Begriffserklärung und Historie

Die Verordnung (EU) 2022/2544, auch besser bekannt als DORA (Digital Operational Resilience Act) wurde von der Europäischen Union geschaffen, um den Finanzsektor zu sichern. Cybersicherheit, Informations- und Kommunikationstechnologie (IKT)-Risiken und eine digitale operationale Resilienz sind hierbei die Kernpunkte, um den europäischen Finanzmarkt gegenüber Cyberrisiken und Vorfällen in der IKT zu stärken. Ab dem 17. Januar 2025 findet diese Verordnung Anwendung.

Kernakteur des DORA in Deutschland ist die BaFin (Bundesanstalt für Finanzdienstaufsicht). Sie ist der zentrale Melde-Hub für IKT-Vorfälle im Finanzsektor, sowohl direkt als auch wegen des Drittparteienmanagements. Sie berät beaufsichtige Unternehmen mit Hinblick auf die Umsetzung des DORA durch digitale Informationen, Veranstaltungen und Expertengespräche. Sowohl die BaFin als auch die Deutsche Bundesbank bereiten sich basierend auf neuen Anforderungen im Hinblick auf die Implementierung der IT-Prozesse und -Systeme aktuell selbst vor.

Die Verordnung (EU) 2022/2554 wurde am 14. Dezember 2022 durch das Europäische Parlament und den Europäischen Rat beschlossen. Nach dem Inkrafttreten der Verordnung am 17. Januar 2023 findet diese nun 2 Jahre später am 17. Januar 2025 Anwendung. Die Geschichte des DORA geht allerdings noch weiter zurück. Bereits im Jahr 2020 wurden Vorschläge erstmals im Paket zur Digitalisierung des Finanzsektors vorgelegt. Viele der in DORA festgesetzten Regelungen, wie harmonisierte Anforderungen an das IKT-Risikomanagement, Überwachungsrahmen für IT-Mehrmandantendienstleister und vereinheitlichte Strukturen für das Meldewesen von IKT-bezogenen Vorfällen, wurden von der BaFin jedoch schon zuvor geschaffen.

Hier kommen Sie ins Spiel

Im Umfeld von DORA kommen vielfältige Aufgaben auf Systemhäuser zu. Sie können Ihre betroffenen Kunden dabei unterstützen, die Vorgaben sinnvoll umzusetzen. Da DORA ein lebendiger Standard ist, besteht Handlungsbedarf in vielfacher Hinsicht: Dienste wie Beratungen und Analysen zur Risikobewertung, das Erstellen von entsprechender Dokumentation und die daraus resultierende Berichterstattung sowie Mitarbeiterschulungen seien hier beispielhaft genannt. Weitere Möglichkeiten erstrecken sich über Penetration Tests (External Risk Management), Compliance Beratungen und die häufig auch jetzt schon angebotenen Implementierungen von Cyber Security Lösungen sowie weitere MSSP-Dienste, sie enden hierbei jedoch nicht. Die weiteren Fokusthemen von Infinigate bekommen im Zusammenhang mit DORA zusätzlich Gewichtung.

Infinigate unterstützt Sie gerne in der Beratung, wenn Sie Probleme bei einem Kunden identifiziert haben und Sie diese lösen möchten. Ferner bieten wir Ihnen in Zusammenarbeit mit den Herstellern aus unserem Cyber Security Portfolio Workshops und Webinare an, um Sie über den aktuellen Stand zu informieren und über Lösungen zu unterrichten.

Unsere Business Development Manager nehmen Sie gerne an die Hand und beraten Sie bei aufkommenden Fragen zu Herstellerlösungen. Zu guter Letzt haben wir mit der Technical Services Abteilung und dem von Infinigate entwickelten modularen Security Awareness Training auch Schulungsmöglichkeiten für Sie im Angebot.

Bitte beachten Sie, dass Infinigate Sie lediglich in technischer und vertrieblicher Sicht unterstützen kann. Wir weisen ausdrücklich darauf hin, dass eine rechtliche Beratung nur durch entsprechende ausgebildete Juristen erfolgen kann.

Betroffene Unternehmen

Man geht davon aus, dass mehr als 20.000 Unternehmen vom DORA betroffen sind. Neben den Finanzunternehmen trifft es auch viele ITK-Drittanbieter wie Cloud-Anbieter. Basierend auf der Größe der Unternehmen sind eventuell nur Teile der DORA umzusetzen. Dies benötigt häufig eine individuelle Einzelprüfung, um die entsprechenden Anforderungen zu definieren.

Regelungen

Im DORA werden sechs wesentliche Bereiche genannt, die gestärkt werden sollen:

  1. IKT-Risikomanagement: Die Funktionsfähigkeit der Finanzunternehmen sollen bezüglich Cyber-Gefahren aufrechterhalten bzw. wiederhergestellt werden können.
  2. Umgang mit IKT-Vorfällen (Behandlung, Klassifizierung, Berichterstattung): Die Meldung eines IKT-Vorfalls, welcher nachteilige Auswirkungen auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten oder die vom Finanzunternehmen erbrachten Dienstleistungen hat. Alle Punkte müssen hierbei klassifiziert werden. Die Meldungen geschehen auf Basis von Klassifizierungen derselben.
  3. Dauerhafte Überprüfung (Thread-Led Penetration Testing (TLPT)): „DORA verpflichtet alle Finanzunternehmen dazu, Ihre Informations- und Kommunikationstechnologie auf Herz und Nieren zu prüfen.“ Das Testprogramm soll risikobasiert und proportional etabliert werden. Das TLPT beschreibt einen Rahmen, bei der Taktik, Techniken und Verfahren realer Angreifer nachgebildet werden in einem kontrollierten Test der kritischen Live-Produktionssysteme.
  4. IKT-Drittparteienmanagement Risiko: Einschätzung und Überwachung des kompletten Lebenszyklus in der Zusammenarbeit mit einer IKT-Drittpartei.
  5. IKT-Drittparteien-Überwachung und dessen Rahmen: Hier handelt es sich um ein neues Element der EU-Finanzmarktregulierung, welches das Ziel verfolgt, die Konvergenz und Effizienz im Finanzsektor zu fördern und die digitale operationale Resilienz zu stärken, um die Stabilität des Finanzsystems der Union zu bewahren.
  6. Cyberkrisen und Notfallübungen sowie Informationsaustauschvereinbarungen: Austausch von Informationen und Erkenntnissen über Cyberbedrohungen zwischen Finanzunternehmen. Indikatoren für Beeinträchtigungen, Taktiken, Techniken und Verfahren, Cybersicherheitswarnungen und Konfigurationstools werden hierbei besonders genannt.

Zusammenhang zu NIS-2

Sowohl DORA als auch NIS-2 definieren Regelungen in Bezug auf kritische Infrastrukturen. Sie dienen beide dazu, die Cybersicherheit in der EU zu verbessern und vereinheitlichen. Daher greifen die Regelungen ineinander und ergänzen sich. Bei Finanzunternehmen in der EU muss sowohl NIS-2 als auch DORA angewendet werden.

Ihr Ansprechpartner für alle Anliegen rund um das Thema DORA ist unser Business Development Manager Tobias Landgraf.
Sprechen Sie ihn gerne an.