DORA-Compliance: Digitale operationelle Resilienz für Finanzunternehmen

DORA — die Verordnung über die digitale operationelle Resilienz (Verordnung 2022/2554/EU) — ist eine verbindliche EU-Verordnung, die seit dem 17. Januar 2025 für Finanzunternehmen in der gesamten EU gilt und Banken, Versicherungsunternehmen, Wertpapierfirmen, Zahlungsinstitute, E-Geld-Institute, Krypto-Asset-Dienstleister und als kritisch eingestufte IKT-Drittanbieter umfasst. DORA verlangt von diesen Unternehmen die Implementierung eines umfassenden IKT-Risikomanagement-Rahmens, die Meldung schwerwiegender IKT-Vorfälle an die zuständigen Behörden (einschließlich Banco de España und CNMV für spanische Unternehmen), die regelmäßige Prüfung der digitalen operationellen Resilienz einschließlich bedrohungsgesteuerter Penetrationstests (TLPT) sowie die Verwaltung von IKT-Drittparteirisiken durch konforme Vertragsvereinbarungen nach Artikel 30 der Verordnung. Die Nichteinhaltung wird von nationalen zuständigen Behörden überwacht und sanktioniert.

Unser Team für die Einhaltung von Finanzvorschriften kombiniert tiefgreifende Kenntnisse der DORA-Verordnung mit praktischer Erfahrung bei der Implementierung von IKT-Risikomanagement-Rahmen in Finanzunternehmen.

Warum DORA mehr als eine Dokumentationsübung ist

DORA (Digital Operational Resilience Act, Verordnung 2022/2554) gilt seit Januar 2025 direkt in der gesamten EU. Anders als viele Compliance-Rahmen beschränkt sich DORA nicht auf Dokumentationsanforderungen – sie verlangt echte operative Änderungen in der Art, wie Finanzunternehmen ihre Technologie steuern, Vorfälle verwalten und Verträge mit ihren Anbietern schließen. Die Erfahrungen der ersten Anwendungsmonate bestätigen eine uneinheitliche Branchenbereitschaft, mit wesentlichen Lücken insbesondere bei der IKT-Anbieter-Vertragscompliance und der operativen Kapazität zur Einhaltung der Vorfallmeldefristen.

Die vier Säulen in der Praxis

Der nach Artikel 6 DORA erforderliche IKT-Risikomanagement-Rahmen verlangt vorstandsgenehmigte IKT-Risikorichtlinien, eine vollständige Inventarisierung kritischer IKT-Systeme und -Assets, eine regelmäßige Risikobeurteilungsmethodik und einen Geschäftskontinuitätsplan speziell für technologische Störungen. Für viele mittelgroße Finanzunternehmen ist dieses Niveau formeller IKT-Governance tatsächlich neu – operatives IT-Management existierte, nicht aber der strukturierte Rahmen, den DORA fordert. Unser Ansatz baut auf dem auf, was bereits existiert, vermeidet Doppelarbeit und minimiert den Implementierungsaufwand.

Das IKT-Drittparteirisiko ist der zweite wesentliche Komplexitätsbereich. Nahezu jedes Finanzunternehmen ist heute von Cloud-Anbietern, SaaS-Plattformen und spezialisierten Softwareanbietern abhängig, die für den täglichen Betrieb unerlässlich sind. DORA stellt für diese Beziehungen detaillierte Vertragspflichten, einschließlich Prüfungsrechten, die viele globale Anbieter nicht standardmäßig gewähren, und einem vollständigen Register aller IKT-Anbieterverträge. Wir koordinieren eng mit dem Drittparteirisikomanagement und den Rechtsteams, die diese Verträge verhandeln.

TLPT und fortgeschrittene Resilienzprüfung

Für größere Unternehmen, die Threat-Led Penetration Tests unterliegen, koordinieren wir den End-to-End-Prozess: Auswahl eines zertifizierten Red-Team-Anbieters, Festlegung des Umfangs mit der Aufsichtsbehörde, Durchführung der Tests über kritische Funktionen und Systeme und Erstellung des Abschlussberichts mit einem dokumentierten Sanierungsplan. DORA ist explizit, dass TLPT-Ergebnisse – einschließlich identifizierter Schwachstellen – mit dem Aufseher geteilt und von einem konkreten Sanierungszeitplan begleitet werden müssen. Die Koordinationsanforderungen zwischen dem Unternehmen, dem Tester und dem Aufseher sind erheblich, und ein frühzeitiges Engagement mit der Aufsichtsbehörde ist unerlässlich, um Prozessverzögerungen zu vermeiden.

Beziehung zu NIS2 und anderen Rahmen

Finanzunternehmen, die DORA unterliegen, sind in den von DORA geregelten Bereichen von NIS2 ausgenommen. Für Gruppen mit sowohl finanziellen als auch nicht-finanziellen Aktivitäten kartieren wir die jeweiligen Anwendungsbereiche, um zu identifizieren, wo ein einzelner Governance-Rahmen beiden Verordnungen dienen kann und wo eine separate Behandlung erforderlich ist. Wir integrieren die DORA-Compliance auch mit NIS2-Compliance-Programmen für Gruppen, die beides benötigen, und stellen sicher, dass Sicherheitsinvestitionen über regulatorische Anforderungen hinweg genutzt und nicht dupliziert werden.