EU DORA Verordnung: Alles, was Sie über den Digital Operational Resilience Act wissen müssen

13. Januar 2025 | 

Die Uhr tickt für Finanzinstitute: Bis zum 17. Januar 2025 wird der Digital Operational Resilience Act (DORA) einen neuen Rahmen schaffen, um die Schutzmaßnahmen des Finanzsektors gegen zunehmende Cyberrisiken zu stärken. DORA zielt darauf ab, die Resilienz durch ein solides Risikomanagement, effiziente Incident-Response-Strategien und operative Stabilität sicherzustellen.

Was ist DORA und warum ist es wichtig?

DORA hat zum Ziel, die Finanzindustrie zu schützen, indem Schwachstellen in Informations- und Kommunikationstechnik (IKT) Systemen adressiert und die Betriebskontinuität gewährleistet werden. Die Verordnung führt strukturierte Anforderungen für Finanzinstitute und deren IKT-Drittanbieter ein, die von den europäischen Aufsichtsbehörden (ESAs) überwacht werden. Auch Dienstleister und Anbieter sind unter bestimmten Bedingungen verpflichtet, die Anforderungen zu erfüllen, was die Rechenschaftspflicht auf das gesamte Finanzökosystem erweitert.

DORA steht im Einklang mit anderen EU-Vorschriften wie NIS2, um einen umfassenden Ansatz für Cybersicherheit und Resilienz in der EU zu fördern. Anders als die NIS2-Richtlinie, die in nationales Recht umgesetzt werden muss, ist DORA eine Verordnung, die direkt in allen EU-Mitgliedstaaten gilt und ab dem 17. Januar 2025 ohne nationale Umsetzung eingehalten werden muss.

Die Schwerpunkte sind:

  • Sicherstellung, dass Finanzinstitute und deren IKT-Drittanbieter robuste Sicherheits- und Resilienzstandards einhalten
  • Gewährleistung eines unterbrechungsfreien Betriebs bei größeren technischen Ausfällen oder Cybervorfällen
  • Stärkung der Zusammenarbeit im Finanzökosystem, um sich gegen neue Bedrohungen zu schützen

Die fünf Säulen der DORA-Compliance

Um die gesetzten Ziele zu erreichen, definiert DORA fünf wesentliche Säulen, die Finanzinstitute umsetzen müssen:

  1. Austausch von Informationen und Erkenntnissen über Cyber-Bedrohungen: DORA unterstützt den Datenaustausch und fördert damit die Zusammenarbeit im Finanzökosystem, um Cyberbedrohungen schneller zu erkennen und einzudämmen.
  2. IKT-Risikomanagement: Organisationen müssen strenge Zugriffskontrollen und Sicherheitsrichtlinien durchsetzen, um Schwachstellen zu minimieren. Dazu gehören z. B. rollenbasierte Zugriffskontrollen (RBAC) und Identity Security Posture Management.
  3. Incident Management und Reporting: Echtzeitüberwachungstools wie Identity Threat Detection & Response (ITDR) ermöglichen eine schnelle Reaktion auf Sicherheitsvorfälle, um potenzielle Schäden zu minimieren.
  4. Management von Drittanbieter-Risiken: Finanzinstitute müssen sicherstellen, dass ihre IKT-Anbieter den DORA-Standards entsprechen, unterstützt durch kontinuierliche Bewertungen und sichere Zugriffsmanagement-Protokolle.
  5. Tests der operativen Resilienz: Regelmäßige Tests der IKT-Systeme gewährleisten die Vorbereitung auf technische und cyberbezogene Störungen und unterstützen die Betriebskontinuität.

Herausforderungen bei der Umsetzung der DORA-Anforderungen

Trotz vieler Vorteile ist die Umsetzung von DORA mit Herausforderungen verbundn. Finanzinstitute müssen sich mit komplexen Benutzer- und Zugriffsanforderungen auseinandersetzen, einschließlich Conditional Access für remote Arbeitskräfte, Auftragnehmer und Partner. Gleichzeitig muss eine ständig wachsende Anzahl von Anwendungen und Berechtigungen verwaltet werden.

Viele Organisationen verlassen sich weiterhin auf veraltete, in-house IAM-Tools, die nicht über die erforderliche Skalierbarkeit und Automatisierung für moderne Compliance verfügen. Eine Umfrage von IDC aus 2024 zeigt, dass 49 % der Finanzinstitute zwar über DORA Bescheid wissen, aber noch nicht mit den Vorbereitungen zur Einhaltung der Vorschriften begonnen haben [1]. Dies zeigt, wie dringlich es ist zu handeln.

DORA’s zusätzlicher Fokus auf Drittanbieter-IKT-Dienste bringt weitere Herausforderungen mit sich, da Finanzinstitute sicherstellen müssen, dass ihre Anbieter strenge Standards durch kontinuierliche Überwachung und Risikobewertungen einhalten. Ein Verstoß gegen die DORA-Anforderungen kann Geldstrafen von bis zu 10 Millionen Euro oder 5 % des Umsatzes des Vorjahres nach sich ziehen und erhebliche Risiken für die finanzielle Stabilität und den Ruf des Unternehmens darstellen.

Führende IAM-Lösungen – insbesondere Identity Threat Detection and Response (ITDR), Identity Governance and Administration (IGA) und Privileged Access Management (PAM)—können die meisten technischen Anforderungen für die DORA-Compliance erfüllen, Prozesse vereinfachen und Risiken minimieren. Um diesen Anforderungen gerecht zu werden, müssen Institutionen über grundlegende Automatisierung hinausgehen und KI-gestützte Identity Governance nutzen, um die notwendige Skalierbarkeit, Agilität und Risikoreduktion für langfristige Resilienz zu erreichen.

Fazit

DORA ist mehr als nur eine regulatorische Anforderung; sie ist ein strategischer Rahmen für die Zukunft der Sicherheit des Finanzsektors. Mit dem Stichtag am 17. Januar 2025 müssen Finanzinstitute proaktive Maßnahmen priorisieren, um sich an die Standards anzupassen. Durch Investitionen in moderne IAM-Systeme und den Einsatz von Automatisierung kann der Finanzsektor die Compliance-Anforderungen erfüllen und gleichzeitig eine starke Grundlage für langfristige betriebliche Resilienz schaffen.

Bereit für den nächsten Schritt? Kontaktieren Sie uns noch heute, um mit unseren Experten über DORA zu sprechen und sicherzustellen, dass Ihre Organisation vorbereitet ist, und erfahren Sie mehr über DORA, indem Sie mit unseren Experten sprechen.

[1] Building digital operational resilience: DORA compliance through enhanced identity security. In IDC EMEA Vendor Spotlight sponsored by SailPoint, 2024. https://www.sailpoint.com/identity-library/dora-compliance