DORA (Digital Operational Resilience Act)
Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung, die sicherstellt, dass Finanzunternehmen IKT-bezogenen Störungen und Cyberbedrohungen wirksam standhalten, angemessen darauf reagieren und sich davon erholen können.
Was ist DORA?
Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung, die die Sicherheitsfunktionen von Finanzunternehmen innerhalb der EU regelt. Sie schafft einen einheitlichen regulatorischen Rahmen, der Finanzunternehmen dazu verpflichtet, IKT-Risiken zu steuern, schwerwiegende Vorfälle zu melden und die Geschäftskontinuität sicherzustellen. DORA gilt für Banken, Versicherungsunternehmen, Wertpapierfirmen, Kreditinstitute sowie kritische Drittanbieter, die IKT-Dienstleistungen wie Cloud-Services oder Datenanalysen bereitstellen.
Ab Januar 2025 reiht sich die DORA-Verordnung in die umfassenden EU-Initiativen wie die NIS2-Richtlinie ein. Ihr Ziel ist es, Cybersicherheits- und Resilienzstandards im gesamten Finanzsektor zu harmonisieren.
Warum DORA so wichtig ist
Mit DORA vollzieht sich ein grundlegender Wandel in Bezug darauf, wie Finanzunternehmen ihre operative Resilienz stärken und Cyberrisiken steuern. Die Verordnung geht über reine Compliance hinaus und soll gewährleisten, dass Finanzunternehmen auch bei schwerwiegenden IKT-Störungen handlungsfähig bleiben.
Zur Stärkung der Resilienz komplexer Finanzökosysteme führt die Verordnung verpflichtende Tests, eine systematische Risikoklassifizierung sowie die Überwachung von Drittanbietern ein. Gleichzeitig werden die Meldung und Bewältigung von Vorfällen standardisiert, um eine EU-weite Koordination und Transparenz zu gewährleisten.
Unternehmen stärken ihre digitale Infrastruktur, minimieren Ausfallrisiken und schaffen Vertrauen bei Regulierungsbehörden, Kunden und Partnern, indem sie die Anforderungen von DORA erfüllen.
Wie DORA in der Praxis umgesetzt wird
- Etablierung von Governance-Strukturen für das Management von IKT- und Cybersicherheitsrisiken
- Regelmäßige Resilienztests und szenariobasierte Simulationen
- Implementierung eines Drittparteienrisikomanagements für IKT‑Dienstleister
- Entwicklung von Vorfallreaktions- und Wiederherstellungsplänen, die auf die Meldeanforderungen von DORA abgestimmt sind
- Koordination der internen Kontrolle zwischen den Bereichen Risikomanagement, Compliance und IT-Sicherheit
- Dokumentation der Nachweise zur operativen Resilienz zur Vorbereitung auf regulatorische Prüfungen
Verwandte Gesetze und Normen
So unterstützt Sie OneTrust bei der Umsetzung von DORA
OneTrust unterstützt Unternehmen dabei, sich gezielt auf die Anforderungen von DORA vorzubereiten. Die Plattform bündelt das IKT-Risikomanagement, die Überwachung von Drittanbietern und die Meldung von Vorfällen. Durch automatisierte Bewertungen, die Nachverfolgung von Nachweisen und eine lückenlose Dokumentation behalten Unternehmen jederzeit den Überblick und sind optimal auf Prüfungen sowie grenzüberschreitende regulatorische Verpflichtungen vorbereitet.
Lösungen erkunden →
Häufig gestellte Fragen zu DORA
Während sich DORA gezielt auf den Finanzsektor und dessen IKT-Ökosystem konzentriert, gilt die NIS2-Richtlinie für essenzielle und digitale Diensteanbieter aller Branchen. Beide Regelwerke zielen auf die Förderung von Resilienz und Cybersicherheit ab, allerdings stellt DORA strengere Anforderungen an Governance-Strukturen und Testverfahren.
Die Verordnung gilt für Finanzunternehmen wie Banken, Versicherungsunternehmen und Wertpapierfirmen sowie für IKT-Dienstleister, deren Leistungen für den Geschäftsbetrieb von Finanzinstituten von kritischer Bedeutung sind. Dazu zählen beispielsweise Cloud-Anbieter und Anbieter von Datenanalysediensten.
DORA legt einen starken Fokus auf das Management von IKT-Drittrisiken und verpflichtet Finanzinstitute dazu, Risiken zu identifizieren, zu bewerten, zu überwachen und zu mindern, die sich aus ihrer Abhängigkeit von externen IKT-Dienstleistern ergeben.
Im Rahmen von DORA müssen Organisationen geeignete vertragliche Vereinbarungen sicherstellen, eine fortlaufende Überwachung kritischer IKT-Anbieter durchführen und Ausstiegsstrategien vorhalten, um Abhängigkeitsrisiken zu reduzieren. Darüber hinaus führt die Verordnung einen Aufsichtsrahmen auf EU-Ebene für kritische IKT-Drittanbieter ein, der die operative Resilienz entlang der Lieferkette des Finanzsektors stärkt.
