{"id":19073,"date":"2024-12-12T14:01:34","date_gmt":"2024-12-12T13:01:34","guid":{"rendered":"https:\/\/www.infinigate.com\/de\/?page_id=19073"},"modified":"2025-07-18T19:08:51","modified_gmt":"2025-07-18T17:08:51","slug":"dora-digital-operational-resilience-act","status":"publish","type":"page","link":"https:\/\/www.infinigate.com\/de\/dora-digital-operational-resilience-act\/","title":{"rendered":"DORA (Digital Operational Resilience Act)"},"content":{"rendered":"
\r\n
\r\n
\r\n \r\n

Begriffserkl\u00e4rung und Historie<\/h3>\r\n \r\n

Die Verordnung (EU) 2022\/2544, auch besser bekannt als DORA (Digital Operational Resilience Act) wurde von der Europ\u00e4ischen Union geschaffen, um den Finanzsektor zu sichern. Cybersicherheit, Informations- und Kommunikationstechnologie (IKT)<\/span>-Risiken und eine digitale operationale Resilienz sind hierbei die Kernpunkte, um den europ\u00e4ischen Finanzmarkt gegen\u00fcber Cyberrisiken und Vorf\u00e4llen in der IKT zu st\u00e4rken. Ab dem 17. Januar 2025 findet diese Verordnung Anwendung.<\/p>\n

Kernakteur des DORA in Deutschland ist die BaFin (Bundesanstalt f\u00fcr Finanzdienstaufsicht)<\/strong>. Sie ist der zentrale Melde-Hub f\u00fcr IKT-Vorf\u00e4lle im Finanzsektor, sowohl direkt als auch wegen des Drittparteienmanagements. Sie ber\u00e4t beaufsichtige Unternehmen mit Hinblick auf die Umsetzung des DORA durch digitale Informationen, Veranstaltungen und Expertengespr\u00e4che. Sowohl die BaFin als auch die Deutsche Bundesbank bereiten sich basierend auf neuen Anforderungen im Hinblick auf die Implementierung der IT-Prozesse und -Systeme aktuell selbst vor.<\/p>\n\r\n <\/div>\r\n\r\n

\r\n \"Team <\/div>\r\n <\/div>\r\n<\/section>\r\n\n\n\n

Die Verordnung (EU) 2022\/2554 wurde am 14. Dezember 2022 durch das Europ\u00e4ische Parlament und den Europ\u00e4ischen Rat beschlossen. Nach dem Inkrafttreten der Verordnung am 17. Januar 2023 findet diese nun 2 Jahre sp\u00e4ter am 17. Januar 2025 Anwendung. Die Geschichte des DORA geht allerdings noch weiter zur\u00fcck. Bereits im Jahr 2020 wurden Vorschl\u00e4ge erstmals im Paket zur Digitalisierung des Finanzsektors vorgelegt. Viele der in DORA festgesetzten Regelungen, wie harmonisierte Anforderungen an das IKT-Risikomanagement, \u00dcberwachungsrahmen f\u00fcr IT-Mehrmandantendienstleister und vereinheitlichte Strukturen f\u00fcr das Meldewesen von IKT-bezogenen Vorf\u00e4llen, wurden von der BaFin jedoch schon zuvor geschaffen.<\/p>\n\n\n\n

Hier kommen Sie ins Spiel<\/h2>\n\n\n\n

Im Umfeld von DORA kommen vielf\u00e4ltige Aufgaben auf Systemh\u00e4user zu. Sie k\u00f6nnen Ihre betroffenen Kunden dabei unterst\u00fctzen, die Vorgaben sinnvoll umzusetzen. Da DORA ein lebendiger Standard ist, besteht Handlungsbedarf in vielfacher Hinsicht: Dienste wie Beratungen und Analysen zur Risikobewertung, das Erstellen von entsprechender Dokumentation und die daraus resultierende Berichterstattung sowie Mitarbeiterschulungen <\/strong>seien hier beispielhaft genannt. Weitere M\u00f6glichkeiten erstrecken sich \u00fcber Penetration Tests<\/strong> (External Risk Management), Compliance Beratungen<\/strong> und die h\u00e4ufig auch jetzt schon angebotenen Implementierungen von Cyber Security L\u00f6sungen sowie weitere MSSP-Dienste<\/a><\/strong>, sie enden hierbei jedoch nicht. Die weiteren Fokusthemen von Infinigate<\/a> bekommen im Zusammenhang mit DORA zus\u00e4tzlich Gewichtung.<\/p>\n\n\n\n

\n
\n
\"\"<\/figure>\n<\/div>\n\n\n\n
\n

Infinigate unterst\u00fctzt Sie gerne <\/strong>in der Beratung, wenn Sie Probleme bei einem Kunden identifiziert haben und Sie diese l\u00f6sen m\u00f6chten. Ferner bieten wir Ihnen in Zusammenarbeit mit den Herstellern aus unserem Cyber Security Portfolio Workshops und Webinare<\/strong> an, um Sie \u00fcber den aktuellen Stand zu informieren und \u00fcber L\u00f6sungen zu unterrichten.<\/p>\n\n\n\n

Unsere Business Development Manager nehmen Sie gerne an die Hand und beraten Sie bei aufkommenden Fragen zu Herstellerl\u00f6sungen<\/a>. Zu guter Letzt haben wir mit der Technical Services<\/a> Abteilung und dem von Infinigate entwickelten modularen Security Awareness <\/a>Training auch Schulungsm\u00f6glichkeiten <\/strong>f\u00fcr Sie im Angebot.<\/p>\n\n\n\n

Bitte beachten Sie, dass Infinigate Sie lediglich in technischer und vertrieblicher Sicht unterst\u00fctzen kann. Wir weisen ausdr\u00fccklich darauf hin, dass eine rechtliche Beratung nur durch entsprechende ausgebildete Juristen <\/strong>erfolgen kann.<\/p>\n<\/div>\n<\/div>\n\n\n\n

\n
\n
\n

Betroffene Unternehmen<\/h2>\n\n\n\n

Man geht davon aus, dass mehr als 20.000 Unternehmen vom DORA betroffen sind. Neben den Finanzunternehmen trifft es auch viele ITK-Drittanbieter wie Cloud-Anbieter. Basierend auf der Gr\u00f6\u00dfe der Unternehmen sind eventuell nur Teile der DORA umzusetzen. Dies ben\u00f6tigt h\u00e4ufig eine individuelle Einzelpr\u00fcfung, um die entsprechenden Anforderungen zu definieren.<\/p>\n<\/div>\n\n\n\n

\n
\"\"<\/figure>\n<\/div>\n<\/div>\n<\/div>\n\n\n\n

Regelungen<\/h2>\n\n\n\n

Im DORA werden sechs wesentliche Bereiche genannt, die gest\u00e4rkt werden sollen:<\/p>\n\n\n\n

    \n
  1. IKT-Risikomanagement:<\/strong> Die Funktionsf\u00e4higkeit der Finanzunternehmen sollen bez\u00fcglich Cyber-Gefahren aufrechterhalten bzw. wiederhergestellt werden k\u00f6nnen.<\/li>\n\n\n\n
  2. Umgang mit IKT-Vorf\u00e4llen (Behandlung, Klassifizierung, Berichterstattung):<\/strong> Die Meldung eines IKT-Vorfalls, welcher nachteilige Auswirkungen auf die Verf\u00fcgbarkeit, Authentizit\u00e4t, Integrit\u00e4t oder Vertraulichkeit von Daten oder die vom Finanzunternehmen erbrachten Dienstleistungen hat. Alle Punkte m\u00fcssen hierbei klassifiziert werden. Die Meldungen geschehen auf Basis von Klassifizierungen derselben.<\/li>\n\n\n\n
  3. Dauerhafte \u00dcberpr\u00fcfung (Thread-Led Penetration Testing (TLPT)):<\/strong> „DORA verpflichtet alle Finanzunternehmen dazu, Ihre Informations- und Kommunikationstechnologie auf Herz und Nieren zu pr\u00fcfen.“ Das Testprogramm soll risikobasiert und proportional etabliert werden. Das TLPT beschreibt einen Rahmen, bei der Taktik, Techniken und Verfahren realer Angreifer nachgebildet werden in einem kontrollierten Test der kritischen Live-Produktionssysteme.<\/li>\n\n\n\n
  4. IKT-Drittparteienmanagement Risiko:<\/strong> Einsch\u00e4tzung und \u00dcberwachung des kompletten Lebenszyklus in der Zusammenarbeit mit einer IKT-Drittpartei.<\/li>\n\n\n\n
  5. IKT-Drittparteien-\u00dcberwachung und dessen Rahmen:<\/strong> Hier handelt es sich um ein neues Element der EU-Finanzmarktregulierung, welches das Ziel verfolgt, die Konvergenz und Effizienz im Finanzsektor zu f\u00f6rdern und die digitale operationale Resilienz zu st\u00e4rken, um die Stabilit\u00e4t des Finanzsystems der Union zu bewahren.<\/li>\n\n\n\n
  6. Cyberkrisen und Notfall\u00fcbungen sowie Informationsaustauschvereinbarungen:<\/strong> Austausch von Informationen und Erkenntnissen \u00fcber Cyberbedrohungen zwischen Finanzunternehmen. Indikatoren f\u00fcr Beeintr\u00e4chtigungen, Taktiken, Techniken und Verfahren, Cybersicherheitswarnungen und Konfigurationstools werden hierbei besonders genannt.<\/li>\n<\/ol>\n\n\n\n

    Zusammenhang zu NIS-2<\/h2>\n\n\n\n

    Sowohl DORA als auch NIS-2<\/a> definieren Regelungen in Bezug auf kritische Infrastrukturen. Sie dienen beide dazu, die Cybersicherheit in der EU zu verbessern und vereinheitlichen. Daher greifen die Regelungen ineinander und erg\u00e4nzen sich. Bei Finanzunternehmen in der EU muss sowohl NIS-2 als auch DORA angewendet werden.<\/p>\n\n\n\n

    \"\"<\/span>
    \n
    \n
    \n

    Kontakt <\/h3>\n\n\n\n

    Ihr Ansprechpartner f\u00fcr alle Anliegen rund um das Thema DORA ist unser Business Development Manager Tobias Landgraf.
    Sprechen Sie ihn gerne an.<\/p>\n<\/div>\n\n\n\n

    \n

    tobias.landgraf@infinigate.de<\/a>
    +49 89 89048309<\/a>
    <\/p>\n\n\n\n

    \n
    Kontakt aufnehmen<\/a><\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div><\/div>\n","protected":false},"excerpt":{"rendered":"

    Die Verordnung (EU) 2022\/2554 wurde am 14. Dezember 2022 durch das Europ\u00e4ische Parlament und den Europ\u00e4ischen Rat beschlossen. Nach dem…<\/p>\n","protected":false},"author":48,"featured_media":28951,"parent":0,"menu_order":200,"comment_status":"closed","ping_status":"closed","template":"","meta":{"_acf_changed":false,"footnotes":""},"folder":[393],"class_list":["post-19073","page","type-page","status-publish","has-post-thumbnail","hentry"],"acf":[],"distributor_meta":false,"distributor_terms":false,"distributor_media":false,"distributor_original_site_name":"Infinigate | Deutschland","distributor_original_site_url":"https:\/\/www.infinigate.com\/de","push-errors":false,"_links":{"self":[{"href":"https:\/\/www.infinigate.com\/de\/wp-json\/wp\/v2\/pages\/19073","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.infinigate.com\/de\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/www.infinigate.com\/de\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/www.infinigate.com\/de\/wp-json\/wp\/v2\/users\/48"}],"replies":[{"embeddable":true,"href":"https:\/\/www.infinigate.com\/de\/wp-json\/wp\/v2\/comments?post=19073"}],"version-history":[{"count":0,"href":"https:\/\/www.infinigate.com\/de\/wp-json\/wp\/v2\/pages\/19073\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.infinigate.com\/de\/wp-json\/wp\/v2\/media\/28951"}],"wp:attachment":[{"href":"https:\/\/www.infinigate.com\/de\/wp-json\/wp\/v2\/media?parent=19073"}],"wp:term":[{"taxonomy":"folder","embeddable":true,"href":"https:\/\/www.infinigate.com\/de\/wp-json\/wp\/v2\/folder?post=19073"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}