Verordnung über digitale operationale Resilienz (DORA): Stärkung der Cybersicherheit im Finanzsektor

Cyberbedrohungen stellen ein wachsendes Risiko für die Finanzbranche dar und können ganze Systeme lahmlegen. Die Verordnung über digitale operationale Resilienz (DORA) ist Teil des digitalen Finanzpakets der EU. Sie legt klare Richtlinien zur Bewältigung von IKT-bezogenen Risiken und Vorfällen fest und führt umfassende Sicherheitsanforderungen ein, um die Widerstandsfähigkeit von Finanzunternehmen gegenüber Cyberangriffen zu stärken.

Inhalt

• Was ist DORA?
  
  
• Hauptziele von DORA
  
  
• Für wen gilt DORA?
  
  
• Wichtige Begriffe in DORA
  
  
• Zentrale Bereiche von DORA
  
  
• Herausforderungen bei der Umsetzung
  
  
• Notwendige Schritte für Finanzunternehmen
  
  

Was ist DORA?

DORA ist eine EU-Verordnung zur Stärkung der digitalen operationellen Resilienz des Finanzsektors durch robuste Cybersicherheitsanforderungen.
Sie ist Teil des umfassenderen Digital Finance Package, das ebenfalls umfasst:

• MiCA (Verordnung über Märkte für Krypto-Assets)
  
  
• DLT-Pilotregime (Regelwerk für blockchainbasierte Finanzinfrastrukturen)
  
  

Zeitplan der Umsetzung:

• Inkrafttreten: 16. Januar 2023
  
  
• Anwendbar ab: 17. Januar 2025
  
  

Derzeit regelt die NIS-Richtlinie (Richtlinie über Netz- und Informationssicherheit) die allgemeine Cybersicherheit in der EU. DORA wird jedoch die wichtigste Verordnung für digitale Sicherheit im Finanzsektor.

Hauptziele von DORA

DORA zielt darauf ab, die digitale Resilienz zu stärken, indem bestehende Vorschriften gebündelt und erweitert werden. Sie will:

• Ein einheitliches Cybersicherheitsrahmenwerk für Finanzinstitute in der EU schaffen
  
  
• Den Schutz vor Cyberbedrohungen durch klare Richtlinien zum IKT-Risikomanagement verbessern
  
  
• Die Meldung von Sicherheitsvorfällen standardisieren, um schnell auf Angriffe reagieren zu können
  
  
• Die Finanzstabilität sichern, indem Betriebsunterbrechungen minimiert werden
  
  
• Die Aufsicht über kritische IKT-Dienstleister stärken
  
  

DORA aktualisiert und vereint Anforderungen an das IKT-Risikomanagement, die bisher über verschiedene Gesetze verteilt waren.

Für wen gilt DORA?

DORA gilt für ein breites Spektrum an Finanzinstitutionen, darunter:

• Banken und Kreditinstitute
  
  
• Wertpapierfirmen und Zahlungsdienstleister
  
  
• Krypto-Asset-Dienstleister (CASPs)
  
  
• Börsen und Handelsplattformen
  
  
• Versicherungs- und Rückversicherungsunternehmen
  
  
• Fondsmanager und Renteneinrichtungen
  
  
• Crowdfunding-Plattformen
  
  
• Ratingagenturen
  
  
• Wirtschaftsprüfungsgesellschaften
  
  
• Drittanbieter von IKT-Diensten (z. B. Cloud-Dienste, Datenanalytik, Cybersicherheitsfirmen)
  
  

Diese breite Anwendbarkeit stellt sicher, dass alle Finanzakteure und ihre Technologiepartner strenge Sicherheitsstandards einhalten.

Wichtige Begriffe in DORA

DORA führt präzise Begriffsdefinitionen ein:

• Digitale operationale Resilienz: Fähigkeit von Finanzunternehmen, ihre IKT-Systeme zu schützen, aufrechtzuerhalten und gleichzeitig qualitativ hochwertige Dienstleistungen bereitzustellen
  
  
• IKT-bezogener Vorfall: Jedes unerwartete Ereignis (böswillig oder unbeabsichtigt), das Netzwerksicherheit stört und den Betrieb beeinflusst
  
  
• IKT-Risiko: Potenzielles Problem wie Systemausfall, Cyberangriff, unbefugter Zugriff oder Datenpanne, das die Finanzdienstleistung gefährdet
  
  
• IKT-Drittanbieter: Externe Unternehmen, die digitale oder datenbezogene Dienstleistungen bereitstellen (z. B. Cloud-Services), die für Finanzunternehmen als kritisch gelten
  
  

Zentrale Bereiche von DORA

DORA deckt fünf zentrale Bereiche der Cybersicherheit ab:

1. IKT-Risikomanagement

Finanzinstitute müssen umfassende Sicherheitsstrategien entwickeln und umsetzen:

• Regelmäßige Risikoanalysen
  
  
• Systeme zur frühzeitigen Erkennung von Cyberbedrohungen
  
  
• Backup- und Wiederherstellungspläne
  
  
• Jährliche Sicherheitsüberprüfungen
  
  
• Sicherheitsprinzipien „by design“ in digitalen Systemen
  
  
• Obligatorische Cybersicherheitsschulungen für Mitarbeitende und Führungskräfte
  
  

2. Meldung und Reaktion auf IKT-Vorfälle

DORA verpflichtet Unternehmen zu:

• Überwachung und Dokumentation von Sicherheitsvorfällen
  
  
• Einstufung nach Schwere und Auswirkung
  
  
• Meldung schwerwiegender Vorfälle an Aufsichtsbehörden mittels strukturierter Berichte (Erst-, Zwischen- und Abschlussbericht)
  
  

3. Test der Cyberresilienz

Alle Finanzinstitute müssen jährlich ihre Sicherheitsmaßnahmen testen, darunter:

• Netzwerksicherheitsaudits
  
  
• Penetrationstests (Pflicht für mittlere und große Unternehmen)
  
  
• Szenariobasierte Simulationen von Cyberangriffen
  
  

4. Management von IKT-Drittanbietern

Da viele Unternehmen auf externe IT-Dienstleister angewiesen sind, fordert DORA:

• Strenge Bewertungen der Anbieter
  
  
• Verträge mit klaren Sicherheitsverpflichtungen
  
  
• Ausstiegsstrategien für den Fall von Ausfällen
  
  
• Aufsicht über besonders wichtige Anbieter
  
  

5. Informationsaustausch über Cyberbedrohungen

DORA ermutigt, aber verpflichtet nicht zur Zusammenarbeit:

• Austausch von Bedrohungsindikatoren und Angriffsmethoden
  
  
• Meldung von Schwachstellen
  
  
• Weitergabe von Best Practices zur Risikominderung
  
  

Herausforderungen bei der Umsetzung von DORA

Die Einführung von DORA bringt verschiedene Herausforderungen mit sich:

• Abbau regulatorischer Überschneidungen mit bestehenden Gesetzen (z. B. NIS2, DSGVO, EBA-Richtlinien)
  
  
• Grenzüberschreitende Umsetzung in mehreren EU-Staaten
  
  
• Steigende Umsetzungskosten durch neue Sicherheitsmaßnahmen
  
  
• Fachkräftemangel im Bereich Cybersicherheit
  
  

Trotz dieser Herausforderungen strebt DORA ein sicheres digitales Finanzumfeld mit einheitlichen Standards an.

Notwendige Schritte für Finanzunternehmen

Um sich auf DORA vorzubereiten, sollten Unternehmen:

Cybersicherheitsrichtlinien aktualisieren

• Bestehende IKT-Risikomanagementprozesse überprüfen
  
  
• Reaktionsstrategien für Sicherheitsvorfälle stärken
  
  
• Richtlinien an DORA-Vorgaben anpassen
  
  

Regelmäßige Sicherheitsüberprüfungen durchführen

• Jährliche Penetrationstests und Audits
  
  
• Kritische Schwachstellen identifizieren und beheben
  
  

Risikomanagement bei Drittanbietern verbessern

• Alle IKT-Dienstleister bewerten
  
  
• Verträge nach DORA-Anforderungen überarbeiten
  
  
• Notfallpläne für Ausfälle externer Anbieter erstellen
  
  

Meldeprotokolle implementieren

• Klare Klassifizierungs- und Meldeverfahren definieren
  
  
• Kommunikationsstrategien für Behörden und Kunden festlegen
  
  

Mitarbeiterschulungen sicherstellen

• Verpflichtende Schulungen zu Cybersicherheit
  
  
• Bewusstsein für Bedrohungen und Sicherheitspraktiken fördern
  
  

Unternehmen müssen die Einhaltung von DORA bis Januar 2025 sicherstellen.

Fazit

DORA schafft einen robusten Cybersicherheitsrahmen zur Stärkung der digitalen Resilienz im Finanzsektor. Durch klare Vorschriften zu IKT-Risiken, Vorfallmeldungen und Drittanbieterkontrolle schützt die Verordnung Finanzinstitutionen vor Cyberbedrohungen und erhöht die Stabilität des Marktes. Obwohl die Umsetzung anspruchsvoll ist, stärkt DORA die Widerstandsfähigkeit des Finanzsektors gegenüber Angriffen und fördert Sicherheit, Transparenz und Vertrauen in die digitale Wirtschaft der EU.