Digital Operational Resilience Act (DORA): Diese Anforderungen gelten für Banken und Versicherer

DORA steht für „Digital Operational Resilience Act“ und bezeichnet die Verordnung (EU) 2022/2554. Ziel ist es, die digitale Widerstandsfähigkeit des Finanzsektors zu stärken. Die Verordnung wurde Ende 2022 verabschiedet und ist seit dem 17. Januar 2025 verbindlich anzuwenden. Seit diesem Zeitpunkt müssen betroffene Finanzunternehmen die Anforderungen vollständig erfüllen.

Mit DORA schafft die Europäische Union erstmals einen einheitlichen Rechtsrahmen für den Umgang mit IT- und Cyberrisiken im Finanzsektor. Die Verordnung legt fest, wie Unternehmen Informations- und Kommunikationstechnologie (IKT) einsetzen, Risiken steuern und ihre Systeme gegen Störungen und Cyberangriffe absichern müssen.

Hey Doxi, welche IKT-bezogenen Vorfälle und Risiken minimiert die EU-Verordnung DORA?

DORA betrifft europaweit Unternehmen, die im Finanzsektor arbeiten oder IKT-Dienstleistungen für Unternehmen im europäischen Finanzsektor umsetzen. Somit müssen auch in Deutschland regulierte Finanzunternehmen DORA-konform arbeiten. Dazu zählen:

• Banken
• Versicherungs- und Rückversicherungsunternehmen
• Traditionelle Zahlungsdienstleister
• Anbieter von Krypto-Dienstleistungen
• E-Geld-Institute
• Kreditinstitute
• Handelsplätze
• Anbieter sonstiger Finanzdienstleistungen
• Kontoinformationsdienstleister
• Wertpapierfirmen
• Investmentfonds und deren Verwaltungen

Bedeutung von DORA für IKT-Dienstleister

Die Bedeutung von DORA für IKT-Dienstleister ist weitreichend. IKT-Unternehmen müssen die DORA-Gesetzgebung nun in ihre Prozesse implementieren und das unabhängig davon, ob sich ihr Firmensitz innerhalb oder außerhalb der EU befindet. Wenn sie innerhalb der EU mit Finanzunternehmen kooperieren, gelten die DORA-Anforderungen auch für sie.

Zusätzlich entsteht aus der Gesetzgebung ein neuer Aufsichtsrahmen für IKT-Dienstleister. Dieser beinhaltet unter anderem, dass die europäischen Aufsichtsbehörden fortan kritische IKT-Dienstleister beaufsichtigen. Das trägt maßgeblich dazu bei, die Regelungsanforderungen auf EU-Ebene zu harmonisieren. Für IKT-Dienstleister bedeutet das: Sie geraten stärker in die regulatorische Verantwortung. So äußert sie sich:

• IKT-Dienstleister sind strenger reguliert: Finanzunternehmen dürfen nur noch mit IKT-Dienstleistern zusammenarbeiten, die bestimmte Anforderungen von DORA erfüllen.
• Kritische IKT-Drittanbieter stehen unter direkter EU-Aufsicht: Als „kritische IKT-Drittanbieter“ eingestufte Unternehmen unterliegen der direkten Aufsicht durch europäische Behörden.
• Vertragsanforderungen steigen deutlich: Verträge enthalten seit Inkrafttreten von DORA verpflichtend Regelungen zu Sicherheitsstandards, Audit-Rechten, Subdienstleister-Ketten, Exit-Strategien, Business-Continuity-Maßnahmen sowie Informationspflichten bei IT-Vorfällen.
• Höhere Transparenz- und Dokumentationspflichten: DORA verlangt eine lückenlose Dokumentation von Systemarchitekturen, Schnittstellen, Sicherheitsmaßnahmen, Vorfallmanagement und Abhängigkeiten zu weiteren Dienstleistern.

DORA setzt verbindliche Anforderungen für Unternehmen am Finanzmarkt hinsichtlich ihrer IKT-Strategien und Zusammenarbeit mit IKT-Unternehmen.

Strategien im IKT-Risikomanagement erarbeiten

Die Strategien dienen als Rahmenwerk und orientieren sich an den Anforderungen internationaler Standards an das IKT-Risikomanagement. Im IKT-Risikomanagement halten die Finanzunternehmen klare Ziele für die Informationssicherheit fest.

Schwerwiegende IKT-bezogene Vorfälle melden

Finanzunternehmen sind dazu verpflichtet, IKT-Vorfälle zu klassifizieren und zu melden. Als Teil des IKT-Risikomanagementrahmens sieht DORA Kommunikationspläne für Finanzunternehmen vor. Diese sind bei Bedarf offenzulegen, in jedem Fall aber bei schwerwiegenden IKT-bezogenen Vorfällen.

Risiken testen und austauschen

Im gleichen Zuge verpflichtet die EU bestimmte Finanzunternehmen, regelmäßige und unabhängige Tests zu IKT-Vorfällen in Bezug auf die Cybersicherheit durchzuführen. Konkret handelt es sich hier um digitale betriebliche Resilienztests.

Das Testen dient Finanzunternehmen und den Aufsichtsbehörden zu Beobachtungszwecken. Quellcodetests, Performancetests oder Threat-Led-Penetration-Tests zeigen, ob das Ziel der digitalen operationalen Resilienz erreicht ist. Sie sind fester Bestandteil des Risikomanagements.
Um IKT-Risiken im Allgemeinen zu reduzieren, regelt DORA zudem, wie sich Unternehmen innerhalb vertrauenswürdiger Finanzgemeinschaften freiwillig zu IKT-Risiken austauschen können.

Mit IKT-Drittanbietern zusammenarbeiten

Arbeiten Finanzunternehmen mit IKT-Drittanbietern zusammen, betreffen die Maßnahmen auch sie. Es sind Informationsregister über die Vertragsbeziehungen zu pflegen und Szenarien zur Vertragsbeendigung zu erarbeiten. In den Fokus treten zudem Strategien, mit denen die kooperierenden Unternehmen Risiken vorbeugen und diese bewältigen. Kurz gesagt: DORA setzt Standards, wie Finanzunternehmen IKT-Services von Drittanbietern nutzen.

DORA ist vor allem präventiv angelegt: Die EU will Unternehmen auf gestiegene Cyberrisiken am Finanzmarkt vorbereiten. Und wenn Vorfälle eintreten, sollen Finanzunternehmen schneller und wirksamer reagieren können.

Das sind die fünf Säulen von DORA:

1. IT-Risikomanagement: Finanzinstitute richten ein System ein, mit dem sie IT-Risiken erfassen, bewerten und laufend überwachen. Verantwortlichkeiten, Prozesse und Kontrollen müssen klar definiert sein.
2. Vorfallsmeldung: Schwere IT-Vorfälle wie Cyberangriffe oder Systemausfälle melden Unternehmen nach festen Vorgaben an die zuständigen Behörden. Die Meldungen erfolgen strukturiert und innerhalb klarer Fristen.
3. Digitale Resilienztests: Unternehmen prüfen ihre IT-Systeme regelmäßig auf Belastbarkeit und Schwachstellen. Dazu zählen etwa Tests kritischer Anwendungen oder gezielte Sicherheitsüberprüfungen.
4. Risiken bei IKT-Drittdienstleistern: IKT-Dienstleister werden vor Beauftragung und während der Zusammenarbeit geprüft. Verträge enthalten klare Anforderungen, Ausstiegsregelungen und Kontrollrechte, besonders bei kritischen Anbietern.
5. Informationsaustausch zu Cyberbedrohungen: Finanzunternehmen tauschen sich strukturiert über aktuelle Bedrohungen aus. So erkennen sie Risiken früher, reagieren abgestimmt und erhöhen die digitale Widerstandsfähigkeit des Sektors insgesamt.

Sogenannte Regulatory Technical Standards (RTS) und Implementing Technical Standards (ITS) konkretisieren die Vorgaben der DORA-Verordnung. Sie übersetzen die Grundanforderungen in verbindliche technische und organisatorische Detailregelungen.

Unter anderem definieren sie:

• Wie IKT-Vorfälle zu klassifizieren und innerhalb welcher Fristen sie zu melden sind
• Welche Mindestinhalte Verträge mit IKT-Dienstleistern enthalten müssen
• Wie Risikoanalysen zu dokumentieren und nachzuweisen sind
• Welche konkreten Anforderungen für digitale Resilienztests gelten

Damit schaffen RTS und ITS Klarheit für die praktische Umsetzung von DORA in den Unternehmen.

Da es sich bei DORA um eine EU-Verordnung handelt, ist sie unmittelbar auch im nationalen Recht gültig. Zuständig ist in Deutschland die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Sie prüft die DORA-Anforderungen im Rahmen

• laufender Aufsichtsprozesse,
• Sonderprüfungen nach § 44 KWG,
• IT-Prüfungen (zum Beispiel BAIT, VAIT, KAIT, ZAIT) und
• Auslagerungsprüfungen.

Ziel ist es, Doppelregulierungen zu vermeiden und Widersprüche aufzulösen. Bei Verstößen kann die BaFin Anordnungen erlassen, Fristen setzen, Bußgelder verhängen sowie Geschäftsleitungsmaßnahmen prüfen.

ECM-Systeme wie Doxis tragen wesentlich dazu bei, die Anforderungen von DORA zu erfüllen, da sie die Verwaltung, Sicherheit und Kontinuität von Informationen und Prozessen in Finanzinstituten unterstützen.

Risikomanagement für IKT

Finanzinstitute müssen wirksame Strukturen und Kontrollen für das Management von IKT-Risiken etablieren. Dazu gehört, Risiken systematisch zu identifizieren, zu bewerten, zu steuern und kontinuierlich zu überwachen.

Ein ECM-System unterstützt diesen Prozess, indem es sämtliche Risikodokumente und zugehörige Abläufe zentral, transparent und revisionssicher verwaltet. Gleichzeitig automatisiert es Workflows und protokolliert alle Schritte nachvollziehbar, sodass Maßnahmen jederzeit überprüfbar sind.

Vorteile eines ECM-Systems im IKT-Risikomanagement:

Zentrale, revisionssichere Speicherung von Risikoanalysen, Bewertungen und Maßnahmenplänen
Lückenlose Versionierung und Protokollierung aller Dokumente für Audit- und Prüfzwecke
Standardisierte und automatisierte Genehmigungsprozesse sowie strukturierte Verteilung von Risikoberichten an relevante Stakeholder

So entsteht eine belastbare Dokumentations- und Prozessgrundlage, die den DORA-Anforderungen entspricht.

Meldung von IKT-Vorfällen

Finanzinstitute sind verpflichtet, schwerwiegende IKT-Vorfälle schnell und effizient zu dokumentieren und zu melden, um eine schnelle Reaktion und Behebung zu ermöglichen.

So unterstützen ECM-Systeme die Meldung von IKT-Vorfällen:

• Zentralisierte Erfassung und Dokumentation von IKT-Vorfällen
• Automatisierte Benachrichtigung relevanter Personen bei Auftreten eines Vorfalls
• Erstellung und Speicherung von Vorfallsberichten, die den regulatorischen Anforderungen entsprechen

Kontinuität der Dienstleistungen

Finanzinstitute müssen Maßnahmen treffen, um sicherzustellen, dass sie wesentliche Dienstleistungen auch bei schweren Betriebsstörungen fortführen können.

• So unterstützen ECM-Systeme die Geschäftskontinuität:
• Integration in die Disaster-Recovery-Strategie
• Backup- und Wiederherstellungsfunktionen für kritische Dokumente und Informationen
• Sicherstellung der Verfügbarkeit zentraler Inhalte im Störungsfall
• Automatisierte Workflows zur strukturierten Fortführung von Geschäftsprozessen
• Schneller Wiederanlauf definierter Prozesse nach Systemunterbrechungen

Überwachung und Prüfungen

Finanzinstitute müssen ihre IKT-Systeme regelmäßig überwachen und prüfen, um sicherzustellen, dass sie den Anforderungen der Verordnung entsprechen.

Diese Funktionen übernehmen Überwachungs- und Prüfungsfunktionen von ECM-Systemen:

• Lückenlose Protokollierung aller Aktionen und Dokumentenzugriffe für Prüfungs- und Nachweiszwecke
• Transparente Kontrolle von Zugriffen und Änderungen an Informationen
• Automatisierte und standardisierte Erstellung von Reports zur Systemnutzung und Compliance-Einhaltung

Sicherheit und Schutz von Informationen

Finanzinstitute müssen sicherstellen, dass die Sicherheit und Vertraulichkeit von Informationen einschließlich der Implementierung von Zugangskontrollen und Verschlüsselung gewährleistet sind.

Das sind Sicherheitsfunktionen von ECM-Systemen:

• Fein granulierte Steuerung von Benutzerrechten und Zugriffen auf sensible Informationen
• Verschlüsselung sowie Sicherstellung der Datenintegrität bei Speicherung und Übertragung
• Unterstützung bei der Umsetzung und Durchsetzung unternehmensweiter Informationssicherheitsrichtlinien

Mit DORA etabliert die EU einen verbindlichen und einheitlichen Rahmen für das digitale Risikomanagement im Finanzsektor. Finanzinstitute und IKT-Dienstleister sind verpflichtet, IT-Risiken strukturiert zu steuern, Vorfälle fristgerecht zu melden, Drittparteien wirksam zu überwachen und ihre digitale Resilienz regelmäßig zu überprüfen.

Damit steigen die Anforderungen an Dokumentation, Transparenz und klar definierte Prozesse deutlich. Gleichzeitig wächst die Bedeutung einer nachvollziehbaren Zusammenarbeit mit Aufsichtsbehörden.

Ein ECM-System wie Doxis schafft hierfür die notwendige Grundlage: Es strukturiert Informationen, dokumentiert Prozesse revisionssicher und unterstützt Unternehmen dabei, regulatorische Anforderungen zuverlässig zu erfüllen. So entsteht eine belastbare Basis für dauerhaft DORA-konforme Geschäftsprozesse.