Digital Operational Resilience Act - Alles zur EU-Verordnung

Das Wichtigste in Kürze:

Die digitale Transformation hat weitreichende Folgen für nahezu alle Branchen. Im Finanzsektor und den damit verbundenen Dienstleistungsunternehmen nimmt die Komplexität der IT-Systeme stetig zu. Gleichzeitig steigen die Sicherheitsrisiken, etwa durch Cyberangriffe oder Systemausfälle. Um diesen Herausforderungen zu begegnen, hat die Europäische Union den Digital Operational Resilience Act (DORA) ins Leben gerufen. Hinter dieser Verordnung steht das Ziel, eine widerstandsfähige IT-Infrastruktur zu schaffen, die Cyberbedrohungen und verschiedensten Risiken standhalten kann.

Was ist der Digital Operational Resilience Act (DORA)?

​Am 17. Januar 2025 trat der Digital Operational Resilience Act (deutsch auch DORA abgekürzt) offiziell in Kraft. Dabei handelt es sich um eine EU-weite Verordnung, die darauf abzielt, die operationalen Risiken im Finanzwesen und in verbundenen Diensten zu minimieren. Hierunter fallen unter anderem Banken, Versicherungen, Zahlungsdienstleister sowie IT-Dienstleister, die diese Institutionen unterstützen. Gemäß der Richtlinie sollen alle betroffenen Organisationen sicherstellen, dass ihre kritischen Geschäftsprozesse und IT-Systeme robust, widerstandsfähig und kontinuierlich verfügbar bleiben.

DORA verfolgt diese Ziele:

• Schaffung von Standardisierungen und Klarheit bei den IT-Sicherheitsanforderungen.
• Stärkung des Vertrauens in Finanzdienstleistungen durch Minimierung von Cyberangriffen und Ausfällen.
• Reduzierung systemischer Risiken,um die Stabilität des Finanzsystems als Ganzes zu sichern.
  

Von der Verordnung betroffen sind:

• Finanzinstitute (z. B. Banken, Versicherungen, Zahlungsdienstleister)
• IT-Dienstleister, die für genannte Finanzinstitute wichtige Dienstleistungen bereitstellen
• Weitere Unternehmen, die in der Wertschöpfungskette der Finanzinstitute eingebunden sind
  

Wichtig ist, dass nicht nur die Endanbieter der Finanzdienste ihre IT-Sicherheit gewährleisten müssen, sondern auch Dienstleister in der Lieferkette. Damit ist DORA nicht allein ein Thema für Banken oder Versicherer: Auch technologisch orientierte Unternehmen, die für diese Branchen Software oder Infrastruktur bereitstellen, fallen unter die Verordnung.

Dora Zeitplan - Wann ist der Umsetzungstermin?

Die Digital Operational Resilience Act Timeline umfasst mehrere wichtige Meilensteine:

• Dezember 2020: Die Europäische Kommission schlägt DORA als Teil der Digital Finance Strategy vor. ​
• Dezember 2022: Verabschiedung der finalen Verordnung durch das Europäische Parlament und den Rat.
• 16. Januar 2023: DORA tritt formell in Kraft. ​
• 17. Januar 2025: Offizielles Digital Operational Resilience Act Inkrafttreten - Ende der Übergangsfrist; die Verordnung wird für alle betroffenen Unternehmen verbindlich. ​

Zentrale Anforderungen: Risikomanagement und Meldepflichten

Die EU-Kommission hat mit DORA einen Regelungsrahmen geschaffen, der darin gipfelt, dass Finanzunternehmen und zugehörige Dienstleister ihre IT-Risiken klar benennen, bewerten und kontinuierlich überwachen müssen. Das Risikomanagement bildet dabei das Herzstück. Es müssen geeignete Prozesse etabliert werden, um potenzielle Bedrohungen frühzeitig zu erkennen und zu beheben.

Ein wesentlicher Bestandteil ist die Melde- und Dokumentationspflicht. Nicht nur sollen die Unternehmen bei schwerwiegenden IT-Störungen die zuständigen Aufsichtsbehörden informieren, sie müssen zudem systematisch alle Vorkommnisse erfassen, bewerten und gemäß den Vorgaben aufzeichnen. Dabei geht es nicht nur um bekannte Sicherheitslöcher, sondern auch um systemische Risiken wie etwa unwirksame Kontrollen oder Lücken in der Notfallplanung.

Folgende Punkte spielen eine zentrale Rolle:

• Aufbau eines strukturierten Risikomanagement-Systems: Idealerweise in Form regelmäßiger Risikoanalysen, die sowohl technische als auch organisatorische Faktoren berücksichtigen.
• Lückenlose Dokumentation: Alle identifizierten Risiken, Vorfälle und Maßnahmen zur Gegensteuerung müssen nachvollziehbar festgehalten werden.
• Reporting: Bei kritischen Vorfällen sind die Unternehmen verpflichtet, die relevanten Behörden schnell und umfassend zu informieren.
  

Ohne ein klar definiertes Vorgehen zur Erfassung und Bearbeitung von IT-Risiken entfaltet DORA seine Wirksamkeit nicht. Unternehmen müssen sich klarmachen, dass dies eine kontinuierliche Aufgabe ist, bei der laufende Dokumentation ebenso wichtig ist wie das regelmäßige Überprüfen von Maßnahmen.

Umgang mit externen Dienstleistern

Ein weiterer entscheidender Aspekt der DORA-Verordnung ist der Outsourcing-Prozess. Finanzunternehmen sind in vielen Bereichen auf externe Partner angewiesen - von Cloud-Anbietern bis hin zu spezialisierter Software-Entwicklung. Dabei müssen sie sicherstellen, dass auch bei ausgelagerten Dienstleistungen sämtliche DORA-Vorgaben beachtet werden.

• Vertragliche Regelungen: Verträge mit Drittanbietern sollten klare Bestimmungen zur Verantwortlichkeit, zur Incident-Bearbeitung und zur Überwachung der Dienstleister beinhalten.
• Regelmäßige Risikoüberprüfungen: Unternehmen sollten sicherstellen, dass externe Partner über stabile Prozesse verfügen und selbst Compliance-relevant handeln.
• Beachtung von Kommunikationswegen: Bei Sicherheitsvorfällen oder Störungen muss eine lückenlose Informationskette garantiert sein.
  

Gerade in Zeiten umfangreicher Cloud-Nutzung ist dies ein zentraler Punkt: Wer kritische Daten oder Prozesse an Cloud-Anbieter auslagert, muss bereits beim Onboarding der Dienstleister deren Leistungsfähigkeit und Sicherheitsstandards überprüfen. Andernfalls drohen Haftungsrisiken und mögliche Sanktionen durch die Aufsichtsbehörden.

Rolle der Aufsichtsbehörden

Verschiedene Institutionen sind damit beauftragt, die Einhaltung von DORA zu überwachen und zu steuern. Auf europäischer Ebene spielen die Europäische Bankenaufsichtsbehörde (EBA), die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) und die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA) eine zentrale Rolle. Ergänzend dazu wirken die nationalen Aufseher, wie beispielsweise in Deutschland die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin).

Die enge Koordination zwischen EU- und nationalen Behörden gewährleistet, dass die Anforderungen einheitlich angewendet werden. Darüber hinaus formulieren die europäischen Behörden Leitlinien und technische Regulierungsstandards, die die praktische Umsetzung von DORA konkretisieren. Unternehmen sollten diese Veröffentlichungen im Blick behalten, da sie unter Umständen detailliert ausführen, wie das Meldesystem oder die Bewertung von Cyberrisiken auszusehen hat.

Die Rolle der nationalen Behörden liegt hauptsächlich in der konkreten Aufklärung, Prüfung und Durchsetzung. Sie können Prüfungen anordnen und je nach Schwere der Verstöße Sanktionen verhängen. In kritischen Fällen, etwa bei schweren oder wiederholten Verstößen, drohen Bußgelder, die nicht nur das Budget belasten, sondern häufig auch den Ruf des betroffenen Unternehmens schädigen.

Herausforderungen und Chancen

Mit jedem Regelwerk kommen Aufwände, aber auch Vorteile. DORA-Befolgung kann als Gelegenheit gesehen werden, IT-Infrastrukturen aus einem ganzheitlichen Blick zu modernisieren, Prozesse konsequenter zu dokumentieren und letztlich mehr Kostenkontrolle und Qualität im IT-Betrieb zu erreichen.

Typische Stolpersteine bei der Umsetzung‍

1) Fehlende Ressourcen und Expertise  

Gerade für kleinere Finanzinstitutionen kann die Umsetzung von DORA Personal- und Budgetfragen aufwerfen. Es braucht versierte IT-Sicherheitsfachleute und Bewusstsein im Management. Zudem lassen sich Prozesse dennoch nicht "nebenbei" auf das neue Niveau heben.

2) Organisationale Widerstände  

Ab einem gewissen Punkt stellen sich Mitarbeiter fragen: "Wieder neue Formalitäten? Noch mehr Dokumentation?". DORA verlangt Kulturwandel, bei dem IT-Security als strategische Geschäftsaufgabe begriffe und nicht als Innovation-Blocker empfunden.

3) Komplexes Miteinander mit Dienstleistern  

Viele externe Provider werden nach höheren Standards befragt (Offenlegung, Meldung potenzieller Vorfälle). Nicht jeder Anbieter bereitet sich darauf frühzeitig vor. Ein Teil könnte abwarten, wie Regulierungen exakt aussehen und Komplexität auch da auf Auftraggeber zurückfallen.

Potenzielle Wettbewerbsvorteile durch erhöhte Resilienz

Auf der anderen Seite bietet die Implementierung von DORA beträchtliche Chancen:

• Vertrauen stärken: Eine Bank, die ihre IT-Landschaft nachweislich robust aufstellt, wird von Kunden als verlässlicher Partner wahrgenommen. Gerade in Zeiten, in denen Cyberhacks Schlagzeilen machen, kann dies marktpsychologisch ein USP sein.
• Effizientere Prozesse: Durch klar definierte Governance-Strukturen und eine transparente Dokumentation können Abläufe verschlankt und automatisiert werden. Das vermeidet redundante Arbeit und reduziert Silodenken.
• Verbesserte Notfallreaktion: Wer Cybervorfälle simuliert und Meldekette umfassend definiert hat, kann im Ernstfall deutlich schneller eingreifen und Schäden minieren. Das mindert Reputationsverluste und kostenintensive Zwischenfälle.

Praktische Umsetzung und Best Practices

Die erfolgreichste Herangehensweise an DORA liegt in Strategie, Prozessen und Tools, die ineinandergreifen. Unternehmen sollten dabei auf bestehenden Frameworks (z. B. ISO 27001) aufbauen, aber DORA-spezifische Lücken gezielt schließen.

Schritte für die Vorbereitung

1. Projektteam bilden:  

Involvieren Sie alle relevanten Stakeholder: IT, Management, Compliance, Fachbereiche für Zahlungsverkehr, Outsourcing-Verantwortliche. So erhalten Sie ein abteilungsübergreifendes Gremium, das Entscheidungen gemeinsam trägt und kommuniziert.

2. Gap-Analyse durchführen:  

Prüfen Sie, wo Ihr Unternehmen hinsichtlich IT-Sicherheit schon gut aufgestellt ist und wo noch Verbesserungsbedarf besteht. Nutzen Sie Checklisten oder branchenübliche Frameworks, um sich an DORA orientiert zu verorten.

3. Roadmap erstellen:  

Legen Sie messbare Ziele und Meilensteine fest. Beispielsweise: "Bis Q2 2024: Pen-Tests in kritischen Legacy-Applikationen. Bis Q4 2024: Fokus auf Cloud-Verträge und SLA-Definition". Wichtig ist, ein pragmatischer Zeitplan, der Ressourcen realistisch abbildet.

4. Priorisierung:  

Nicht alles kann parallel angegangen werden. Welche Risiken wiegen schwer? Wo drohen Aufsichtsbehörden schnell Sanktionen? Was ist im Sinne Stabilität und Business-Fortsetzung oberste Priorität?

5. Kommunikation und Digital Operational Resilience Act Training:  

Holen Sie Mitarbeiter ins Boot und veranschaulichen, warum diese Maßnahmen jedes Teammitglied betreffen. DORA soll kein IT-Silo sein, sondern ein Querschnittsthema, das alle Abteilungen involviert.

Dokumentations- und Schulungskonzepte

Dokumentation ist laut DORA eine Kernkomponente: Welche Assets existieren, wer verfügt über Zugriffsrechte, was wurde wann aktualisiert und getauscht, wo liegen Sicherheitsverfahren und Notfallpläne? All dies gehört lückenlos in ordentliche Register.

Schulungen runden den Prozess ab: Sie konzentrieren sich auf Risk-Awareness, Incident-Eskalation und Best Practices. Regelmäßige Refresh-Trainings stellen sicher, dass Mitarbeiter informiert bleiben, Neuerungen in Meldeverfahren, Phishing-Szenarien oder IT-Policies kennen und proaktiv agieren.

Softwarelösungen zur Unterstützung der Digital Operational Resilience Act EU-Verordnung

Angesichts der umfangreichen Anforderungen an Dokumentation, Reporting und Meldewege wird schnell klar: Manuelle Excel-Listen oder Eigenbau-Lösungen stoßen schnell an ihre Grenzen. Eine zentrale Plattform zur IT-Dokumentation und Prozessunterstützung schafft Abhilfe, reduziert unnötigen Aufwand und beschleunigt Abläufe-

Eine umfassende Software für Inventarisierung, Automatisierung und Compliance-Funktionen kann Prozesse in mehrfacher Hinsicht vereinfachen:

• Alle Assets (Server, Clients, Anwendungen, Cloud-Instanzen) werden regelmäßig automatisch erfasst und in einer zentralen Datenbank überführt.
• Risikoanalysen lassen sich direkt an Assets knüpfen, wodurch ein wirklichkeitsnahes Sicherheitsbild entsteht.
• Meldungen und Berichte können in standardisierten Formaten (PDF, HTML, DOCX) generiert werden, um Audit-Anfragen oder Management-Meetings zu bedienen.
• Rollen und Berechtigungen lassen sich definieren und verwalten, um unbefugte Zugriffe und unklare Verantwortlichkeiten zu beseitigen.

‍Wie Docusnap bei der Einhaltung unterstützt

Für IT-Manager und -Administratoren bedeutet DORA eine signifikante Erweiterung der Verantwortung im Bereich der Cybersicherheit. Die Implementierung eines effektiven IKT-Risikomanagements erfordert detaillierte Kenntnisse über die gesamte IT-Infrastruktur und die Fähigkeit, potenzielle Schwachstellen proaktiv zu identifizieren und zu beheben. Hier bietet unsere Software wertvolle Unterstützung:​

• Automatisierte Inventarisierung: Docusnap ermöglicht eine agentenlose Erfassung aller Netzwerkgeräte, Server, Clients und Anwendungen. Dies schafft eine transparente Übersicht über die IT-Landschaft und erleichtert die Identifikation von IKT-Risiken.​
• Dokumentation und Berichterstattung: Mit Docusnap können detaillierte Berichte und Netzwerkpläne erstellt werden, die für die Nachweispflicht gegenüber Aufsichtsbehörden im Rahmen von DORA essenziell sind.​
• Berechtigungsanalyse: Die Software bietet Funktionen zur Analyse von Zugriffsrechten, um sicherzustellen, dass nur autorisierte Personen Zugriff auf kritische Systeme haben, was ein wichtiger Aspekt des IKT-Risikomanagements ist.​

Praxisbeispiel: Umsetzung von DORA mit Docusnap

Ein mittelständisches Finanzinstitut stand vor der Herausforderung, die DORA-Anforderungen fristgerecht umzusetzen. Durch den Einsatz von Docusnap konnte das Unternehmen eine vollständige Inventarisierung seiner IT-Infrastruktur durchführen, Schwachstellen identifizieren und entsprechende Maßnahmen einleiten. Die detaillierten Berichte dienten als Nachweis für die Einhaltung der regulatorischen Vorgaben gegenüber der Aufsichtsbehörde.​

Fazit und Ausblick

Der Digital Operational Resilience Act stellt hohe Anforderungen an Finanzunternehmen, bietet jedoch auch die Chance, die eigene IT-Sicherheit und Resilienz nachhaltig zu verbessern. IT-Verantwortliche sollten DORA als Chance sehen, ihr Sicherheits- und Governance-Niveau ganzheitlich zu heben und damit langfristig Kundenvertrauen und Marktreputation zu steigern.

Angesichts des rasanten Fortschritts im Bereich Cybersecurity, Cloud-Technologien, Künstliche Intelligenz oder Blockchain ist es wahrscheinlich, dass die Verordnung in Zukunft aktualisiert, präzisiert oder mit ergänzenden Richtlinien weiterentwickelt wird. Neue Bedrohungsszenarien entstehen nahezu täglich, und Gesetzgeber sowie Aufsichtsbehörden werden weiter handeln, um Regellücken zu schließen und Angriffsflächen zu minimieren.

Wer jetzt Transparenz, strukturierte Dokumentation und Effizienz in IT-Prozessen aufbaut, wird sich leichter tun, auf neue Regulierungsanforderungen zu reagieren und Cyber-Resilienz künftig als verinnerlichten Wettbewerbsvorteil zu nutzen. Mit Lösungen wie Docusnap können Unternehmen die Herausforderungen effizient meistern und die Einhaltung der DORA-Vorgaben sicherstellen.​

‍

‍