Die Unternehmensberatung für Datenschutz, Audit und BCM
DSGVO konform und sicher

DORA – Das neue EU-Gesetz zur digitalen Resilienz im Finanzsektor

 

Der Digital Operational Resilience Act (DORA) ist eine neue EU-Verordnung (EU 2022/2554), die Finanzunternehmen und deren IT-Dienstleister zu höheren Standards in der Cybersicherheit verpflichtet. Ziel ist es, die digitale Widerstandsfähigkeit (Resilienz) gegenüber Cyberangriffen, Systemausfällen und IT-Risiken zu stärken.

DORA wurde am 27. Dezember 2022 im EU-Amtsblatt veröffentlicht, trat dann am 17. Januar 2023 in Kraft und ab dem 17. Januar 2025 müssen betroffene Unternehmen die neuen Anforderungen vollständig umgesetzt haben. DORA wurde eingeführt, da es in den letzten Jahren eine zunehmende Anzahl von Cyberangriffen auf Banken, Versicherungen und andere Finanzdienstleister gab. IT-Ausfälle oder Hackerangriffe in diesem Bereich können schwerwiegende wirtschaftliche Folgen haben.

Mit DORA stellt die EU sicher, dass Unternehmen des Finanzsektors:

  • Robuste IT-Sicherheitsmaßnahmen implementieren
  • Cyberangriffe frühzeitig erkennen und abwehren
  • IT-Risiken systematisch überwachen und managen
  • Kritische Dienstleister (z. B. Cloud-Anbieter) stärker kontrollieren


DORA gilt für nahezu alle Unternehmen und Organisationen im Finanzsektor sowie deren IT-Dienstleister. Dazu gehören:
a. Finanzunternehmen

  • Banken und Kreditinstitute
  • Versicherungen und Rückversicherer
  • Investmentgesellschaften und Wertpapierfirmen
  • Zahlungsdienstleister und E-Geld-Institute
  • Krypto-Dienstleister und Handelsplattformen

b. IT-Dienstleister und Drittdienstleister im Finanzsektor

  • Cloud-Service-Anbieter
  • Datenzentren und Rechenzentrumsbetreiber
  • Zahlungs- und Transaktionsdienstleister
  • IT-Sicherheitsunternehmen, die Finanzdienstleister unterstützen


DORA verpflichtet Unternehmen zu umfassenden Maßnahmen zur IT-Resilienz und Cybersicherheit. Die fünf zentralen Säulen sind:

a. IT-Risikomanagement
Unternehmen müssen ein strukturiertes IT-Risikomanagement einführen, das sicherstellt, dass Cyberangriffe und IT-Störungen frühzeitig erkannt und effektiv bewältigt werden.

  • Identifikation von kritischen IT-Systemen und Schwachstellen
  • Implementierung von Notfallplänen für Cyberangriffe und IT-Ausfälle
  • Regelmäßige Überprüfung und Aktualisierung von Sicherheitsmaßnahmen

b. Meldepflicht für Cybervorfälle
Alle relevanten IT-Sicherheitsvorfälle müssen innerhalb von Stunden oder Tagen an die zuständigen Aufsichtsbehörden gemeldet werden.

  • Erstmeldung innerhalb von 24 Stunden
  • Detailbericht innerhalb von 72 Stunden
  • Abschlussbericht nach einem Monat mit Handlungsempfehlungen

c. IT-Tests und Cyber-Resilienz-Überprüfungen
Unternehmen müssen regelmäßig Stresstests und Penetrationstests durchführen, um Cyberrisiken frühzeitig zu erkennen.

  • Durchführung von kontinuierlichen Schwachstellenanalysen
  • Red Teaming-Tests für besonders kritische Systeme
  • Überprüfung der Widerstandsfähigkeit gegen Ransomware- und DDoS-Angriffe

d. Kontrolle von IT-Drittanbietern
Finanzunternehmen sind verpflichtet, ihre externe IT-Dienstleister (z. B. Cloud- und Hosting-Anbieter) strenger zu überwachen.

  • Einführung von klaren Sicherheitsvorgaben in Verträgen
  • Regelmäßige Audits und Risikoanalysen für Drittanbieter
  • Pflicht zur Meldung von IT-Sicherheitsvorfällen bei Dienstleistern

e. Harmonisierung und Zusammenarbeit in der EU


DORA sorgt für eine einheitliche Regulierung in der gesamten EU, sodass alle Finanzinstitute denselben Cybersicherheitsstandards unterliegen.

  • Engere Zusammenarbeit zwischen Finanzaufsichtsbehörden und Cybersicherheitsagenturen
  • Verbesserte Reaktionsfähigkeit auf großflächige Cyberangriffe in der EU


Unternehmen, die sich nicht an die DORA-Vorgaben halten, müssen mit hohen Geldstrafen und Marktverboten rechnen.

  • Strafen bis zu 2 % des weltweiten Jahresumsatzes
  • Verpflichtende Sicherheitsverbesserungen oder Betriebsuntersagung
  • Persönliche Haftung der Geschäftsführung für schwerwiegende Verstöße


Für Verbraucher stellt DORA sicher, dass Bankgeschäfte, Versicherungen und andere Finanzdienstleistungen auch bei Cyberangriffen stabil bleiben. Verbraucher profitieren von:

  • Besserem Schutz vor Datenlecks und Betrug
  • Höherer Sicherheit bei Online-Banking und digitalen Zahlungen
  • Mehr Transparenz über IT-Risiken und Sicherheitsmaßnahmen


 

 

 



 
E-Mail
Anruf