DORA Compliance Guide für Finanzunternehmen

Was ist DORA?

Der Digital Operational Resilience Act (Verordnung (EU) 2022/2554) ist eine EU-Verordnung, die standardisiert, wie Finanzunternehmen IKT-Risiken (Informations- und Kommunikationstechnologie) verwalten. Die am 27. Dezember 2022 veröffentlichte DORA gilt ab dem 17. Januar 2025.

DORA stellt sicher, dass Banken, Versicherer, Wertpapierfirmen und deren kritische Technologieanbieter IKT-bedingten Störungen und Cyber-Bedrohungen standhalten, darauf reagieren und sich davon erholen können.

Wer muss die DORA einhalten?

Finanzunternehmen (Artikel 2)

DORA gilt für eine breite Palette von Finanzinstituten, darunter:

• Kreditinstitute (Banken)

• Zahlungsinstitute und E-Geld-Institute

• Wertpapierfirmen und Anbieter von Krypto-Dienstleistungen

• Versicherungs- und Rückversicherungsunternehmen

• Altersvorsorgeeinrichtungen

• Handelsplätze und zentrale Gegenparteien

• Ratingagenturen

IKT-Drittanbieter

Kritische IKT-Dienstleister (Cloud-Plattformen, Rechenzentren, Managed Security Services), die von EU-Behörden benannt werden, müssen ebenfalls den Überwachungsrahmen der DORA einhalten (Artikel 28-30).

Die fünf Säulen der DORA

1. IKT-Risikomanagement (Artikel 6-16)

Sie müssen einen umfassenden Rahmen für das IKT-Risikomanagement schaffen, der Folgendes abdeckt:

• Governance: Überwachung der IKT-Risiken durch den Vorstand und die Geschäftsführung

• Schutz: Sicherheitsrichtlinien, Zugangskontrollen, Verschlüsselung

• Erkennung: Kontinuierliche Überwachung und Bedrohungsanalyse

• Reaktion und Wiederherstellung: Incident Management und Business-Continuity-Pläne

• Lernen: Überprüfungen nach Vorfällen und Verbesserungszyklen

Ihr Rahmenwerk muss dokumentiert sein, regelmäßig überprüft werden und im Verhältnis zur Größe und zum Risikoprofil Ihres Unternehmens stehen.

2. Meldung von Vorfällen (Artikel 17-23)

DORA führt strikte Zeitpläne für die Meldung von IKT-bezogenen Vorfällen an die zuständigen Behörden ein:

• Erstmitteilung: Innerhalb von 4 Stunden nach Einstufung als schwerwiegend

• Zwischenbericht: Innerhalb von 72 Stunden mit Ursachenanalyse

• Abschlussbericht: Innerhalb eines Monats, einschließlich Wiederherstellungsmaßnahmen

3. Prüfung der digitalen operationalen Resilienz (Artikel 24-27)

Sie müssen Ihre IKT-Systeme und Resilienz-Fähigkeiten regelmäßig testen:

• Allgemeine Tests: Schwachstellenanalysen, Penetrationstests, szenariobasierte Tests

• Erweiterte Tests: Bedrohungsorientierte Penetrationstests (TLPT) für von Behörden identifizierte Unternehmen

Prüfintervall und -umfang hängen von Ihrem Risikoprofil ab, wobei TLPT für benannte Unternehmen mindestens alle drei Jahre erforderlich sind.

4. IKT-Drittparteien-Risikomanagement (Artikel 28-30)

DORA schreibt eine umfassende Überwachung von IKT-Drittanbietern vor, einschließlich:

• Vorkontraktuelle Bewertung: Due Diligence bezüglich der Fähigkeiten und Risiken des Anbieters

• Vertragliche Anforderungen: Service-Level, Audit-Rechte, Exit-Strategien, Kontrollen bei Unterbeauftragung

• Laufende Überwachung: Leistungsverfolgung, Compliance-Prüfung, Management von Konzentrationsrisiken

• Exit-Strategien: Pläne zur Überführung von Diensten ohne Unterbrechung

5. Informationsaustausch (Artikel 45)

Finanzunternehmen können an Vereinbarungen zum Austausch von Informationen über Cyber-Bedrohungen und Best Practices teilnehmen. Diese Vereinbarungen müssen die Vertraulichkeit wahren und den Datenschutzgesetzen entsprechen.

Roadmap zur Implementierung

Schritt 1: Bestimmen Sie Ihren Geltungsbereich

Bestätigen Sie, ob Ihr Unternehmen unter DORA fällt. Überprüfen Sie Artikel 2, um relevante Unternehmenstypen zu identifizieren, und konsultieren Sie im Zweifelsfall Ihre nationale zuständige Behörde.

Schritt 2: Durchführung einer Gap-Analyse

Bewerten Sie Ihre aktuellen Praktiken in den Bereichen IKT-Risikomanagement, Incident Response, Tests und Überwachung von Drittanbietern im Hinblick auf die DORA-Anforderungen. Identifizieren Sie Lücken in Richtlinien, Prozessen, Dokumentation und Kontrollen.

Schritt 3: Aufbau oder Aktualisierung Ihres IKT-Risikomanagement-Rahmens

Entwickeln Sie umfassende Richtlinien und Verfahren, die alle fünf Säulen abdecken. Stellen Sie sicher, dass die Governance auf Management- und Vorstandsebene etabliert ist, und weisen Sie klare Rollen und Verantwortlichkeiten zu.

Schritt 4: Einrichtung von Prozessen zur Meldung von Vorfällen

Definieren Sie Kriterien für die Klassifizierung von Vorfällen, Melde-Workflows und Eskalationspfade. Integrieren Sie diese in Ihre bestehenden Vorfall-Managementsysteme und schulen Sie Ihre Teams in den strengen Zeitplänen der DORA.

Schritt 5: Planung Ihres Testprogramms

Planen Sie regelmäßige Resilienz-Tests (Schwachstellenscans, Penetrationstests, Szenario-Übungen). Falls Sie für TLPT benannt sind, beauftragen Sie qualifizierte Tester und koordinieren Sie sich mit den Behörden.

Schritt 6: Überprüfung von Vereinbarungen mit Drittanbietern

Inventarisieren Sie alle IKT-Drittanbieter. Überprüfen Sie Verträge, um sicherzustellen, dass sie DORA-konforme Klauseln enthalten (Audit-Rechte, Exit-Bestimmungen, Transparenz bei Unterbeauftragung). Bewerten Sie das Konzentrationsrisiko und entwickeln Sie Minderungsstrategien.

Schritt 7: Alles dokumentieren

DORA erfordert eine umfangreiche Dokumentation: Risikoregister, Vorfallprotokolle, Testberichte, Verträge und Vorstandsprotokolle. Führen Sie prüfbereite Aufzeichnungen, um die Compliance nachzuweisen.

Schritt 8: Schulung Ihrer Teams

Stellen Sie sicher, dass IT-, Sicherheits-, Risiko-, Compliance- und Management-Teams die DORA-Anforderungen und ihre Verantwortlichkeiten verstehen. Führen Sie regelmäßig Schulungen und Simulationen durch.

DORA und andere Rahmenwerke

DORA ergänzt und überschneidet sich mit anderen Vorschriften und Standards:

• NIS2-Richtlinie: DORA befasst sich mit der IKT-Resilienz für Finanzunternehmen, während NIS2 die kritische Infrastruktur über Branchen hinweg abdeckt. Finanzunternehmen, die unter beides fallen, müssen ihre Compliance koordinieren.

• ISO 27001: Die Risikomanagement-Säule der DORA stimmt mit den Kontrollen der ISO 27001 überein. Ein ISO 27001-zertifiziertes ISMS kann die DORA-Compliance unterstützen, wird aber nicht alle Anforderungen abdecken (z. B. Zeitpläne für die Meldung von Vorfällen).

• DSGVO: Die Meldung von Vorfällen und die Überwachung von Drittparteien gemäß DORA müssen die Datenschutz- und Benachrichtigungsregeln der DSGVO respektieren.

Ordnen Sie die DORA-Anforderungen Ihren bestehenden Rahmenwerken zu, um Duplikate zu vermeiden und Vorarbeiten zu nutzen.

Häufige Herausforderungen

Eng Zeitpläne für die Meldung von Vorfällen

Das 4-stündige Fenster für die Erstmitteilung ist sportlich. Automatisieren Sie Erkennung und Klassifizierung, wo immer möglich, und bauen Sie 24/7 Incident-Response-Fähigkeiten auf.

Neuverhandlung von Drittverträgen

Vielen Altverträgen fehlen DORA-konforme Klauseln. Beginnen Sie frühzeitig mit Nachverhandlungen und priorisieren Sie kritische Anbieter.

TLPT-Koordination

Erweiterte Tests erfordern die Koordination mit Aufsichtsbehörden und qualifizierten Testern. Planen Sie weit im Voraus, falls Sie für TLPT vorgesehen sind.

Management von Konzentrationsrisiken

Die Identifizierung und Abmilderung einer übermäßigen Abhängigkeit von bestimmten Anbietern oder Technologien erfordert eine tiefgreifende Transparenz der Lieferkette. Führen Sie ein gründliches Dependency Mapping durch.

Sanktionen bei Nichteinhaltung

Die nationalen zuständigen Behörden setzen DORA mit Sanktionen bei Verstößen durch, darunter:

• Bußgelder von bis zu 2 % des jährlichen weltweiten Umsatzes

• Öffentliche Bekanntmachungen und Reputationsschäden

• Aussetzung der Tätigkeit oder Entzug der Zulassung in schweren Fällen

Die Strafen stehen im Verhältnis zur Schwere und Dauer der Nichteinhaltung.

Beschleunigen Sie die DORA-Compliance mit ISMS Copilot

ISMS Copilot ist ein KI-Assistent, der speziell für Compliance-Rahmenwerke wie DORA entwickelt wurde. Er hilft Ihnen bei:

• Gap-Analysen durchführen: Laden Sie Ihre bestehenden Richtlinien oder Risikobewertungen hoch und lassen Sie Copilot Lücken in Bezug auf die fünf Säulen der DORA identifizieren.

• Konforme Richtlinien erstellen: Nutzen Sie vorgefertigte Prompts, um IKT-Risikomanagement-Richtlinien, Verfahren zur Klassifizierung von Vorfällen und Drittpartei-Risikorahmenwerke zu erstellen, die an den DORA-Artikeln 6, 17 und 28 ausgerichtet sind.

• Mapping auf andere Rahmenwerke: Fragen Sie ab, wie DORA-Anforderungen mit ISO 27001, NIS2 oder NIST CSF zusammenhängen, um Multi-Framework-Compliance zu optimieren.

• Vorbereitung auf Audits: Erstellen Sie Checklisten, Nachweislisten und Kontrollzuordnungen für behördliche Inspektionen.

Beispielabfragen für ISMS Copilot:

• „Gilt DORA für mein Zahlungsinstitut?“

• „Erstelle eine IKT-Risikomanagement-Richtlinie für DORA Artikel 6.“

• „Wie sehen die Zeitpläne für die Meldung von Vorfällen gemäß DORA Artikel 19 aus?“

• „Erstelle eine Vorlage für die Risikobewertung von Drittanbietern für DORA Artikel 30.“

ISMS Copilot greift auf Praxiserfahrung aus der Beratung und offizielle Gesetzestexte zurück, um präzise, auditsichere Anleitungen zu liefern – ohne die bei allgemeiner KI üblichen Halluzinationen.

Erkunden Sie die DORA-Compliance-Prompt-Bibliothek für einsatzbereite Vorlagen, oder erfahren Sie, wie ISMS Copilot Risikomanager bei DORA und NIS2 unterstützt.

Zusätzliche Ressourcen

• Offizielle DORA-Verordnung (EU) 2022/2554

• DORA-Verordnung Überblick und Inhaltsverzeichnis

• DORA Compliance Prompt-Bibliothek

• ISMS Copilot für Risikomanager in regulierten Branchen (DORA/NIS2)