Zum Inhalt wechseln 
Digitale Resilienz im Fokus der EU:
Was ist DORA?
Mit der Verordnung (EU) 2022/2554, auch bekannt als Digital Operational Resilience Act (DORA), etabliert die Europäische Union erstmals einheitliche, rechtsverbindliche Anforderungen an die digitale Sicherheit von Finanzunternehmen und deren IKT-Dienstleistern. Ziel ist es, Cyberrisiken systematisch zu verringern und die operationale Stabilität im EU-Finanzsystem zu stärken. Die Regelung wurde am 14. Dezember 2022 verabschiedet, trat am 17. Januar 2023 in Kraft und wird ab dem 17. Januar 2025 verbindlich angewendet.
Warum wurde DORA eingeführt?
Die zunehmende Vernetzung und Abhängigkeit von digitalen Systemen macht den Finanzsektor anfällig für Cyberangriffe und IT-Ausfälle. Mit DORA reagiert die EU auf diese Bedrohungen, indem sie eine robuste Grundlage für IKT-Risikomanagement, Vorfallreaktion und Sicherheitsprüfungen schafft. DORA harmonisiert bisher unterschiedliche nationale Regelwerke und erhöht so die Widerstandsfähigkeit des gesamten europäischen Finanzmarkts.
Wen betrifft die DORA-Verordnung konkret?
DORA gilt für Finanzunternehmen mit Sitz im Europäischen Wirtschaftsraum (EWR) sowie für deren interne oder externe IKT-Dienstleister.
Der Kreis der Verpflichteten ist breit gefasst und umfasst unter anderem:
- Kreditinstitute (Banken)
- Versicherungen und Rückversicherungen
- Zahlungsinstitute und E-Geld-Institute
- Wertpapierfirmen und Handelsplätze
- Krypto-Dienstleister
- Investmentfonds-Verwaltungen
- Ratingagenturen und Verbriefungsregister
Insgesamt sind etwa 22.000 Unternehmen in der EU, darunter rund 3.600 in Deutschland, betroffen.
Die wichtigsten Anforderungen aus DORA
1. IKT-Risikomanagement
Unternehmen müssen ein wirksames Rahmenwerk implementieren, das technische und organisatorische Maßnahmen zur Identifikation, Bewertung und Behandlung von Risiken beinhaltet.
2. Meldung schwerwiegender IKT-Vorfälle
DORA verpflichtet zur umgehenden Meldung von signifikanten IT-Sicherheitsvorfällen an die zuständigen Aufsichtsbehörden.
3. Testen der digitalen Resilienz
Es müssen regelmäßige Resilienztests durchgeführt werden – darunter auch Threat-Led Penetration Testing (TLPT), um Angriffsflächen systematisch zu identifizieren.
4. Management von Drittparteirisiken
IKT-Dienstleister müssen vertraglich kontrolliert, risikobasiert überwacht und bei kritischen Abhängigkeiten gemeldet werden.
5. Informationsaustausch zu Bedrohungen
DORA fördert den Austausch zwischen Marktteilnehmern über Cyberbedrohungen und Angriffsindikatoren, um die kollektive Sicherheitslage zu verbessern.
Der Aufbau der DORA-Verordnung
Die Verordnung besteht aus 64 Artikeln, die in neun Kapitel gegliedert sind:
- Allgemeine Bestimmungen
- IKT-Risikomanagement
- Vorfallmanagement
- Resilienz-Tests
- Drittparteirisikomanagement
- Informationsaustausch
- Zuständigkeiten der Behörden
- Delegierte Rechtsakte
- Übergangs- und Schlussbestimmungen
Zusätzlich werden aktuell technische Standards (RTS, ITS) durch die europäischen Aufsichtsbehörden (EBA, EIOPA, ESMA) entwickelt.
DORA und Deutschland: Nationale Umsetzung über FinmadiG
Mit dem Finanzmarktdigitalisierungsgesetz (FinmadiG) vom Dezember 2024 hat Deutschland DORA in nationales Recht integriert. Auch Institute, die eigentlich nicht unter DORA fallen, müssen DORA-konforme Anforderungen umsetzen, wenn sie unter das Kreditwesengesetz (KWG) fallen. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) wird künftig als zentrale Überwachungsinstanz tätig und kann bei Verstößen sogar Sonderbeauftragte einsetzen oder Betriebsgenehmigungen entziehen.
Verhältnismäßigkeit: Vereinfachungen für kleine Institute
Artikel 4 der DORA-Verordnung definiert den Grundsatz der Verhältnismäßigkeit: Kleinere Finanzunternehmen mit geringem Risikoprofil können vereinfachte Maßnahmen umsetzen, insbesondere beim IKT-Risikomanagement. So werden diese Unternehmen nicht überfordert, bleiben aber dennoch verpflichtet, ein Mindestniveau an Sicherheit zu gewährleisten.
DORA als Meilenstein für Cybersicherheit im Finanzsektor
Die DORA-Verordnung stellt einen bedeutenden Schritt zur europaweiten Harmonisierung der digitalen Sicherheit im Finanzwesen dar. Sie bietet Unternehmen einen klaren, rechtsverbindlichen Rahmen, um digitale Risiken systematisch zu managen und die Resilienz zu steigern. Wer bis zum 17. Januar 2025 nicht vorbereitet ist, riskiert empfindliche Sanktionen. Daher sollten Unternehmen jetzt handeln, um ihre Systeme und Prozesse DORA-konform auszurichten.
Kontaktieren Sie uns für Ihre Sicherheitsstrategie!
Sie möchten Ihre Organisation DORA-konform aufstellen? Wir unterstützen Sie bei der Umsetzung technischer Anforderungen, der Dokumentation von Sicherheitsmaßnahmen und der Einhaltung regulatorischer Pflichten – auch im Kontext von C5, ISO 27001 oder SOC 2.
E-Mail: hello@secaas.it
Telefon: +49 69 5060 75080
https://security-as-a-service.io
Sichern Sie Ihr Unternehmen – bevor es zu spät ist!
