Illustration Absmeier foto freepik

Der Digital Operational Resilience Act (DORA) wurde von der Europäischen Union im Jahr 2022 verabschiedet. Ziel des Gesetzes ist es, grundlegende Lücken innerhalb der bereits bestehenden Vorgaben für den Banken- und Finanzdienstleistungssektor zu schließen. Insbesondere in Bezug auf die operationelle Resilienz. Bislang waren Banken und Finanzdienstleister zwar dafür verantwortlich, andere Arten von operationellen Risiken zu senken, nicht aber für solche in Zusammenhang mit der Informations- und Kommunikationstechnologie (IKT). DORA umreißt unterschiedliche Regeln zum Schutz, zur Erkennung, Eindämmung, Wiederherstellung und Behebung von IKT-bezogenen Vorfällen.

Für die betroffenen Organisationen – alle in der EU tätigen Finanzinstitute – gilt es, die DORA-Vorgaben zu erfüllen und über die Zeit aufrechterhalten. Die Branche sollte ein grundlegendes Verständnis dafür entwickeln, worum es in diesem Gesetz genau geht, welche Anforderungen im Einzelnen damit verbunden sind und wie man sie am besten umsetzt.

DORA – Die wichtigsten Punkte auf einen Blick

Ähnlich wie andere auf Cybersicherheit ausgerichtete Vorgaben, etwa die DSGVO und NIS2, zielt auch DORA darauf ab, bestimmte Vorgaben zu standardisieren und zu kodifizieren. Der Vorschlag erweitert die bestehenden Vorschriften (wie MaRisk/MaGo/KAMaRisk, BAIT/ VAIT/ KAIT usw.) und legt einen besonderen Schwerpunkt auf die Anforderungen in Bezug auf Cybersicherheit und andere digitale Risiken.

Die bislang geltenden Vorschriften hatten sich als unzureichend erwiesen, weil konkrete Richtlinien für die IKT-Sicherheit fehlten. Dazu kommen unterschiedliche Sicherheitsvorschriften für den Finanzsektor in verschiedenen Mitgliedsstaaten. Es fehlte also eine EU-weite Standardisierung. DORA wurde ins Leben gerufen, um die Vorgaben für IKT-Sicherheit zu konkretisieren und zu vereinheitlichen. Zu den Schlüsselelementen gehören die Harmonisierung der Vorschriften für das Risikomanagement der Informations- und Kommunikationstechnologie (IKT), die Meldung von Sicherheitsvorfällen, Tests und Prüfungen sowie die Berichterstattung und das Management von IT-Drittanbietern.

Der ursprünglich lediglich 20-seitige Vorentwurf wurde in den technischen Regulierungsstandards (RTS) und den technischen Durchführungsstandards (ITS) von DORA im Hinblick auf detaillierte und konkrete Anforderungen erweitert. RTS und ITS sollen zukünftig als Leitlinien für die Branche dienen.

Der Geltungsbereich von DORA geht allerdings über die in der EU tätigen Finanzinstitute hinaus. Das Gesetz betrifft ebenfalls solche, die kritische IKT-Dienstleistungen für Organisationen des Finanzsektors in der EU erbringen. Das bedeutet, dass auch nicht in der EU tätige Unternehmen betroffen sein können, ebenso wie solche aus anderen Branchen. Es ist im Übrigen nicht ungewöhnlich, dass Rechtsvorschriften, die ihren Ausgang in der EU nehmen, sich auf externe Organisationen, auch weltweit, ausdehnen, sobald sie als EU-Standard Gültigkeit erlangt haben.

Die DORA-Anforderungen gelten nach dieser Definition für über 22.000 in der EU tätige Finanzunternehmen. Dazu zählen im Einzelnen Kredit- und Zahlungsinstitute, Kontoinformationsdienstleister, E-Geld-Institute, Wertpapierfirmen, Anbieter von Krypto-Dienstleistungen, Zentralverwahrer, aber auch Ratingagenturen, Handelsplätze, Transaktionsregister, Datenbereitstellungsdienste sowie Versicherungs- und Rückversicherungsunternehmen und Einrichtungen der betrieblichen Altersversorgung.

Zusätzlich schafft DORA einen Rechtsrahmen für die digitale operative Resilienz. Alle betroffenen Unternehmen müssen sich an die Vorschriften und den vorgegebenen Rahmen halten und gewährleisten, dass sie in der Lage sind, »allen Arten von IKT-bezogenen Störungen und Bedrohungen standzuhalten, darauf zu reagieren und sich davon zu erholen«.

DORA im Detail

Bevor wir uns mit den Einzelheiten befassen, ist es wichtig, einige der wichtigsten Bestimmungen, Anforderungen und Empfehlungen von DORA zu verstehen. Das Gesetz findet ab dem 17. Januar 2025 Anwendung und legt die Anforderungen an die digitale Widerstandsfähigkeit fest.

Nach diesem Datum können Finanzinstitute bei Nichteinhaltung mit empfindlichen Strafen belegt werden, etwa Geldbußen von bis zu fünf Millionen Euro. Je nach Verstoß können auch strafrechtliche Sanktionen und individuelle Bußgelder verhängt werden. Diese sind durchaus geeignet, die betroffenen Unternehmen und Organisationen existenziell zu gefährden. Die Branche sollte DORA trotzdem weniger als zusätzliche Belastung wahrnehmen, denn als Chance, digitale Resilienz aufzubauen und zu gewährleisten.

Das Gesetz enthält Regelungen und Empfehlungen zu einer Reihe von Themen im Bereich Cybersicherheit, darunter:

Incident Response/Vorfallsreaktion: Organisationen müssen Maßnahmen zur Überwachung, Protokollierung und Reaktion auf IKT-Sicherheitsvorfälle in Übereinstimmung mit bestimmten Standards implementieren, z. B. Maßnahmen zum Schutz vor E-Mail-Bedrohungen umsetzen.
Meldung von Vorfällen: Jeder Vorfall sowie Informationen über die Ursache und die Behebung müssen den zuständigen Stellen und den von einem Vorfall Betroffenen gemeldet werden, z. B. Regulierungsbehörden, Kunden und Partner. Geeignete Protokoll- und Monitoring-Lösungen können dazu beitragen, den Meldeprozess zu vereinfachen.
Risikomanagement: Betroffene Organisationen müssen umfassende IKT-Risikomanagementmaßnahmen und -praktiken einführen, einschließlich dem Mapping von IKT-Systemen, der Aufdeckung kritischer Bereiche und der kontinuierlichen Risikobewertung.
Governance: Innerhalb einer Organisation sind die jeweiligen Führungskräfte für das IKT-Management verantwortlich, einschließlich von Mitgliedern des Vorstands und der Geschäftsleitung; sie sind es auch, die bei Nichteinhaltung der Vorschriften zur Rechenschaft gezogen werden.
Risikomanagement bei Drittanbietern: Organisationen müssen gewährleisten, dass sie die Risiken, die mit bei Dritten eingesetzten Tools und Funktionen verbunden sind, aktiv senken. Dazu zählt es auch, die Beziehung zu Dritten zu dokumentieren und nur mit vertrauenswürdigen IKT-Anbietern zusammenzuarbeiten, die ebenfalls die DORA-Standards erfüllen.
Verträge: Verträge mit Drittanbietern müssen den DORA-Standards entsprechen, dies betrifft beispielsweise Regelungen für Audits sowie Leistungsziele in verschiedenen Bereichen.
Testen: Die betroffenen Unternehmen sind verpflichtet, regelmäßige Tests durchzuführen, um sicherzustellen, dass ihre IKT-Systeme gut geschützt sind. Mithilfe solcher Tests werden Sicherheitslücken und Schwachstellen aufgedeckt, damit sie anschließend zeitnah behoben werden können.
Austausch von Threat Intelligence-Daten: Auch wenn dies nicht ausdrücklich vorgeschrieben ist, ermutigt DORA die betroffenen Einrichtungen nachdrücklich, Vereinbarungen über den Austausch von Threat Intelligence-Daten zu treffen. So soll die Zusammenarbeit gefördert und die Sicherheit auf der Grundlage von Wissen über interne und externe Vorfälle verbessert werden. Daten wie sie eine Protokollierungs- oder Monitoring-Software liefert und die Berichterstattung zu Sicherheitsvorfällen, unterstützen auch andere Organisationen in ihren Bemühungen.

IKT-Risiken gemäß DORA managen

Gemäß DORA müssen die betroffenen Unternehmen Sicherheitslösungen und -richtlinien einführen, um das IKT-Risiko in Einklang mit den Bestimmungen zu managen. Der Finanzsektor ist wie das Gesundheitswesen und der Rechtsbereich eine Hochrisikobranche, die Cyberkriminelle häufig ins Visier nehmen und die gleichzeitig besonders strengen Sicherheitsstandards unterliegt.

Es gibt eine Vielzahl von Instrumenten und Maßnahmen, die Unternehmen nutzen können, um ihre IKT-Risiken besser zu managen und zu senken:

Effektive Security Awareness Trainings, die speziell wichtige Themenbereiche wie die Einhaltung regulatorischer Compliance und sichere E-Mail-Praktiken abdecken
Endpoint Detection and Response (EDR)-Lösungen für die schnelle Beseitigung potenzieller Bedrohungen
E-Mail-Sicherheitsmaßnahmen, um Angriffe und Verstöße zu verhindern sowie zum Herausfiltern verdächtiger und potenziell schädlicher Nachrichten, bevor sie in den Posteingang der Zielperson gelangen
Fördern Sie aktiv eine Cybersicherheits-Kultur und machen Sie deutlich, dass jeder einzelne Mitarbeitende zur Sicherheit von IKT-Ressourcen eines Unternehmens beiträgt.

Organisationen, die unter die DORA-Regelungen fallen, sollten ausschließlich mit zuverlässigen Drittanbietern für kritische IKT-Tools und -Dienstleistungen zusammenarbeiten. Das heißt, man sollte seine IKT-Anbieter entsprechend gründlich unter die Lupe nehmen und überprüfen, ob sie sich zur Einhaltung der Vorschriften verpflichten. Die Vertragswerke müssen so ausgehandelt werden, dass sie ebenfalls den DORA-Standards genügen. Die betroffenen Organisationen sollten sich nicht scheuen, bei Branchengremien und spezialisierten Juristen Rat zu suchen. Der Teufel steckt bekanntlich im Detail, das ist auch bei DORA nicht anders.

Jörn Koch, VIPRE Security Group

75 Artikel zu „DORA“

NEWS | IT-SECURITY | LÖSUNGEN | TIPPS

Welche Erkenntnisse sich aus der DSGVO für DORA und NIS2 einsetzen lassen

26. Mai 2024

Was mit der DSGVO begann, setzt die EU mit NIS2 und DORA konsequent fort. Sie reglementiert die Datenindustrie und die digitalen Prozesse vieler Firmen, um Daten und Netze robuster zu machen gegen Angriffe. Gleichzeitig lassen sich aus der Einführung der DSGVO einige wichtige Schlüsse zum Umgang mit den neuen Regeln für Unternehmen ziehen. Welche das…