DORA für Finanzdienstleister: Die operativen Auswirkungen im Überblick

DORA: Mehr als eine weitere Compliance-Pflicht

Der Digital Operational Resilience Act (DORA) ist seit Januar 2025 verbindlich anwendbar für Banken, Versicherungen, Wertpapierfirmen, Zahlungsdienstleister und eine Vielzahl weiterer Finanzmarktteilnehmer in der EU. Während viele Regulierungsanforderungen primär dokumentarischer Natur sind, geht DORA deutlich weiter: Die Verordnung verlangt echte, nachweisbare operationale Resilienz – die Fähigkeit, Angriffe und Ausfälle nicht nur zu verhindern, sondern auch zu überstehen.

Die fünf Säulen von DORA

1. IKT-Risikomanagement: Unternehmen müssen einen umfassenden Rahmen für das Management von IKT-Risiken (Informations- und Kommunikationstechnologie) etablieren, der alle Assets, Abhängigkeiten und potenzielle Auswirkungen von Ausfällen oder Angriffen erfasst.

2. Incident Reporting: DORA schreibt strenge Meldepflichten für IKT-bezogene Vorfälle vor. Schwerwiegende Vorfälle müssen innerhalb von 4 Stunden (Erstmeldung), 72 Stunden und 30 Tagen an die zuständige Behörde gemeldet werden. Dafür braucht man funktionierende Detektions- und Klassifizierungsprozesse.

3. Resilienz-Tests: DORA verpflichtet bedeutende Finanzunternehmen zu regelmäßigen Threat-Led Penetration Tests (TLPT) – Penetrationstests, die auf realen Bedrohungsszenarien basieren, nicht auf generischen Testplänen.

4. Third-Party-Risikomanagement: Finanzunternehmen müssen ihre Abhängigkeiten von IKT-Drittanbietern, insbesondere von kritischen Anbietern, systematisch managen. Für kritische Drittanbieter gilt dabei ein besonders strenger aufsichtsrechtlicher Rahmen.

5. Informationsaustausch: DORA fördert aktiv den Austausch von Bedrohungsintelligenz zwischen Finanzunternehmen – ein Aspekt, der in vielen DORA-Analysen unterrepräsentiert ist, aber erhebliche praktische Vorteile bieten kann.

Was DORA von NIS2 unterscheidet

Beide Regulierungen adressieren Cyberresilienz, aber DORA ist sektorspezifisch und in vielen Aspekten strenger. Wichtig: DORA und NIS2 schließen sich nicht gegenseitig aus – Finanzunternehmen, die unter DORA fallen, müssen auch NIS2 beachten, sofern sie als wesentliche oder wichtige Einrichtung gelten. In der Praxis gilt: DORA-Compliance erfüllt in den relevanten Bereichen regelmäßig auch NIS2-Anforderungen, aber nicht automatisch alle.

Externe Bedrohungsüberwachung unter DORA

Ein Aspekt, der unter DORA besonders relevant ist: die kontinuierliche Überwachung des externen Bedrohungsumfelds. DORA verlangt, dass Finanzunternehmen aktuelle Kenntnisse über die Bedrohungslage haben, die ihre kritischen Systeme betreffen. Das umfasst auch die Überwachung von Third-Party-Risiken in Echtzeit – nicht nur beim Onboarding eines neuen Lieferanten.

Hinweis: Dieser Artikel gibt einen allgemeinen Überblick. Eine auf Ihr Unternehmen zugeschnittene DORA-Compliance-Bewertung erfordert individuelle rechtliche und technische Beratung.