News

DORA-Regulation: Was ist der Digital Operational Resilience Act?

Die Bedeutung von DORA – Nur eine Frage der Compliance?

In einer Welt, die immer stärker von digitaler Technologie durchdrungen ist, wird der Schutz vor Cyber-Bedrohungen zu einer entscheidenden Säule für das reibungslose Funktionieren unserer Gesellschaft. Um diesem wachsenden Bedarf gerecht zu werden, hat das Europäische Parlament das EU-Recht um wegweisende neue Vorschriften im Bereich Cybersicherheit erweitert - den Digital Operational Resilience Act (DORA). Cybersicherheit umfasst alle Maßnahmen, die notwendig sind, um Netz- und Informationssysteme, deren Nutzer sowie alle anderen von Cyberbedrohungen betroffenen Personen zu schützen.


Was ist DORA?

Der Digital Operational Resilience Act, oder auch DORA-Verordnung (2022/2554), trat mit dem 17. Januar 2023 direkt in allen EU-Mitgliedsstaaten in Kraft, musste somit nicht erst in nationales Recht umgesetzt werden. Ab dem 17. Januar 2025 ist sie nun auch anzuwenden. Die Verordnung gilt für nahezu alle Organisationen im Finanzsektor.

Das Ziel der DORA-Regulation besteht darin, das Cybersicherheitsniveau der Finanzbranche innerhalb der EU zu vereinheitlichen und zu erhöhen, um die Fähigkeit Schäden durch Cyberangriffe Stand zu halten und zu stärken (Resilienz, oder Widerstandsfähigkeit).


Was bedeutet DORA für das Finanzwesen?

Große Banken und andere Unternehmen im Finanzsektor betreiben schon länger organisatorische Prozesse und IT-Systeme zur Erhöhung der Sicherheit und Resilienz und haben entsprechende Ressourcen bereitgestellt. Jedoch, insbesondere bei kleinen und mittelgroßen Organisationen, stellt die Einhaltung der gesetzlichen Mindestvorgaben aus DORA und begleitenden Standards oft den Anfang einer strukturierten Auseinandersetzung mit Cybersicherheit und IT-Resilienz dar.

Die DORA-Regulierung bietet einen breiten Rahmen, mit dessen Hilfe bisher nicht berücksichtigte Bereiche auch außerhalb der IT (sogenannte „blinde Flecken“) oft zum ersten Mal in den Fokus des Informationssicherheitsmanagements (ISMS) rücken. Denn Cybersicherheit ist schon lange nicht mehr nur ein technisches IT-Thema, sondern erfordert mittlerweile die aktive Beteiligung der gesamten Organisation – von der Technik über die Geschäftsprozesse und den Vertrieb bis hin zur Geschäftsführung.

Wer Ressourcen langfristig effektiv einsetzen muss, ist gut beraten von Anfang an nicht nur auf die Einhaltung von Gesetzen und Standards zu achten. Denn Compliance bedeutet nicht automatisch auch Sicherheit vor Diebstahl, Manipulation und Veröffentlichung geschäftskritischer Informationen oder negativen Schlagzeilen mit großer Medienreichweite. Aus diesem Grund hat der Gesetzgeber den Vorgaben aus dem Digital Operational Resilience Act auch einen risikobasierten Ansatz zugrunde gelegt. Demzufolge können betroffene Einrichtungen unter Berücksichtigung der Wahrscheinlichkeit des Eintretens von Sicherheitsvorfällen und deren Schwere (inkl. gesellschaftlichen und wirtschaftlichen Auswirkungen) selbst über angemessene und verhältnismäßige technische, operative und organisatorische Maßnahmen entscheiden.

Auf diese Weise soll der effektive Aufbau widerstandsfähiger Systeme begünstigt werden und nicht die effiziente Befolgung starrer Vorgaben. Denn effektive Informationssicherheitskontrollen verlangsamen das Geschäft nicht, sondern ermöglichen erst – wie die Bremsen eines Autos – ein schnelleres und sichereres Fahren in eine digitale Zukunft.


Wer ist vom Digital Operational Resilience Act betroffen?

DORA gilt für alle in der EU tätigen Finanzinstitute (FI). In den direkten Geltungsbereich der Regulierung fallen konkret (Artikel 2 Absatz 1 DORA):

a) CRR-Kreditinstitute,
b) Zahlungsinstitute,
c) Kontoinformationsdienstleister,
d) E-Geld-Institute,
e) Wertpapierfirmen,
f) Anbieter von Krypto-Dienstleistungen, die gemäß der Verordnung des Europäischen Parlaments und des Rates über Märkte von Krypto-Werten (MiCAR) zugelassen sind, und Emittenten wertreferenzierter Token,
g) Zentralverwahrer,
h) zentrale Gegenparteien,
i) Handelsplätze,
j) Transaktionsregister,
k) Verwalter alternativer Investmentfonds,
l) Verwaltungsgesellschaften
m) Datenbereitstellungsdienste,
n) Versicherungs- und Rückversicherungsunternehmen,
o) Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit,
p) Einrichtungen der betrieblichen Altersversorgung,
q) Ratingagenturen,
r) Administratoren kritischer Referenzwerte,
s) Schwarmfinanzierungsdienstleister,
t) Verbriefungsregister,
u) IKT-Dienstleister.

Auch Organisationen, die nicht direkt in diese Arten von Unternehmen fallen, sondern als Zulieferer oder Partner fungieren, können indirekt vom Digital Operational Resilience Act betroffen sein. Denn auch sie können potenzielle Einfallstore für Cyberangriffe darstellen.


Wesentliche Anforderungen und Pflichten von DORA

Betroffene Organisationen müssen umfangreiche Vorgaben an die Cybersicherheit erfüllen. Diese lassen sich im Wesentlichen in die folgenden 5 Säulen zusammenfassen:

A1d DORA 5 pillars v2
  • ICT-Risk Management: In der Säule IKT-Risikomanagement muss die Geschäftsführung sicherstellen, dass ein angemessener Rahmen geschaffen wird, um (unter anderem) Risiken der Cybersicherheit und Geschäftskontinuität angemessen zu identifizieren und durch Maßnahmen effektiv zu mindern.
  • ICT Incident Reporting: Unter der Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle wird festgelegt, dass die Organisation in der Lage sein muss, Bedrohungen in ihrer IKT-Landschaft zeitnah zu erkennen und zu behandeln. Zudem müssen angemessene Prozesse und Verfahren etabliert sein, um sie betroffenen Dritten sowie der zuständigen Behörde zu kommunizieren. Die Meldefristen sehen eine zeitnahe Erstmeldung innerhalb von maximal 24 Stunden ab Erkennung des Vorfalls sowie 72 Stunden bis zur Übermittlung einer detaillierteren Zwischenmeldung vor.
  • Digital Resilience Training: Unter Tests der operationalen/digitalen Resilienz sind Vorgaben definiert, welche periodische Tests der Systeme und Prozesse vorschreiben, z.B. Schwachstellenprüfungen, Penetrationstests und Übungen von Prozessen wie der Behandlung von Vorfällen oder Krisenübungen.
  • Third Party Risk Management: Um die Resilienz gegen digitale Störungen und Cyber-Risiken zu gewährleisten, müssen Abhängigkeiten von externen IKT-Dienstleistern systematisch gemanagt werden. Dabei stehen insbesondere die Identifikation kritischer Drittanbieter, die Implementierung vertraglicher und sicherheitsrelevanter Standards sowie die kontinuierliche Überwachung und das Risikomanagement im Vordergrund.
  • Threat Intelligence Sharing: Um die „Situational Awareness“ stetig zu verbessern ist ein freiwilliger Austausch von Informationen und Erkenntnissen zwischen Finanzunternehmen vorgesehen. Dies wird durch sektorübergreifende Krisenmanagement- und Notfallübungen zur Verbesserung der Kommunikation und Stärkung der Resilienz im Finanzsektor ergänzt.


Die Fristen der DORA-Regulation im Überblick

Der Digital Operational Resilience Act ist am 16. Januar 2023 in Kraft getreten und gibt eine Umsetzungsfrist von zwei Jahren vor. Bereits im Laufe des Jahres 2024 wurden wichtige technische Regulierungsstandards (RTS) und Durchführungsstandards (ITS) veröffentlicht:

  • 1. Halbjahr 2024: Erste Standards wie das IKT-Risikomanagement, die Operative Sicherheit, die Klassifizierung von ICT-Vorfällen und das ICT-Drittparteirisikomanagement.
  • Halbjahr 2024: Weitere Standards, u. a. die Meldung von ICT-Vorfällen, Vorgaben zur Resilienzprüfung und Vorgaben für Sub-Outsourcing-Vereinbarungen.

Die Implementierungsfrist von DORA gilt bis Januar 2025. Das bedeutet, dass die Finanzinstitute alle Anforderungen des Digital Operational Resilience Acts bis zu diesem Zeitpunkt vollständig erfüllt haben sollten.


Ein möglicher Lösungsansatz

DORA stellt betroffene Organisationen vor große Herausforderungen, bietet aber auch die Gelegenheit, die eigene Cybersicherheit erheblich zu verbessern. Ein ganzheitlicher Ansatz, der sowohl über die IT hinausgeht als auch risikobasierte Entscheidungsgrundlagen bereitstellt ermöglichen es Organisationen, nicht nur die Anforderungen der DORA-Regulierung zu erfüllen, sondern auch ihre Widerstandsfähigkeit zu stärken.

Zur praktischen Umsetzung dieses ganzheitlichen Ansatzes, empfehlen wir ein strukturiertes, regelmäßiges und selbst-verbesserndes Vorgehen zu wählen. Hierfür bieten etablierte Cybersicherheitsstandards, wie z.B. ISO 27001, einen Plan-Do-Check-Act-Zyklus, mit dem das Management-System aus Richtlinien, Risikomanagement, Maßnahmen und Überprüfungen regelmäßig durchgeführt wird. Hierbei werden Schwächen in Prozessen sowie organisatorischen und technischen Maßnahmen erkannt und die Risiken für die Organisation sowie verbessernde Schritte abgeleitet.

A1d identify gaps v2

Da die Planung und Einführung dieses Management-Systems einen wesentlichen Mehraufwand bedeutet, kann Sie A1 Digital mit der Dienstleistung des „CISO-as-a-Service“ begleiten. Unsere Chief Information Security Officers (CISOs) verfügen über jahrelange praktische Berufserfahrung und aktuelle sicherheitsspezifische Ausbildungen, um Sie professionell zu unterstützen. Ob der „CISOaaS“ für Sie alle cybersicherheitsrelevanten Aufgaben übernimmt oder Sie nur punktuell bei einzelnen Themen unterstützt, können Sie individuell mit uns vereinbaren – ganz nach Ihren Wünschen und Ihrem Budget.

Ergänzend zu unserem holistischen CISOaaS bieten wir weiterführende technische Lösungen und spezifische Beratungsdienstleistungen zur Umsetzung von Maßnahmen für alle 5 Säulen der DORA:

  1. IKT-Risikomanagement:
    1. Trainingskonzepte sowie Durchführung von Cybersicherheitstrainings für alle relevanten Zielgruppen (Geschäftsführung, Mitarbeitende, spezielle Gruppen wie z.B. Systemadministratoren, Softwareentwickler)
  2. Behandlung von IKT-Vorfällen:
    1. Incident Response Services von unserem Partner Ikarus
    2. Beratung in der Erstellung von Incident Response Prozessen sowie Notfallplänen
  3. Testen der operationalen Resilienz:
    1. Bedrohungsorientierte Penetrationstests (TLPT)
    2. Unterstützung bei der Planung und Durchführung von Planspielen zum Test der Incident- und Notfallprozesse
  4. Drittparteien-Risikomanagement:
    1. für DE 🡪 BSI Cyber Risiko Check nach DIN SPEC 27076
    2. für AT 🡪 Cyber Risk Rating A+ mit unabhängigem Audit durch A1 Digital für kritische Lieferanten für Österreich
  5. Austausch von Threat Intelligence:
    1. Ihre Threat Intelligence kann mittels Offensity durch automatisierte Sicherheitsprüfungen ihrer Web-basierten Assets, Account Leakage Monitoring inkl. individueller Sicherheitsberichte aufgewertet werden.

Weitere EU-Rechtsvorschriften im Bereich Cybersicherheit

Um die Cyberabwehrfähigkeit zu fördern und die Cyberkriminalität zu bekämpfen, hat der EU-Gesetzgeber, neben dem Digital Operational Resilience Act, weitere Rechtsvorschriften im Bereich Cybersicherheit erlassen. Dazu zählen insbesondere die folgenden:

A1d EU legislation at a glance v4

A1 Digital begrüßt DORA

A1 Digital sieht die DORA-Verordnung als wichtigen Schritt zur Steigerung des Gesamtniveaus der Cybersicherheit in der EU. Wir helfen Organisationen dabei, ihre Risiken zu verstehen und ihre Risikomanagementmaßnahmen aktiv zu treiben. Dazu entwickeln wir Lösungen, die auf die individuellen Bedürfnisse jeder Organisation zugeschnitten sind.