{"id":104,"date":"2025-04-10T12:00:38","date_gmt":"2025-04-10T10:00:38","guid":{"rendered":"https:\/\/robertogreco.eu\/professione\/?p=104"},"modified":"2025-08-02T12:47:16","modified_gmt":"2025-08-02T10:47:16","slug":"dora-digital-operational-resilience-act-%f0%9f%87%a9%f0%9f%87%aa","status":"publish","type":"post","link":"https:\/\/robertogreco.eu\/professione\/informatica\/dora-digital-operational-resilience-act-%f0%9f%87%a9%f0%9f%87%aa\/","title":{"rendered":"DORA (Digital Operational Resilience Act) (\ud83c\udde9\ud83c\uddea)"},"content":{"rendered":"<h1><strong>Was ist <a href=\"https:\/\/robertogreco.eu\/biblioteca\/dora\/\">DORA<\/a> (<em>Digital Operational Resilience Act<\/em>)?<\/strong><\/h1>\n<ul>\n<li>EU-weite Verordnung zur digitalen operationalen Resilienz im Finanzsektor.<\/li>\n<li><strong>Ziel<\/strong>: Sicherstellung, dass Finanzunternehmen Cyber-Angriffen, IT-St\u00f6rungen und anderen digitalen Risiken standhalten k\u00f6nnen.<\/li>\n<li>Gilt f\u00fcr eine breite Palette von Finanzunternehmen (Banken, Versicherungen, Wertpapierfirmen, aber auch Leasingunternehmen) und deren kritische IKT-Drittdienstleister.<\/li>\n<\/ul>\n<h2><strong>Kernelemente von DORA<\/strong><\/h2>\n<ul>\n<li><strong>IKT-Risikomanagement:<\/strong> Strenge Anforderungen an die Identifizierung, Messung, Steuerung und \u00dcberwachung von IKT-Risiken.<\/li>\n<li><strong>Meldung von IKT-Vorf\u00e4llen:<\/strong> Einheitliche Klassifizierung und Meldung schwerwiegender IKT-Vorf\u00e4lle an die Aufsichtsbeh\u00f6rden.<\/li>\n<li><strong>Tests der digitalen operationalen Resilienz:<\/strong> Regelm\u00e4\u00dfige \u00dcberpr\u00fcfung der IKT-Systeme und Prozesse, z.B. durch Penetrationstests.<\/li>\n<li><strong>Management des IKT-Drittparteienrisikos:<\/strong> St\u00e4rkere \u00dcberwachung und Steuerung von Risiken, die durch die Auslagerung von IKT-Dienstleistungen an Dritte entstehen.<\/li>\n<li><strong>Informationsaustausch:<\/strong> F\u00f6rderung des Austauschs von Cyber-Bedrohungsinformationen zwischen Finanzunternehmen.<\/li>\n<\/ul>\n<h3><strong>Warum ist DORA f\u00fcr Finanzinstitutionen relevant (auch au\u00dferhalb der EU)?<\/strong><\/h3>\n<ul>\n<li><strong>Extraterritorialit\u00e4t:<\/strong> DORA betrifft nicht nur EU-Unternehmen, sondern auch IKT-Drittdienstleister, die kritische Dienste f\u00fcr EU-Finanzunternehmen erbringen, unabh\u00e4ngig von ihrem Standort (z.B. Indien, USA).<\/li>\n<li><strong>Lieferketten:<\/strong> Wenn unsere Unternehmen IKT-Dienstleistungen f\u00fcr EU-Finanzinstitutionen anbieten oder Teil einer globalen Finanzgruppe mit EU-Einheiten sind, m\u00fcssen wir die DORA-Anforderungen verstehen und einhalten.<\/li>\n<li><strong>Standardisierung:<\/strong> DORA schafft einen einheitlichen Rahmen in der EU, was auch Auswirkungen auf globale Standards im Bereich der digitalen Resilienz haben kann.<\/li>\n<\/ul>\n<h3><strong>Wichtige Fristen (Stand: 28.07.2025)<\/strong><\/h3>\n<ul>\n<li>DORA ist am 16. Januar 2023 in Kraft getreten.<\/li>\n<li>Die meisten Anforderungen m\u00fcssen ab dem <strong>17. Januar 2025<\/strong> angewendet werden.<\/li>\n<li>F\u00fcr einige spezifische Punkte (z.B. vereinfachter IKT-Risikomanagementrahmen f\u00fcr kleinere Unternehmen) gibt es l\u00e4ngere \u00dcbergangsfristen, aber das Meldewesen beginnt f\u00fcr alle ab 2025.<\/li>\n<\/ul>\n<h2>Unterschieden zwischen DORA und anderen Richtilinien und Gesetzte<\/h2>\n<p>Hier die wichtigste Unterschiede zwischen DORA und die Richtilinien und Gesetzte, die in der USA, UK, und allgemein in der Welt g\u00fcltig sind.<\/p>\n<h3><strong>DORA \u2013 Der EU-Ansatz (im Vergleich zu USA, UK und globalen Trends)<\/strong><\/h3>\n<ul>\n<li><strong>Umfassende und harmonisierte Regelung f\u00fcr den gesamten EU-Finanzsektor:<\/strong>\n<ul>\n<li><strong>DORA:<\/strong> Eine <em>einzige<\/em> Verordnung, die umfassende und verbindliche Regeln f\u00fcr die digitale operationale Resilienz f\u00fcr \u00fcber 20 Arten von Finanzunternehmen in <em>allen<\/em> EU-Mitgliedstaaten schafft. Das Ziel ist eine <strong>Harmonisierung<\/strong>, um Fragmentierung zu vermeiden.<\/li>\n<li><strong>USA:<\/strong> Haben <strong>keine einzelne, umfassende<\/strong> Regelung wie DORA. Stattdessen gibt es ein <strong>Patchwork<\/strong> von Vorschriften und Leitlinien von verschiedenen Aufsichtsbeh\u00f6rden (z.B. FDIC, OCC, Federal Reserve, SEC, NIST CSF, FFIEC). Diese sind oft spezifischer f\u00fcr bestimmte Arten von Finanzinstitutionen oder Risikobereichen.<\/li>\n<li><strong>UK:<\/strong> Hat nach dem Brexit einen eigenen Ansatz entwickelt, die &#8220;Operational Resilience&#8221; Frameworks der Bank of England (BoE), PRA und FCA. Diese sind den DORA-Zielen \u00e4hnlich, aber <strong>nicht identisch<\/strong> und betreffen nur UK-regulierte Firmen. Ein eigenes &#8220;UK DORA&#8221; ist in Entwicklung.<\/li>\n<li><strong>Global:<\/strong> Viele L\u00e4nder haben individuelle Ans\u00e4tze, oft basierend auf etablierten Frameworks wie NIST CSF oder ISO 27001, aber selten mit der direkten rechtlichen Bindung und dem Detailgrad von DORA \u00fcber den gesamten Finanzsektor.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Fokus auf IKT-Drittparteienrisiko (und viert-Parteien-Risiko):<\/strong>\n<ul>\n<li><strong>DORA:<\/strong> Legt einen <strong>sehr starken Fokus<\/strong> auf das Management von Risiken, die von IKT-Drittdienstleistern ausgehen, und kann diese sogar direkt beaufsichtigen, wenn sie als kritisch eingestuft werden (sogar au\u00dferhalb der EU). Es fordert ein tiefes Verst\u00e4ndnis der gesamten digitalen Lieferkette.<\/li>\n<li><strong>USA\/UK:<\/strong> Haben ebenfalls Regeln zum Third-Party Risk Management (TPRM) (z.B. OCC\/FFIEC in den USA), aber DORA geht hier oft <strong>detaillierter und proaktiver<\/strong> vor, insbesondere was die \u00dcberwachung und die vertraglichen Anforderungen betrifft. Das vierte Parteien-Risiko ist in den USA weniger explizit geregelt.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Standardisiertes Incident Reporting:<\/strong>\n<ul>\n<li><strong>DORA:<\/strong> Verpflichtet zu einem <strong>standardisierten und zentralisierten<\/strong> Meldewesen von schwerwiegenden IKT-Vorf\u00e4llen an die zust\u00e4ndigen EU-Aufsichtsbeh\u00f6rden.<\/li>\n<li><strong>USA\/UK:<\/strong> Haben Meldepflichten, die jedoch oft <strong>weniger standardisiert<\/strong> sind, unterschiedliche Fristen und Empf\u00e4nger haben k\u00f6nnen (z.B. CISA in den USA, verschiedene Aufsichtsbeh\u00f6rden im UK), abh\u00e4ngig von der Art des Vorfalls und der betroffenen Entit\u00e4t.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Vorschreibende Natur vs. Prinzipien-basiert:<\/strong>\n<ul>\n<li><strong>DORA:<\/strong> Ist eine <strong>Verordnung<\/strong>, was bedeutet, sie ist in allen EU-L\u00e4ndern direkt anwendbar und hat eine relativ <strong>pr\u00e4skriptive<\/strong> Natur, d.h. sie gibt konkrete Anforderungen vor.<\/li>\n<li><strong>USA\/UK:<\/strong> Oft eher <strong>prinzipienbasiert<\/strong> oder <strong>leitlinienorientiert<\/strong>, was den Unternehmen mehr Flexibilit\u00e4t bei der Umsetzung gibt, aber auch zu unterschiedlichen Interpretationen f\u00fchren kann.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Reichweite (Extraterritorialit\u00e4t):<\/strong>\n<ul>\n<li><strong>DORA:<\/strong> Betrifft Unternehmen <strong>weltweit<\/strong>, wenn sie kritische IKT-Dienstleistungen f\u00fcr Finanzinstitutionen in der EU erbringen. Dies ist ein wichtiger Punkt f\u00fcr indische und amerikanische Kollegen.<\/li>\n<li><strong>USA\/UK:<\/strong> Ihre Regelungen konzentrieren sich prim\u00e4r auf Unternehmen innerhalb ihrer Jurisdiktion, obwohl auch hier bei grenz\u00fcberschreitenden Aktivit\u00e4ten Schnittstellen bestehen k\u00f6nnen.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<h3><strong>Kurz zusammengefasst<\/strong><\/h3>\n<p>&#8220;DORA ist Europas Antwort auf die Notwendigkeit einer starken, vereinheitlichten digitalen Widerstandsf\u00e4higkeit im Finanzsektor.<\/p>\n<p>Im Gegensatz zu den eher fragmentierten oder prinzipienbasierten Ans\u00e4tzen, die man vielleicht aus den USA oder UK kennt, ist DORA eine umfassende, direkt anwendbare EU-Verordnung.<\/p>\n<p>Sie legt besonders strenge Regeln f\u00fcr das Management von Risiken in der digitalen Lieferkette fest und fordert ein standardisiertes Meldewesen f\u00fcr IKT-Vorf\u00e4lle.<\/p>\n<p>Wenn man Gesch\u00e4fte mit EU-Finanzinstitutionen macht oder selbst Teil einer EU-Finanzgruppe ist, muss man die DORA-Anforderungen verstehen und einhalten, auch wenn man nicht in der EU sitzt.<\/p>\n<h2>Audit mit Fokus auf DORA<\/h2>\n<p>Im Fall eine Audit mit Fokus auf ein DORA in eine Finanzinstitution sind folgende Bereiche und Richtlinien besonders zu beachten:<\/p>\n<ul>\n<li><strong>IKT-Risikomanagement-Rahmen:<\/strong>\n<ul>\n<li><strong>Richtlinie zum IKT-Risikomanagement (vereinfacht):<\/strong> Obwohl DORA einen vereinfachten Rahmen f\u00fcr kleine Unternehmen vorsieht, muss dieser dokumentiert und umgesetzt sein. Das Audit pr\u00fcft, wie du IKT-Risiken identifizierst, bewertest, steuerst und \u00fcberwachst.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Meldewesen f\u00fcr IKT-bezogene Vorf\u00e4lle:<\/strong>\n<ul>\n<li><strong>Richtlinie zur Klassifizierung und Meldung von IKT-Vorf\u00e4llen:<\/strong> Du musst Prozesse haben, um IKT-Vorf\u00e4lle zu klassifizieren und relevante Vorf\u00e4lle fristgerecht an die BaFin zu melden. Dies gilt bereits ab dem 17. Januar 2025.<\/li>\n<\/ul>\n<\/li>\n<li><strong>IKT-Drittparteienrisikomanagement:<\/strong>\n<ul>\n<li><strong>Richtlinie zum Management von IKT-Drittparteienrisiken:<\/strong> Wenn du IKT-Dienstleistungen von externen Anbietern beziehst (z.B. Cloud-Dienste, Software), muss der Umgang mit diesen Risiken geregelt sein. F\u00fcr Kleinstunternehmen gibt es hier Erleichterungen.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Business Continuity Management (BCM) und Notfallpl\u00e4ne:<\/strong>\n<ul>\n<li><strong>Richtlinie zum Business Continuity Management und IKT-Notfall- und Wiederherstellungspl\u00e4nen:<\/strong> Es muss sichergestellt sein, dass kritische IKT-Systeme im Falle einer St\u00f6rung schnell wiederhergestellt werden k\u00f6nnen, um den Gesch\u00e4ftsbetrieb aufrechtzuerhalten.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Tests der digitalen operationalen Resilienz:<\/strong>\n<ul>\n<li><strong>Richtlinie f\u00fcr Tests der digitalen operationalen Resilienz:<\/strong> Du musst regelm\u00e4\u00dfige Tests deiner IKT-Systeme durchf\u00fchren, um deren Widerstandsf\u00e4higkeit zu \u00fcberpr\u00fcfen. F\u00fcr Finanzierungsleasinginstitute sind bedrohungsgeleitete Penetrationstests (TLPT) in der Regel nicht verpflichtend.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Informationsaustausch:<\/strong>\n<ul>\n<li><strong>Richtlinie zum Informationsaustausch \u00fcber Cyber-Bedrohungen:<\/strong> DORA f\u00f6rdert den Austausch relevanter Informationen \u00fcber Cyber-Bedrohungen und Schwachstellen.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>Das Audit wird pr\u00fcfen, ob diese Bereiche durch angemessene Policies und Prozesse abgedeckt sind und ob diese in der Praxis gelebt und dokumentiert werden.<\/p>\n<p>Die Proportionalit\u00e4t (Gr\u00f6\u00dfe, Art und Komplexit\u00e4t des Unternehmens) wird dabei ber\u00fccksichtigt.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Was ist DORA (Digital Operational Resilience Act)? EU-weite Verordnung zur digitalen operationalen Resilienz im Finanzsektor. Ziel: Sicherstellung, dass Finanzunternehmen Cyber-Angriffen, &hellip; <a href=\"https:\/\/robertogreco.eu\/professione\/informatica\/dora-digital-operational-resilience-act-%f0%9f%87%a9%f0%9f%87%aa\/\" class=\"more-link\">More <span class=\"screen-reader-text\">DORA (Digital Operational Resilience Act) (\ud83c\udde9\ud83c\uddea)<\/span> <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":112,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[58,3],"tags":[61,62],"class_list":["post-104","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-deutsch","category-informatica","tag-dora","tag-eu"],"_links":{"self":[{"href":"https:\/\/robertogreco.eu\/professione\/wp-json\/wp\/v2\/posts\/104","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/robertogreco.eu\/professione\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/robertogreco.eu\/professione\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/robertogreco.eu\/professione\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/robertogreco.eu\/professione\/wp-json\/wp\/v2\/comments?post=104"}],"version-history":[{"count":3,"href":"https:\/\/robertogreco.eu\/professione\/wp-json\/wp\/v2\/posts\/104\/revisions"}],"predecessor-version":[{"id":167,"href":"https:\/\/robertogreco.eu\/professione\/wp-json\/wp\/v2\/posts\/104\/revisions\/167"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/robertogreco.eu\/professione\/wp-json\/wp\/v2\/media\/112"}],"wp:attachment":[{"href":"https:\/\/robertogreco.eu\/professione\/wp-json\/wp\/v2\/media?parent=104"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/robertogreco.eu\/professione\/wp-json\/wp\/v2\/categories?post=104"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/robertogreco.eu\/professione\/wp-json\/wp\/v2\/tags?post=104"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}