Der Digital Operational Resilience Act (DORA) und sein Einfluss auf die Finanzbranche

Die Digitalisierung hat die Finanzbranche revolutioniert, doch mit ihr sind auch neue Risiken entstanden. Cyberangriffe, IT-Ausfälle und Datenpannen bedrohen die Stabilität des Finanzsektors. Um diese Gefahren zu minimieren, hat die Europäische Union den “Digital Operational Resilience Act (DORA)” eingeführt. Da ich fast ein Jahr als Projektleiter einen großen Teil der DORA Anforderungen mit meinem Team umsetzen musste, möchte ich hier kurz erklären, worum es dabei geht.

DORA ist eine EU-Verordnung, die am 16. Januar 2023 in Kraft trat und ab dem 17. Januar 2025 verbindlich für alle Finanzunternehmen gilt. Sie soll sicherstellen, dass Finanzunternehmen und kritische IT-Dienstleister (wie Cloud-Anbieter) widerstandsfähiger gegen Cyberbedrohungen und IT-Störungen werden. DORA gilt für Banken, Versicherungen, Vermögensverwalter, Wertpapierfirmen, Zahlungsdienstleister und andere Finanzmarktteilnehmer.

Die fünf Hauptziele von DORA:

Stärkung der IT-Risikomanagementpraktiken

Finanzinstitute müssen Risiken identifizieren und bewerten. Hierbei werden jetzt genauere Vorgaben gemacht, vor allem welche Risiken man bewerten soll. Das führt schließlich dazu, dass Finanzunternehmen ohne ein umfangreiches systematisches IT-Risikomanagement nicht mehr auskommen können.

Ausweitung der Incident-Meldepflichten

Störungen müssen schneller gemeldet werden mit genauen Vorgaben, wie die Berichte auszusehen haben. Ziel ist, dass die Behörden eine bessere Übersicht über die aktuelle Cyberbedrohungslage bekommen.

Regulierung von IT-Dienstleistern

Kritische Anbieter (z. B. Cloud-Dienste) sollen genauer überwacht werden. Da viele Finanzinstitute einen Großteil ihrer IT auslagern, wird die Aufsicht verstärkt ihren Fokus auf das Prüfen von IT-Dienstleistern setzen, bzw. wird die Aufsicht genauer prüfen, ob die Finanzinstitute ihre Dienstleister angemessen überwachen und prüfen. Dementsprechend kommen mit DORA auch Pflichtbestandteile, die nun in die Dienstleiterverträge integriert werden müssen.

Einführung von Resilienz-Tests

Regelmäßige Stresstests für IT-Systeme werden verpflichtend und zwar deutlich umfassender und konkreter als zuvor. Dadurch sollen Schwachstellen vorzeitig erkannt werden.

Ausweitung der Zusammenarbeit zwischen Behörden

EU-weite Koordination bei Cybervorfällen soll möglich werden. Durch eine einheitliche Regulierung in der EU wird eine Zusammenarbeit zwischen den Behörden vereinfacht.

Fazit

DORA ist ein wichtiger Schritt zur Stärkung der digitalen Widerstandsfähigkeit im Finanzsektor. Die Verordnung führt zu höheren Sicherheitsstandards, umfassenderer Krisenvorsorge und einer stärkeren Regulierung von IT-Dienstleistern. Zwar bedeutet die Umsetzung zusätzlichen Aufwand und mehr Bürokratie, doch sie reduziert langfristig das Risiko von erfolgreichen Cyberangriffen und Großausfällen bei Finanzinstituten. Für die Finanzbranche soll DORA damit ein zentraler Baustein für mehr Stabilität im digitalen Zeitalter sein. Allerdings muss man ehrlicherweise auch sagen, dass DORA vor allem den sehr großen Finanzinstituten in der Hinsicht langfristig nützt. Kleinere Finanzinstitute und FinTech StartUps werden jedoch große Schwierigkeiten haben alle Anforderungen angemessen umzusetzen und sind daher gefragt sehr clever und effizient vorzugehen, um die Anforderungen umzusetzen ohne dabei eine kostenintensive interne Bürokratiemaschine (die ein Unternehmen ruinieren kann) aufzubauen.

Autor: Arthur Herzog

Bei Fragen bitte eine E-Mail an: info@arthurherzog.de