EU DORA Verordnung: Alles, was Sie über den Digital Operational Resilience Act wissen müssen

22. Januar 2025 | 

Mit dem Digital Operational Resilience Act (DORA) hat die EU einen verbindlichen Rahmen geschaffen, um die Schutzmaßnahmen des Finanzsektors gegen zunehmende Cyberrisiken zu stärken. DORA ist seit dem 17. Januar 2025 verbindlich anwendbar. Die Verordnung fordert robuste Maßnahmen für Risikomanagement, Incident Response und Betriebskontinuität – und setzt damit neue Maßstäbe für die Sicherheit und Stabilität der Finanzbranche.

Was ist DORA und warum ist es wichtig?

DORA hat zum Ziel, die Finanzindustrie zu schützen, indem Schwachstellen in Informations- und Kommunikationstechnik (IKT) Systemen adressiert und die Betriebskontinuität gewährleistet werden. Die Verordnung führt strukturierte Anforderungen für Finanzinstitute und deren IKT-Drittanbieter ein, die von den europäischen Aufsichtsbehörden (ESAs) überwacht werden. Auch Dienstleister und Anbieter sind unter bestimmten Bedingungen verpflichtet, die Anforderungen zu erfüllen, was die Rechenschaftspflicht auf das gesamte Finanzökosystem erweitert.

DORA steht im Einklang mit anderen EU-Vorschriften wie NIS2, um einen umfassenden Ansatz für Cybersicherheit und Resilienz in der EU zu fördern. Anders als die NIS2-Richtlinie, die in nationales Recht umgesetzt werden muss, ist DORA eine Verordnung, die direkt in allen EU-Mitgliedstaaten gilt und seit dem 17. Januar 2025 selbst ohne nationale Umsetzung eingehalten werden muss.

Die Schwerpunkte sind:

  • Sicherstellung, dass Finanzinstitute und deren IKT-Drittanbieter robuste Sicherheits- und Resilienzstandards einhalten
  • Gewährleistung eines unterbrechungsfreien Betriebs bei größeren technischen Ausfällen oder Cybervorfällen
  • Stärkung der Zusammenarbeit im Finanzökosystem, um sich gegen neue Bedrohungen zu schützen

Die fünf Säulen der DORA-Compliance

Um die gesetzten Ziele zu erreichen, definiert DORA fünf wesentliche Säulen, die Finanzinstitute umsetzen müssen:

  1. Austausch von Informationen und Erkenntnissen über Cyber-Bedrohungen: DORA unterstützt den Datenaustausch und fördert damit die Zusammenarbeit im Finanzökosystem, um Cyberbedrohungen schneller zu erkennen und einzudämmen.
  2. IKT-Risikomanagement: Organisationen müssen strenge Zugriffskontrollen und Sicherheitsrichtlinien durchsetzen, um Schwachstellen zu minimieren. Dazu gehören z. B. rollenbasierte Zugriffskontrollen (RBAC) und Identity Security Posture Management.
  3. Incident Management und Reporting: Echtzeitüberwachungstools wie Identity Threat Detection & Response (ITDR) ermöglichen eine schnelle Reaktion auf Sicherheitsvorfälle, um potenzielle Schäden zu minimieren.
  4. Management von Drittanbieter-Risiken: Finanzinstitute müssen sicherstellen, dass ihre IKT-Anbieter den DORA-Standards entsprechen, unterstützt durch kontinuierliche Bewertungen und sichere Zugriffsmanagement-Protokolle.
  5. Tests der operativen Resilienz: Regelmäßige Tests der IKT-Systeme gewährleisten die Vorbereitung auf technische und cyberbezogene Störungen und unterstützen die Betriebskontinuität.

Herausforderungen bei der Umsetzung der DORA-Anforderungen

Trotz vieler Vorteile ist die Umsetzung von DORA mit Herausforderungen verbunden. Finanzinstitute müssen sich mit komplexen Benutzer- und Zugriffsanforderungen auseinandersetzen, einschließlich Conditional Access für remote Arbeitskräfte, Auftragnehmer und Partner. Gleichzeitig muss eine ständig wachsende Anzahl von Anwendungen und Berechtigungen verwaltet werden.

Viele Organisationen verlassen sich weiterhin auf veraltete, in-house IAM-Tools, die nicht über die erforderliche Skalierbarkeit und Automatisierung für moderne Compliance verfügen. Eine Umfrage von IDC aus 2024 zeigt, dass 49 % der Finanzinstitute zwar über DORA Bescheid wissen, aber noch nicht mit den Vorbereitungen zur Einhaltung der Vorschriften begonnen haben [1]. Dies zeigt, wie dringlich es ist zu handeln.

DORA’s zusätzlicher Fokus auf Drittanbieter-IKT-Dienste bringt weitere Herausforderungen mit sich, da Finanzinstitute sicherstellen müssen, dass ihre Anbieter strenge Standards durch kontinuierliche Überwachung und Risikobewertungen einhalten. Ein Verstoß gegen die DORA-Anforderungen kann Geldstrafen von bis zu 10 Millionen Euro oder 5 % des Umsatzes des Vorjahres nach sich ziehen und erhebliche Risiken für die finanzielle Stabilität und den Ruf des Unternehmens darstellen.

Führende IAM-Lösungen – insbesondere Identity Threat Detection and Response (ITDR), Identity Governance and Administration (IGA) und Privileged Access Management (PAM) –können die meisten technischen Anforderungen für die DORA-Compliance erfüllen, Prozesse vereinfachen und Risiken minimieren. Um diesen Anforderungen gerecht zu werden, müssen Institutionen über grundlegende Automatisierung hinausgehen und KI-gestützte Identity Governance nutzen, um die notwendige Skalierbarkeit, Agilität und Risikoreduktion für langfristige Resilienz zu erreichen.

Fazit

DORA ist mehr als nur eine regulatorische Anforderung; sie ist ein strategischer Rahmen für die Zukunft der Sicherheit des Finanzsektors. Seit dem 17. Januar 2025 müssen Finanzinstitute proaktive Maßnahmen priorisieren, um sich an die Standards anzupassen. Durch Investitionen in moderne IAM-Systeme und den Einsatz von Automatisierung kann der Finanzsektor die Compliance-Anforderungen erfüllen und gleichzeitig eine starke Grundlage für langfristige betriebliche Resilienz schaffen.

Sie benötigen Unterstützung rund um DORA-Compliance? Kontaktieren Sie unsere Experten.

[1] Building digital operational resilience: DORA compliance through enhanced identity security. In IDC EMEA Vendor Spotlight sponsored by SailPoint, 2024. https://www.sailpoint.com/identity-library/dora-compliance