Skip to content

Digital Operational Resilience Act (DORA)

Das Gesetz über die digitale operative Widerstandsfähigkeit (Digital Operational Resilience Act, DORA) ist ein umfassender Rechtsrahmen, der von der Europäischen Union (EU) eingeführt wurde, um die operative Widerstandsfähigkeit von Finanzinstituten und kritischen Drittanbietern zu verbessern. DORA soll sicherstellen, dass Finanzinstitute und ihre Dienstleister allen Arten von Störungen und Bedrohungen im Zusammenhang mit der Informations- und Kommunikationstechnologie (IKT) standhalten, darauf reagieren und sich davon erholen können.

Überblick

  • Segment: IT Sicherheit / Financial Services

  • Verabschiedet / Veröffentlicht:

  • Gültig ab:

  • 17.01.2025

  • Gültig für:

DORA gilt für eine Vielzahl von Finanzunternehmen (20 Ttypen), darunter Banken, Wertpapierfirmen, Versicherungsgesellschaften und wichtige Drittanbieter, die Finanzdienstleistungen unterstützen. Es umfasst IKT-bezogene Vorfälle, die die Finanzstabilität und die Kontinuität der Dienstleistungen beeinträchtigen könnten.

  • Nicht gültig für:

  • Nicht-Finanzunternehmen, es sei denn, sie erbringen Dienste für diese.

  • Grauzone:

  • k.A.

  • Ziel: Die Verordnung betont die Bedeutung der operativen Widerstandsfähigkeit und verpflichtet Finanzinstitute zur Einführung robuster Rahmenwerke für das IKT-Risikomanagement. Dazu gehören die Identifizierung, Bewertung und Minderung von IKT-Risiken, um die Kontinuität kritischer Betriebsabläufe sicherzustellen.

Zentrale Forderungen

Finanzinstitute müssen umfassende Rahmenwerke für das IKT-Risikomanagement einrichten, die Richtlinien, Verfahren und Kontrollen zur Bewältigung von IKT-Risiken umfassen. Dazu gehören regelmäßige Risikobewertungen, die Planung von Maßnahmen zur Reaktion auf Vorfälle und das Business Continuity Management.

  • Risikomanagement bei Dritten:

DORA legt großen Wert auf das Management von Risiken, die mit Drittanbietern verbunden sind. Finanzinstitute müssen Due-Diligence-Prüfungen bei Drittanbietern durchführen, deren Leistung überwachen und sicherstellen, dass sie die selben Resilienzstandards einhalten.

  • Meldung von Vorfällen:

Die Verordnung schreibt die Meldung schwerwiegender IKT-Vorfälle an die zuständigen Behörden vor. Finanzinstitute müssen über Mechanismen zur Erkennung, Meldung und Bewältigung von IKT-Vorfällen verfügen, um Transparenz und Rechenschaftspflicht zu gewährleisten.

  • Tests der digitalen Betriebsresilienz:

DORA verpflichtet Finanzinstitute, ihre IKT-Systeme und -Prozesse regelmäßig zu testen, um sicherzustellen, dass sie Störungen standhalten und sich davon erholen können. Dazu gehören Penetrationstests, Schwachstellenanalysen und Resilienztests.

  • Governance und Rechenschaftspflicht:

Die Verordnung betont die Bedeutung von Governance und Rechenschaftspflicht beim Management von IKT-Risiken. Finanzunternehmen müssen klare Rollen und Verantwortlichkeiten für das IKT-Risikomanagement festlegen, wobei die Geschäftsleitung und der Verwaltungsrat eine wichtige Rolle bei der Überwachung der Resilienzmaßnahmen spielen.

  • Aufsicht und Durchsetzung:

Die DORA führt Aufsichts- und Durchsetzungsmechanismen ein, um die Einhaltung der Verordnung sicherzustellen. Die Aufsichtsbehörden sind befugt, Inspektionen durchzuführen, Sanktionen zu verhängen und Durchsetzungsmaßnahmen gegen nicht konforme Unternehmen zu ergreifen.

Lösungsansätze & Hilfestellungen

  • Ein guter Leitfaden für die Analyse zur Implemntierung findet sich ...