powered by

Rubriken

Themen

Glossar

Digital.Now Glossar

News.Now

IT-Sicherheit

Ab 17. Januar: Neue DORA-Regularien für Finanzinstitute

Bis zum 17. Januar müssen die neuen DORA-Richtlinien auch in Deutschland umgesetzt werden. Ein finaler Check, ob auch alles aufsichtskonform stimmt.

17. Dezember 2024

3 Min. Lesezeit

Bild von Euro-Geldscheinen

Mit DORA (Digital Operational Resilience Act) zielt die EU darauf ab, einen universellen Rahmen für das Management und die Minderung von ICT-Risiken im Finanzsektor zu etablieren. Durch die Harmonisierung der Risikomanagementregeln in der gesamten EU beabsichtigt DORA, die Lücken, Überlappungen und Konflikte zu beseitigen, die zwischen unterschiedlichen Vorschriften in verschiedenen EU-Staaten entstehen könnten. Ein gemeinsamer Regelkatalog soll es für Finanzinstitutionen einfacher machen, die Vorschriften einzuhalten, während gleichzeitig die Widerstandsfähigkeit des gesamten EU-Finanzsystems verbessert wird. Jede Institution wird zukünftig denselben Standards unterliegen.

DORA gilt für alle Finanzinstitutionen in der EU. Das umfasst traditionelle Finanzakteure wie Banken, Investmentfirmen und Kreditinstitute sowie nicht-traditionelle Akteure, einschließlich Anbietern von Krypto-Asset-Dienstleistungen und Crowdfunding-Plattformen.

Als unabhängige Digitalisierungsberatung unterstützt valantic Unternehmen bei der Umsetzung von DORA: durch die gezielte Analyse von Schwachstellen, die Entwicklung von Maßnahmenplänen und praxisnahe Schulungen. Mit dem Ziel, Risiken zu minimieren und langfristige Resilienz aufzubauen.“

Thomas Lang, Partner und Geschäftsführer bei valantic
Porträt von Thomas Lang, Geschaeftsfuehrender Partner valantic Management Consulting GmbH

DORA gilt auch für Dienstleister, die üblicherweise von Finanzregulierungen ausgeschlossen sind. So müssen Drittanbieter, die Finanzunternehmen mit ICT-Systemen und -Diensten beliefern – wie Cloud-Dienstleister und Datenzentren – den DORA-Vorgaben folgen. DORA bezieht sich auch auf Unternehmen, die kritische Drittanbieter-Informationsdienste bereitstellen, wie Kreditbewertungsdienste und Anbieter von Datenanalysen.

Mit DORA wird anerkannt, in welchem Umfang Finanzdienstleistungen mittlerweile von digitaler Infrastruktur abhängen. Ein erfolgreicher Cyberangriff kann viele Personen, Organisationen, die Wirtschaft und die Gesellschaft insgesamt betreffen – und langfristige, kostspielige Auswirkungen haben. “

Michael Zajusch, Regional VP Sales DACH bei Barracuda
Michael Zajusch Barracuda

Konkret fordert DORA von betroffenen Unternehmen die Umsetzung folgender Maßnahmen bzw. das aktive Management von Prozessen:

  • IKT-Risikomanagement: Einführung eines Governance-Frameworks mit klaren Verantwortlichkeiten und einer spezifischen IKT-Risikokontrollfunktion.
  • Vorfallsmeldungen: Prozesse zur Meldung schwerwiegender IKT-Vorfälle innerhalb von vier Stunden, sowie regelmäßige Statusberichte.
  • Resilienztests: Regelmäßige Schwachstellenanalysen, bedrohungsorientierte Penetrationtests (sog. TLPT – Threat-Led Penentration Tests) für systemrelevante Unternehmen und jährliche Tests der Geschäftsfortführungspläne.
  • Drittparteienrisiken: Erstellung eines Informationsregisters und neue Mindestanforderungen an Drittanbieter-Verträge, z. B. Audit-Rechte und Exit-Strategien.
  • Notfallmanagement: Erweiterung der Szenarien auf Risiken wie Insider-Angriffe sowie jährliche Tests von Notfallplänen.
  • Betriebsstabilität: Kontinuierliche Aktualisierung von IKT-Systemen, um Stabilität auch in Krisenzeiten zu gewährleisten.
  • Informationsaustausch: Förderung des sektorenübergreifenden Austauschs von Informationen zur Resilienzsteigerung.
  • IT-Governance: Unternehmen sind verpflichtet, spezifische IT-Rollen wie die IKT-Risikokontrollfunktion einzuführen, die sich auf die Überwachung von IKT-Risiken konzentriert. Diese Rolle stellt sicher, dass eine klare Trennung von Verantwortlichkeiten und eine kontinuierliche Risikobewertung gewährleistet sind.

Kleinere Unternehmen mit einem begrenzten Risikoprofil können von einem vereinfachten Rahmen profitieren (Art. 16). Dieser reduziert den administrativen Aufwand, stellt jedoch sicher, dass grundlegende Resilienzmaßnahmen umgesetzt werden.

Die Frist für die Umsetzung endet am 17. Januar 2025. Ab diesem Datum sind Finanzunternehmen verpflichtet, alle Vorgaben vollständig einzuhalten. Führende Aufsichtsstellen können Bußgelder in Höhe von 1 % des durchschnittlichen weltweiten Tagesumsatzes des Anbieters im vorangegangenen Geschäftsjahr verhängen. Diese Strafen können täglich bis zu sechs Monate lang fortgesetzt werden, bis die Vorschriften eingehalten werden. Darüber hinaus sieht DORA vor, dass Mitglieder des Managements bei grober Fahrlässigkeit oder vorsätzlichen Verstößen persönlich haftbar gemacht werden können.

Mehr zum Thema

Logo von Google, Digital.Now Magazin: Wie Cyberkriminelle Google Forms für ihre Angriffe nutzen

News.Now

Wie Cyberkriminelle Google Forms für ihre Angriffe nutzen
Bild von einem IT-Spezialisten und einer Servertechnikerin im Rechenzentrum, IT-Sicherheit und Datenschutz

Insights.Now

Cyberattacken: Mehr als 220 Mrd. Euro Schaden pro Jahr
IT Etat Cybersecurity Digital Now Magazin

Facts.Now

Mehr Risiken, mehr Budget: Anteil des Budgets für Cybersecurity wächst in Unternehmen
Bild von einer Frau, die in einem dunklen Büro über den Inhalt eines Computerbildschirms nachdenkt | Cyber Security: Wie sicher ist Ihre Unternehmens-IT? | Lünendonk

Insights.Now

Cyber Security: Wie sicher ist Ihre Unternehmens-IT?
Statue von Justitia am Römerberg, valantic Case Study Netcom Kassel

Opinions.Now

Datenschutz, DSGVO & Compliance – Vier aktuelle Tipps für Unternehmer*innen
Glossar

Was ist Business Continuity?

Most Read

Aufbruch #NewWorkNow 2022 – Warum wir die Community erneut zur Blogparade einladen
#NewWorkNow: Die kopernikanische Wende?
KI und Chatbots: Diese Einsatzszenarien generieren echten Mehrwert