Basket
{{item.CourseTitle}}
Price: {{item.ItemPriceExVatFormatted}} {{item.Currency}}
Jun 2025 by
Cyberangriffe, IT-Ausfälle und digitale Störungen sind für Finanzinstitute zu alltäglichen Sorgen geworden. Diese Ereignisse unterbrechen nicht nur Systeme – sie untergraben das Vertrauen der Kunden, laden zu regulatorischer Kontrolle ein und gefährden in manchen Fällen das langfristige Überleben einer Organisation. In Anerkennung des Ausmaßes dieser Bedrohung hat die Europäische Union den Digital Operational Resilience Act (DORA) eingeführt – eine bahnbrechende Regulierung, die derzeit im gesamten Finanzsektor in Kraft ist.
DORA markiert einen Wandel darin, wie operative Resilienz in einer digital-first-Wirtschaft verstanden und durchgesetzt wird. Es reicht nicht mehr aus, Sicherheitsrichtlinien auf Papier oder reaktive Verfahren zu haben. Finanzunternehmen sollen nun proaktiv verwalten, dokumentieren und ihre Fähigkeit nachweisen, IKT-bedingte Störungen standzuhalten. Nicht nur gegenüber den Regulierungsbehörden, sondern auch gegenüber Kunden, Partnern und Stakeholdern, die auf allen Ebenen Rechenschaftspflicht erwarten.
DORA, kurz für Digital Operational Resilience Act, ist eine von der Europäischen Union erlassene Verordnung, die sicherstellen soll, dass Finanzunternehmen schweren betrieblichen Störungen im Zusammenhang mit ihren digitalen Systemen standhalten und sich davon erholen können. DORA wurde im Rahmen des umfassenderen Digital Finance Package der EU eingeführt und ist die erste Regulierung dieser Art, die die digitale operative Resilienz im gesamten Finanzsektor mit solcher Spezifität und Umfang adressiert.
Im Gegensatz zu früheren Anweisungen, die möglicherweise nur auf den Bedarf an digitalem Risikomanagement hindeuteten, verlangt DORA konkrete Maßnahmen und eine bereichsübergreifende Verantwortlichkeit. Sie schafft einen einheitlichen rechtlichen Rahmen zur Verwaltung von IKT-Risiken (Informations- und Kommunikationstechnologie) und schließt das zuvor bestehende Flickwerk nationaler Vorschriften. Dies ist ein Wendepunkt für Finanzinstitute sowie für die Technologieanbieter, die sie unterstützen.
Durch die Einführung klarer und durchsetzbarer Regeln zielt die Verordnung darauf ab, die Finanzmärkte stabiler und sicherer zu machen. DORA legt nicht nur die Erwartungen an interne IKT-Systeme fest, sondern erweitert auch die Compliance-Verantwortung auf externe Drittanbieter, die digitale Dienstleistungen anbieten. Dies umfasst alles von Cloud-Speicher und Netzwerkdiensten bis hin zu Incident-Response-Tools und ausgelagerten IT-Operationen.
Der Anwendungsbereich von DORA ist weit gefasst – und das ist absichtlich. Es umfasst praktisch jeden Akteur im Finanzsystem, von etablierten Banken und Versicherungsgesellschaften bis hin zu aufstrebenden Fintech-Unternehmen. Konkret gilt DORA für Kreditinstitute, Investmentfirmen, Zahlungsinstitute, elektronische Geldinstitute, Pensionsfonds, Versicherungs- und Rückversicherungsunternehmen sowie Anbieter von Krypto-Asset-Dienstleistungen. Aber damit hört es nicht auf.
Auch Drittanbieter von IKT-Diensten, die diesen Finanzinstituten wesentliche digitale Dienstleistungen anbieten, sind betroffen. Das bedeutet, dass Cloud-Computing-Anbieter, Softwareanbieter, Anbieter von Managed Security Services und sogar Beratungsfirmen, die operative Prozesse übernehmen, aufmerksam sein müssen. Die Wellenwirkungen dieser Regelung sind erheblich. Selbst wenn Ihr Unternehmen nicht direkt von der DORA reguliert wird, kann die Mitgliedschaft in einer Finanzlieferkette Sie deren Erwartungen aussetzen.
Diese Einbeziehung von IKT-Anbietern unterstreicht die wachsende Erkenntnis der EU, dass das Outsourcing digitaler Abläufe kein Risiko beseitigt – es verschiebt lediglich, wo und wie das Risiko gehandhabt werden muss. Infolgedessen könnten Anbieter, die DORA ignorieren, von Beschaffungsprozessen ausgeschlossen werden oder während der Due Diligence einer verstärkten Prüfung ausgesetzt sein.
Im Kern basiert DORA auf fünf operativen Säulen, die jeweils einen kritischen Bereich des digitalen Risikos und der Resilienz abdecken.
1. ICT-Risikomanagement
Die erste Säule, das IKT-Risikomanagement, verlangt von Finanzinstituten, dass sie Systeme und Governance-Strukturen aufbauen, die digitale Risiken aktiv steuern. Dazu gehört die Kartierung ihrer digitalen Vermögenswerte, die Identifizierung von Schwachstellen und die Umsetzung von regelmäßig überprüften Minderungsmaßnahmen. Eine Cybersicherheitsrichtlinie reicht nicht aus. Organisationen müssen nachweisen, dass ihre Risikomanagementpraktiken dynamisch, getestet und in den täglichen Betrieb integriert sind.
2. Vorfallberichterstattung
Die Meldung von Vorfällen erfordert eine rechtzeitige und strukturierte Kommunikation wichtiger IKT-Vorfälle an nationale Regulierungsbehörden. Diese Vorfälle können Datenpannen, Serviceausfälle, Cyberangriffe oder betriebliche Ausfälle umfassen. Die Meldepflichten sind standardisiert, um sicherzustellen, dass Behörden konsistente und umsetzbare Informationen erhalten. Die Institutionen müssen außerdem interne Verfahren zur Klassifizierung von Vorfällen und zur Durchführung von Obduktionsanalysen aufrechterhalten.
3. Tests der IKT-Verteidigung
Die dritte Säule konzentriert sich auf das Testen von IKT-Systemen. DORA verlangt fortlaufende Tests digitaler Abwehrmechanismen, einschließlich fortschrittlicher Praktiken wie threat-led penetration testing (TLPT) für kritische Institutionen. Diese Tests müssen reale Szenarien simulieren und über standardmäßige Schwachstellenscans hinausgehen. Das Ziel ist es, Vertrauen zu schaffen, dass Systeme tatsächlichen Bedrohungen standhalten können, nicht nur theoretischen Risiken.
4. Drittparteien-Risikomanagement
Finanzinstitute müssen die Risiken ihrer IKT-Dienstleister bewerten, überwachen und dokumentieren. Dazu gehören die Due Diligence vor der Einarbeitung von Anbietern, kontinuierliche Leistungsüberwachung sowie klare vertragliche Bestimmungen zu Sicherheit und Vorfallberichterstattung. Im Wesentlichen hält DORA Finanzinstitute für die Handlungen (oder Versäumnisse) ihrer Lieferanten verantwortlich.
5. Informationsaustausch
DORA ermutigt – und verlangt in einigen Fällen – Institutionen, an vertrauenswürdigen Netzwerken teilzunehmen, in denen Cyberbedrohungsinformationen geteilt werden. Die Idee ist, eine kollektive Verteidigung im gesamten Finanzökosystem aufzubauen, indem schnellere Reaktionen auf neue Bedrohungen ermöglicht und Doppelarbeit minimiert werden.
Das Digital Operational Resilience Act ist jetzt in Kraft. Seit Januar 2025 wird von allen Finanzinstituten und wichtigen IKT-Anbietern, die innerhalb der EU tätig sind, erwartet, dass sie deren Anforderungen erfüllen. Organisationen müssen nun nachweisen können, dass sie die digitale operative Resilienz im Einklang mit der Verordnung aktiv managen.
Regulierungsbehörden können jederzeit einen Nachweis der Einhaltung verlangen, und Institutionen müssen auf Prüfungen, Leistungsbewertungen und Nachfragen vorbereitet sein. Dazu gehören dokumentierte Prozesse für IKT-Risikomanagement, Vorfallreaktion, Tests, Lieferantenaufsicht und Informationsaustausch.
Eine Verzögerung der Umsetzung könnte dazu führen:
Jüngste hochkarätige Störungen – sei es durch Ransomware oder Cloud-Service-Ausfälle verursacht – haben gezeigt, wie fragil digitale Systeme sein können. DORA will sicherstellen, dass diese Systeme vor einer Katastrophe verstärkt werden. Es verändert grundlegend, wie Organisationen über digitales Risiko denken müssen. Während Cybersicherheit früher auf IT-Abteilungen beschränkt war, erfordert DORA eine funktionsübergreifende Beteiligung. Risikoverantwortliche, Compliance-Fachleute, Rechtsteams und leitende Führungskräfte müssen sich nun darauf einigen, wie Resilienz gemessen, aufrechterhalten und nachgewiesen wird.
Obwohl DORA oft als Compliance-Belastung dargestellt wird, gibt es klare strategische Vorteile, es ernst zu nehmen:
Für Drittanbieter kann die "DORA-bereite" Fähigkeit auch ein entscheidender Unterschied bei der Ausschreibung von Verträgen im Finanzsektor sein.
Da DORA nun in Kraft ist, ist die Priorität für Finanzinstitute und IKT-Anbieter nicht mehr die Vorbereitung, sondern der Nachweis, dass ihre Maßnahmen zur operativen Resilienz in der Praxis funktionieren. Regulierungsbehörden in der gesamten EU beginnen zu bewerten, wie gut Organisationen die Verordnung umsetzen. Dazu gehört die Überprüfung von Dokumentationen, Testprotokollen, Aufsicht durch Dritte und Vorfallreaktionsfähigkeiten. Wenn Ihre Organisation noch keine konkreten Schritte unternommen hat, steigt das Risiko, sowohl rechtlich als auch betrieblich – mit jedem Tag in Rückstand zu geraten.
Wenn Sie noch keine gründliche Compliance-Überprüfung durchgeführt haben, ist das Ihr Ausgangspunkt. Eine detaillierte Lückenanalyse hilft, etwaige Fehlanpassungen zwischen Ihren aktuellen digitalen Resilienzfähigkeiten und den von DORA gesetzten Erwartungen zu identifizieren. Selbst wenn Sie bereits Fortschritte bei der Einhaltung erzielt haben, erfordern die laufenden Anforderungen der Verordnung – wie wiederkehrende Tests, aktualisierte Risikoregister und aktive Überwachung von Drittanbietern – eine kontinuierliche Kontrolle. Das bedeutet, Richtlinien, Kontrollen und Berichtsstrukturen regelmäßig zu überprüfen, um sicherzustellen, dass sie wirksam und relevant bleiben.
Organisationen sollten außerdem bewerten, wie gut ihre IKT-Risikomanagement-Rahmenwerke abteilungsübergreifend integriert sind. Echte operative Resilienz wird nicht von einem einzelnen Team aufrechterhalten. Sie muss in Rechts-, Compliance-, IT-, Einkaufs- und Führungsebene integriert sein.
Eine der am meisten übersehenen Herausforderungen bei DORA ist die Fähigkeitslücke. Obwohl Richtlinien und Rahmenwerke wichtig sind, hängt eine erfolgreiche Umsetzung von Menschen ab, die wissen, wie man sie anwendet. Dies ist besonders relevant für Personen, die für die Compliance-Überwachung, das Risikomanagement von Drittanbietern und die IKT-Governance verantwortlich sind. Diese Rollen erfordern nicht nur regulatorisches Verständnis, sondern auch die Fähigkeit, komplexe Anforderungen im Alltag zu interpretieren und umzusetzen.
Um diesem Bedarf gerecht zu werden, bietet Readynez einen speziellen eintägigen Kurs an: "DORA Essentials – Aufbau robuster digitaler operativer Resilienz." Der Kurs richtet sich an Fachleute aus dem Finanzsektor – darunter Rechtsberater, Compliance-Beauftragte, IT-Führungskräfte und leitende Entscheidungsträger –, die ein praktisches, umsetzbares Verständnis von DORA benötigen. Geleitet von der Regulierungsexpertin Anette Pedersen kombiniert der Kurs von Lehrkräften geleitete Sitzungen, Gruppenübungen und eine strukturierte Compliance-Checkliste, um den Teilnehmern zu helfen, ihren aktuellen Zustand zu bewerten und die nächsten Schritte zu definieren.
Im Training geht es nicht nur darum, ein Kästchen abzuhaken. Es geht darum, interne Fähigkeiten aufzubauen, Eigenverantwortung zu fördern und Teams zu ermöglichen, mit Vertrauen zu handeln – sei es während einer regulatorischen Inspektion, einem Cybersicherheitsvorfall oder einer Lieferantenüberprüfung.
Nehmen Sie an unserem DORA Essentials-Kurs teil, um regulatorische Anforderungen in reale Einsatzbereitschaft umzuwandeln.
Erfahren Sie mehr und registrieren Sie sich →