Schließen
Schließen

DORA (Digital Operational Resilience Act)

DORA (Digital Operational Resilience Act)

Der Digital Operational Resilience Act, kurz DORA, ist eine verbindliche Verordnung der Europäischen Union. Die Verordnung (EU) 2022/2554 schafft einen einheitlichen Rechtsrahmen für die digitale operationale Resilienz im Finanzsektor. Ziel ist es, Finanzunternehmen in Europa widerstandsfähiger gegenüber IKT-Risiken, Cyberangriffen und schwerwiegenden operativen Störungen zu machen.

DORA verpflichtet betroffene Finanzunternehmen nicht nur dazu, IKT-Risiken präventiv zu steuern und Sicherheitsmaßnahmen umzusetzen. Sie müssen auch in der Lage sein, auf IKT-bezogene Vorfälle angemessen zu reagieren, den Geschäftsbetrieb aufrechtzuerhalten und sich nach Störungen kontrolliert wiederherzustellen.

Im Fokus stehen insbesondere IKT-Risikomanagement, Meldung und Behandlung IKT-bezogener Vorfälle, Tests der digitalen operationalen Resilienz, Management von IKT-Drittparteienrisiken sowie der Umgang mit kritischen IKT-Drittdienstleistern.

Abgrenzung zu NIS-2 und branchenübergreifende Reichweite 

DORA wird häufig im Zusammenhang mit der europäischen NIS‑2-Richtlinie genannt, unterscheidet sich jedoch durch seinen sektorspezifischen Fokus auf den Finanzsektor. DORA gilt gemäß Art. 1 Abs. 2 der Verordnung als sektorspezifischer Rechtsakt der Europäischen Union im Sinne von Art. 4 NIS‑2. Dadurch gehen die DORA-Regelungen in den von ihr erfassten Bereichen den allgemeineren NIS‑2-Vorgaben vor, insbesondere beim IKT-Risikomanagement und bei der Meldung erheblicher IKT-bezogener Vorfälle, soweit die Anforderungen mindestens gleichwertig sind.

Eine weitere Besonderheit ist die starke Reichweite in die IKT-Lieferkette. DORA verpflichtet Finanzunternehmen zu einem strukturierten Management von IKT-Drittparteienrisiken. Dazu gehören unter anderem Anforderungen an vertragliche Vereinbarungen mit IKT-Drittdienstleistern, Informationsregister, Überwachung der Dienstleisterrisiken sowie Exit-Strategien für IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen.

Darüber hinaus schafft DORA einen europäischen Überwachungsrahmen für kritische IKT-Drittdienstleister. Dieser betrifft insbesondere Anbieter, die von den europäischen Aufsichtsbehörden als kritisch für den Finanzsektor eingestuft werden. Dazu können je nach Einzelfall beispielsweise Cloud-Anbieter, Rechenzentren oder andere zentrale IKT-Dienstleister zählen. Nicht jeder externe IT-Dienstleister unterliegt automatisch diesem direkten Aufsichtsrahmen; viele Anforderungen wirken jedoch mittelbar über Vertrags-, Nachweis- und Kontrollpflichten der regulierten Finanzunternehmen.

Zentrale Regelungsbereiche der DORA-Verordnung

Um die digitale operationale Widerstandsfähigkeit im Finanzsektor zu stärken, bündelt DORA mehrere zentrale regulatorische Anforderungen. Im Mittelpunkt stehen insbesondere IKT-Risikomanagement, der Umgang mit IKT-bezogenen Vorfällen, Tests der digitalen operationalen Resilienz sowie das Management von IKT-Drittparteienrisiken. Ergänzend enthält DORA Vorgaben zum Überwachungsrahmen für kritische IKT-Drittdienstleister sowie zum Informationsaustausch und zu Cyberkrisen- bzw. Notfallübungen.

  • IKT-Risikomanagement: Finanzunternehmen müssen einen wirksamen, umfassenden und dokumentierten IKT-Risikomanagementrahmen etablieren. Dieser soll IKT-Risiken systematisch identifizieren, bewerten, steuern und überwachen und die digitale operationale Resilienz des Unternehmens sicherstellen. Dazu gehören unter anderem Governance, Schutz- und Präventionsmaßnahmen, Erkennung, Reaktion, Wiederherstellung, Backup, Kommunikation und kontinuierliche Verbesserung.
  • Meldewesen für IKT-Vorfälle: DORA enthält Vorgaben zur Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle. Finanzunternehmen müssen schwerwiegende IKT-Vorfälle strukturiert bewerten und an die zuständigen Aufsichtsbehörden melden.
  • Digitale Resilienz-Tests: Finanzunternehmen müssen ein risikobasiertes Testprogramm für die digitale operationale Resilienz etablieren. Für IKT-Systeme und Anwendungen, die kritische oder wichtige Funktionen unterstützen, sind mindestens jährlich angemessene Tests vorgesehen. Mögliche Testarten sind unter anderem Schwachstellenbewertungen, Scans, Gap-Analysen, szenariobasierte Tests, Netzwerksicherheitsbewertungen und Penetrationstests.
  • Threat-Led Penetration Testing: Für bestimmte, von der Aufsicht ermittelte Finanzunternehmen sieht DORA zusätzlich erweiterte bedrohungsorientierte Penetrationstests vor. Diese TLPT-Tests sind nach Art. 26 DORA mindestens alle drei Jahre durchzuführen und betreffen mehrere oder alle kritischen bzw. wichtigen Funktionen des Finanzunternehmens.
  • Management des IKT-Drittparteienrisikos: Finanzunternehmen müssen Risiken aus externen IKT-Dienstleistungen über den gesamten Lebenszyklus steuern – von Risikoanalyse und Due Diligence über Vertragsgestaltung und Überwachung bis hin zu Notfallplanung und Exit-Strategien. DORA verlangt zudem ein Informationsregister über IKT-Vertragsbeziehungen.
  • Kritische IKT-Drittdienstleister: Für als kritisch eingestufte IKT-Drittdienstleister schafft DORA einen europäischen Überwachungsrahmen. Im Fokus stehen Dienstleister, deren Störungen systemische Auswirkungen auf Stabilität, Kontinuität oder Qualität der Finanzdienstleistungen haben könnten.

Unternehmerische Relevanz und strategische Umsetzung 

Seit dem 17. Januar 2025 ist DORA für betroffene Finanzunternehmen verbindlich anzuwenden. Die Verordnung macht digitale operationale Resilienz zu einem zentralen Bestandteil regulatorischer Unternehmenssteuerung im Finanzsektor. Im Fokus stehen insbesondere IKT-Risikomanagement, die Behandlung und Meldung IKT-bezogener Vorfälle, Resilienztests, IKT-Drittparteienrisikomanagement sowie der Überwachungsrahmen für kritische IKT-Drittdienstleister.

Bei Verstößen können aufsichtsrechtliche Maßnahmen und Sanktionen drohen. Für kritische IKT-Drittdienstleister sieht DORA insbesondere einen europäischen Überwachungsrahmen mit Informations-, Kontroll- und Prüfrechten sowie zwangsgeldbewehrten Befugnissen vor. Die konkrete Sanktionierung von Finanzunternehmen richtet sich ergänzend nach den jeweiligen nationalen Durchsetzungs- und Sanktionsregelungen.

Die Umsetzung dieser prozess- und nachweisgetriebenen Anforderungen erfordert ein abgestimmtes Zusammenspiel von IT-Sicherheit, rechtlicher Compliance, technischem Monitoring, Notfallmanagement und Dienstleistersteuerung. Bei der Härtung von IT-Architekturen, dem Aufbau von IKT-Risikomanagement- und ISMS-nahen Strukturen sowie der Vorbereitung auf Resilienztests und Nachweispflichten kann MR Datentechnik betroffene Unternehmen und Dienstleister strategisch und technisch unterstützen.