Der Digital Operational Resilience Act (DORA)
Mit dem Digital Operational Resilience Act (DORA) hat die Europäische Union ein neues rechtliches Rahmenwerk geschaffen, das die digitale Widerstandsfähigkeit des Finanzsektors deutlich erhöhen soll. Der Fokus von DORA liegt auf dem Ausbau der Fähigkeit von Unternehmen, Cyberangriffe, IT-Ausfälle und andere operationelle Risiken zu erkennen, abzuwehren und nachhaltig zu bewältigen.
Wen betrifft DORA?
DORA gilt für eine große Anzahl von Unternehmen, die im Finanzsektor tätig sind oder diesen unterstützen. Dazu gehören beispielsweise aber nicht abschließend:
- Kreditinstitute (Banken, Bausparkassen)
- Versicherungs- und Rückversicherungsunternehmen
- Wertpapierfirmen und Handelsplätze
- Zahlungs- und E-Geld-Institute
- Kryptodienstleister
- Ratingagenturen
- Cloud-Service-Provider, die kritische Dienste für Finanzunternehmen erbringen
Damit sind anders als vielerorts angenommen nicht nur klassische Finanzdienstleister betroffen, sondern auch IT-Dienstleister und Outsourcing-Partner von Finanzdienstleistern, die für den Betrieb von kritischen Prozessen ihrer Kunden notwendig sind.
Was sind die Anforderungen von DORA
- ICT-Risikomanagement: Ein strukturiertes Management von Risiken ist gefordert, die aus IT-Systemen, Netzwerken und Drittdienstleistern entstehen.
- Governance und Risiko-Management: Die Unternehmensführung muss die Verantwortung für das ICT-Risikomanagement tragen.
- Incident Reporting: Es bestehen Meldepflichten für schwerwiegende IT-Sicherheitsvorfälle (ähnlich NIS2 und DSGVO)
- Digital Operational Resilience Testing: Verpflichtende regelmäßige Tests zur Überprüfung der Resilienz sind obligatorisch.
- Third-Party Risk Management: Sorgfaltspflichten und Risikomanagement sowie vertragliche Anforderungen bei der Auslagerung von IT-Diensten.
Synergien mit ISO/IEC 27001
Unternehmen, die bereits ein Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27001 etabliert haben, sind klar im Vorteil. Viele Anforderungen von DORA überschneiden sich mit den Steuerungsmechanismen der ISO 27001, insbesondere bei Risikomanagement, Incident Handling und Lieferantensteuerung.
Ein ISO-27001-basiertes ISMS liefert somit eine perfekte Grundlage für die Umsetzung der regulatorischen Anforderungen und ermöglicht es, DORA-konforme Prozesse effizienter zu implementieren.
DORA vs. ISO/IEC 27001:2022 auf einen Blick

DORA wird für Finanzunternehmen und ihre IT-Dienstleister massive Auswirkungen haben. Organisationen, die bereits ein etabliertes ISMS nach ISO 27001 betreiben, können viele Anforderungen einfacher erfüllen. Dennoch bleibt ein erheblicher Zusatzaufwand, insbesondere bei regulatorischen Meldepflichten, Resilienztests und Drittanbietersteuerung.
Frühzeitiges Handeln ist entscheidend, um Compliance sicherzustellen und operative Risiken zu reduzieren.