eigenen Ansatz entwickelt, die “Operational Resilience” Frameworks der Bank of England (BoE), PRA und FCA. Diese sind den DORA-Zielen ähnlich, aber nicht identisch und betreffen nur UK-regulierte Firmen. Ein eigenes “UK DORA” ist in Entwicklung.
    • Global: Viele Länder haben individuelle Ansätze, oft basierend auf etablierten Frameworks wie NIST CSF oder ISO 27001, aber selten mit der direkten rechtlichen Bindung und dem Detailgrad von DORA über den gesamten Finanzsektor.
  • Fokus auf IKT-Drittparteienrisiko (und viert-Parteien-Risiko):
    • DORA: Legt einen sehr starken Fokus auf das Management von Risiken, die von IKT-Drittdienstleistern ausgehen, und kann diese sogar direkt beaufsichtigen, wenn sie als kritisch eingestuft werden (sogar außerhalb der EU). Es fordert ein tiefes Verständnis der gesamten digitalen Lieferkette.
    • USA/UK: Haben ebenfalls Regeln zum Third-Party Risk Management (TPRM) (z.B. OCC/FFIEC in den USA), aber DORA geht hier oft detaillierter und proaktiver vor, insbesondere was die Überwachung und die vertraglichen Anforderungen betrifft. Das vierte Parteien-Risiko ist in den USA weniger explizit geregelt.
  • Standardisiertes Incident Reporting:
    • DORA: Verpflichtet zu einem standardisierten und zentralisierten Meldewesen von schwerwiegenden IKT-Vorfällen an die zuständigen EU-Aufsichtsbehörden.
    • USA/UK: Haben Meldepflichten, die jedoch oft weniger standardisiert sind, unterschiedliche Fristen und Empfänger haben können (z.B. CISA in den USA, verschiedene Aufsichtsbehörden im UK), abhängig von der Art des Vorfalls und der betroffenen Entität.
  • Vorschreibende Natur vs. Prinzipien-basiert:
    • DORA: Ist eine Verordnung, was bedeutet, sie ist in allen EU-Ländern direkt anwendbar und hat eine relativ präskriptive Natur, d.h. sie gibt konkrete Anforderungen vor.
    • USA/UK: Oft eher prinzipienbasiert oder leitlinienorientiert, was den Unternehmen mehr Flexibilität bei der Umsetzung gibt, aber auch zu unterschiedlichen Interpretationen führen kann.
  • Reichweite (Extraterritorialität):
    • DORA: Betrifft Unternehmen weltweit, wenn sie kritische IKT-Dienstleistungen für Finanzinstitutionen in der EU erbringen. Dies ist ein wichtiger Punkt für indische und amerikanische Kollegen.
    • USA/UK: Ihre Regelungen konzentrieren sich primär auf Unternehmen innerhalb ihrer Jurisdiktion, obwohl auch hier bei grenzüberschreitenden Aktivitäten Schnittstellen bestehen können.

Kurz zusammengefasst

“DORA ist Europas Antwort auf die Notwendigkeit einer starken, vereinheitlichten digitalen Widerstandsfähigkeit im Finanzsektor.

Im Gegensatz zu den eher fragmentierten oder prinzipienbasierten Ansätzen, die man vielleicht aus den USA oder UK kennt, ist DORA eine umfassende, direkt anwendbare EU-Verordnung.

Sie legt besonders strenge Regeln für das Management von Risiken in der digitalen Lieferkette fest und fordert ein standardisiertes Meldewesen für IKT-Vorfälle.

Wenn man Geschäfte mit EU-Finanzinstitutionen macht oder selbst Teil einer EU-Finanzgruppe ist, muss man die DORA-Anforderungen verstehen und einhalten, auch wenn man nicht in der EU sitzt.

Audit mit Fokus auf DORA

Im Fall eine Audit mit Fokus auf ein DORA in eine Finanzinstitution sind folgende Bereiche und Richtlinien besonders zu beachten:

  • IKT-Risikomanagement-Rahmen:
    • Richtlinie zum IKT-Risikomanagement (vereinfacht): Obwohl DORA einen vereinfachten Rahmen für kleine Unternehmen vorsieht, muss dieser dokumentiert und umgesetzt sein. Das Audit prüft, wie du IKT-Risiken identifizierst, bewertest, steuerst und überwachst.
  • Meldewesen für IKT-bezogene Vorfälle:
    • Richtlinie zur Klassifizierung und Meldung von IKT-Vorfällen: Du musst Prozesse haben, um IKT-Vorfälle zu klassifizieren und relevante Vorfälle fristgerecht an die BaFin zu melden. Dies gilt bereits ab dem 17. Januar 2025.
  • IKT-Drittparteienrisikomanagement:
    • Richtlinie zum Management von IKT-Drittparteienrisiken: Wenn du IKT-Dienstleistungen von externen Anbietern beziehst (z.B. Cloud-Dienste, Software), muss der Umgang mit diesen Risiken geregelt sein. Für Kleinstunternehmen gibt es hier Erleichterungen.
  • Business Continuity Management (BCM) und Notfallpläne:
    • Richtlinie zum Business Continuity Management und IKT-Notfall- und Wiederherstellungsplänen: Es muss sichergestellt sein, dass kritische IKT-Systeme im Falle einer Störung schnell wiederhergestellt werden können, um den Geschäftsbetrieb aufrechtzuerhalten.
  • Tests der digitalen operationalen Resilienz:
    • Richtlinie für Tests der digitalen operationalen Resilienz: Du musst regelmäßige Tests deiner IKT-Systeme durchführen, um deren Widerstandsfähigkeit zu überprüfen. Für Finanzierungsleasinginstitute sind bedrohungsgeleitete Penetrationstests (TLPT) in der Regel nicht verpflichtend.
  • Informationsaustausch:
    • Richtlinie zum Informationsaustausch über Cyber-Bedrohungen: DORA fördert den Austausch relevanter Informationen über Cyber-Bedrohungen und Schwachstellen.

Das Audit wird prüfen, ob diese Bereiche durch angemessene Policies und Prozesse abgedeckt sind und ob diese in der Praxis gelebt und dokumentiert werden.

Die Proportionalität (Größe, Art und Komplexität des Unternehmens) wird dabei berücksichtigt.

Categoria: Deutsch, Informatica

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *