Was ist DORA? Digital Operational Resilience Act

Was bedeutet DORA und welches Ziel verfolgt die EU-Verordnung?

Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung, die am 17. Januar 2023 in Kraft getreten ist und seit dem 17. Januar 2025 verbindlich angewendet wird. Anders als die NIS-2-Richtlinie gilt DORA als Verordnung unmittelbar in allen EU-Mitgliedstaaten und muss nicht erst in nationales Recht umgesetzt werden.

DORA schafft eine finanzsektorweite Regulierung für Cybersicherheit, IKT-Risiken und digitale operationale Resilienz. Dabei steht die Widerstandsfähigkeit gegenüber Cyberrisiken und Vorfällen der Informations- und Kommunikationstechnologie (IKT) im Vordergrund. Ziel ist es, Finanzunternehmen in die Lage zu versetzen, einem Cyberangriff standzuhalten und den operativen Betrieb auch während einer Attacke fortzuführen.

Anwendungsbereich von DORA: Welche Finanzunternehmen betroffen sind

Die Verordnung betrifft nahezu alle beaufsichtigten Finanzunternehmen des europäischen Finanzsektors – darunter:

• Kreditinstitute und Zahlungsinstitute
• Wertpapierfirmen und Versicherungen
• Anbieter von Krypto-Dienstleistungen
• Zentralverwahrer und Handelsplätze

In Deutschland sind über 3600 Unternehmen von der neuen Regelung betroffen. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) ist die zuständige Aufsichtsbehörde.

Verhältnis von DORA und NIS-2

DORA gilt als "Lex Specialis" zur NIS-2-Richtlinie und hat somit Vorrang vor NIS-2 im Finanzsektor. Finanzunternehmen, die unter DORA fallen, müssen demnach keine KRITIS-Meldungen zu Störungen gemäß § 8b Abs. 4 BSIG einreichen und benötigen auch keinen KRITIS-Nachweis gemäß § 8a Absatz 3 BSIG.

Bei Verstößen gegen die DORA-Verordnung drohen empfindliche Sanktionen – sowohl für Unternehmen als auch für natürliche Personen. Die Geldstrafen können bis zu einem Prozent des Jahresumsatzes der betroffenen Institution betragen.

Zentrale Anforderungen der DORA-Verordnung im Überblick

DORA stärkt die digitale operationale Resilienz im Finanzsektor durch fünf zentrale Anforderungsbereiche. Grundsätzlich verpflichtet die Verordnung Finanzunternehmen, einen umfassenden IKT-Risikomanagementrahmen zu etablieren. Dieser umfasst sechs Elemente: Identifizierung, Schutz und Prävention, Erkennung, Gegenmaßnahmen und Wiederherstellung sowie Lernen und Weiterentwicklung. Die Verantwortung liegt dabei beim Leitungsorgan des Unternehmens.

IKT-Risikomanagement als Kern der digitalen Resilienz

Entsprechend wichtig ist das Management IKT-bezogener Vorfälle. Finanzunternehmen müssen einen strukturierten Prozess zur Klassifizierung und Meldung von Vorfällen implementieren. Bei schwerwiegenden Vorfällen ist eine Meldung an die BaFin als zentralen Melde-Hub mit Erst-, Zwischen- und Abschlussmeldung verpflichtend.

Außerdem sieht DORA regelmäßige Tests der digitalen operationalen Resilienz vor. Diese reichen von Schwachstellenbewertungen bis hin zu Penetrationstests. Für bestimmte systemrelevante Unternehmen sind zusätzlich bedrohungsgeführte Penetrationstests (TLPT) mindestens alle drei Jahre durchzuführen.

Darüber hinaus müssen Finanzunternehmen ein solides IKT-Drittparteienrisikomanagement etablieren. Dieses erfordert eine vollständige Überwachung aller externen IKT-Dienstleister, ein Informationsregister sowie eine Ex-ante-Risikobewertung vor Vertragsabschluss.

Aufsicht über kritische IKT-Drittdienstleister in der EU

Insbesondere wird ein europäischer Überwachungsrahmen für kritische IKT-Drittdienstleister eingeführt. Die europäischen Aufsichtsbehörden haben bereits 19 systemrelevante Dienstleister identifiziert, die künftig unter direkter aufsichtlicher Überwachung stehen.

Diese fünf Säulen der DORA-Verordnung sollen zusammenwirken, um die Widerstandsfähigkeit des Finanzsektors gegen Cyberrisiken nachhaltig zu stärken.

Umsetzung von DORA in der Unternehmenspraxis

Die praktische Umsetzung der DORA-Anforderungen stellt Finanzunternehmen vor erhebliche Herausforderungen. Als wesentliches Element müssen Organisationen ein umfassendes IKT-Risikomanagement etablieren, das belastbare Systeme umfasst und die Auswirkungen von IKT-Risiken minimiert. Darüber hinaus sind Finanzunternehmen verpflichtet, sofortige Erkennungsmechanismen für anomale Aktivitäten einzurichten und umfassende Business-Continuity-Richtlinien zu implementieren.

Anpassung bestehender Prozesse und BAIT-Konformität

Die Praxis zeigt, dass zahlreiche Unternehmen bei der Umsetzung "Panikmache" vermeiden sollten. Tatsächlich baut DORA auf bestehenden Regelwerken wie BAIT auf und stellt eine evolutionäre Weiterentwicklung dar. Demnach sollten Institute, die bereits nach BAIT arbeiten, durch gezielte Anpassungen die DORA-Anforderungen erfüllen können.

Besonders herausfordernd ist die Vertragsanpassung mit IKT-Drittanbietern bis zum Stichtag 17. Januar 2025. Dies umfasst nicht nur Änderungen bestehender Klauseln, sondern auch neue Vertragsbestimmungen, beispielsweise zur Teilnahme von Dienstleistern an Sensibilisierungsprogrammen.

Folgende Aspekte sind bei der praktischen Umsetzung zu beachten:

• Nicht nur formale Programme durchführen, sondern auch die materielle Sicherheitsebene berücksichtigen
• Ausreichend qualifiziertes Personal für die Umsetzung bereitstellen
• Ein ganzheitlicher, nachhaltiger Ansatz statt schneller "Pseudo-Neuerfindungen"

Allerdings sollten Finanzunternehmen bedenken, dass DORA über mehrere Reifegradstufen erreicht wird. Dabei ist wichtiger, nachhaltig und konsequent "dranzubleiben", als einen einmaligen Kraftakt zu unternehmen.

DORA als strategische Chance für digitale Widerstandsfähigkeit

Die DORA-Verordnung stellt zweifellos einen Meilenstein für die digitale Sicherheitslandschaft des europäischen Finanzsektors dar. Finanzunternehmen müssen sich allerdings nicht vor dieser Regulierung fürchten. Vielmehr handelt es sich um eine konsequente Weiterentwicklung bestehender Rahmenwerke wie BAIT. Dementsprechend können Unternehmen, die bereits solide Sicherheitsstrukturen etabliert haben, diese gezielt ausbauen, anstatt komplett neue Systeme zu entwickeln.

Besonders wichtig erscheint dabei der ganzheitliche Ansatz von DORA. Die fünf Säulen – vom IKT-Risikomanagement bis zur Überwachung kritischer Drittdienstleister – greifen ineinander und schaffen ein umfassendes Sicherheitsgerüst. Finanzinstitute sollten daher ihren Fokus auf die Verknüpfung dieser Elemente legen, statt sie isoliert zu betrachten.

Der Weg zur vollständigen DORA-Konformität gleicht eher einem Marathon als einem Sprint. Unternehmen müssen verstehen, dass unterschiedliche Reifegradstufen zu durchlaufen sind und nachhaltige Implementierung wichtiger ist als kurzfristige Scheinlösungen. Die Anpassung bestehender Verträge mit IKT-Dienstleistern stellt dabei eine der größten praktischen Herausforderungen dar.

Obwohl die Sanktionen bei Verstößen empfindlich sein können, sollte dies nicht die Hauptmotivation sein. Stattdessen bietet DORA eine Chance, die eigene digitale Widerstandsfähigkeit grundlegend zu stärken und gleichzeitig das Vertrauen von Kunden und Partnern zu festigen.

Abschließend lässt sich sagen: DORA mag zunächst komplex und überwältigend wirken, doch mit systematischer Herangehensweise und qualifiziertem Personal können Finanzunternehmen nicht nur die regulatorischen Anforderungen erfüllen, sondern tatsächlich ihre operative Resilienz verbessern. Die eigentliche Herausforderung besteht nicht im einmaligen Erreichen der Konformität, sondern in der kontinuierlichen Weiterentwicklung und Anpassung an neue digitale Bedrohungen und Risiken.

SBS Legal - Anwalt für IT-Recht

Bei Fragen und Problemen im IT-Recht sind Sie bei uns an der richtigen Adresse!  So stehen wir Ihnen mit unseren Experten für IT-Recht jederzeit und gern zur Verfügung.

Sie haben noch Fragen zum IT-Recht?

Kontaktieren Sie uns gern auf einem unserer vielen verschiedenen Kontaktwege, wie das Direktkontaktformular, per Telefon oder E-Mail oder auch via anwalt.de oder auf Social Media bei Facebook, Instagram, Twitter oder auch Youtube.

Der Erstkontakt zu SBS LEGAL ist immer kostenlos.