Matrix Technology AG
Blog > DORA – Die EU-Verordnung im Überblick

DORA – Die EU-Verordnung im Überblick

Johannes Rieder, Compliance Consultant, matrix technology

Johannes Rieder schreibt im Unternehmensblog über Regulatorik-Themen – gerne auch über solche, die manchmal übersehen werden, aber mehr Aufmerksamkeit verdienen.

Alle Beiträge des Autors

Beim Digital Operational Resilience Act (DORA) handelt es sich um eine EU-Verordnung, die darauf abzielt, die digitale Widerstandsfähigkeit von Unternehmen im Finanzsektor zu fördern. Der Rechtsakt reagiert auf die Herausforderungen und Chancen, die sich aus der fortschreitenden Digitalisierung, Vernetzung und Abhängigkeit der Wirtschaft ergeben.

Ab dem 17. Januar 2025 wird DORA in allen Mitgliedsstaaten Anwendung finden und hat als EU-Verordnung Vorrang vor nationalen Regelungen wie beispielsweise nationalen Gesetzen zur IT-Sicherheit (wie dem BSI-Gesetz) oder den Verwaltungsvorschriften der BaFin wie den sogenannten „XAIT” (BAIT, VAIT, ZAIT, KAIT). DORA erweitert zudem die Zielgruppe an einigen Stellen: So werden sich unter anderem IT-Dienstleister größeren Anforderungen stellen müssen und werden teilweise sogar direkt von den Aufsichtsbehörden überwacht.

DORA enthält ein weit gefasstes Verständnis des sogenannten IKT-Risikomanagementrahmens, der sich an das NIST Cyber Security Framework anlehnt und eine ganzheitliche Betrachtung und Behandlung von Cyberrisiken fordert.

Deutsche Versicherungsunternehmen sind in diesem Kontext zwar bereits durch die VAIT vorbereitet, sehen sich aber auch besonderen Herausforderungen gegenübergestellt.
Dies führt zu Fragen wie:

1. Was müssen Versicherungsunternehmen tun, um die DORA aufsichtskonform zu realisieren?  

2. Und welche konkreten Schritte sollten diese unternehmen, um die neue Regulatorik rechtzeitig umsetzen zu können?

Diesen Fragen stehen im Fokus unseres Whitepapers.

Und was beinhaltet DORA vor allem?

Wichtiges auf einen Blick:

Behandlung, Klassifizierung und Berichterstattung von IT-Incidents

  • Vorfälle werden hinsichtlich Relevanz, Anzahl, Ausbreitung und Kritikalität eingeteilt und die durch Ausfälle verursachten Kosten erfasst.
  • Der Incident Management Prozess muss effektiv sein und ausreichend dokumentiert werden.
  • Das IT-Notfallmanagement muss nach bewährten Praxisverfahren aufgebaut werden, um im Notfall eine schnelle und effektive Reaktion zu gewährleisten.
  • Über bestimmte IKT-bezogene Vorfälle muss den Aufsichtsbehörden innerhalb festgelegter Fristen anhand EU-weit einheitlicher Templates Bericht erstattet werden.

IKT-Risikomanagementrahmen

  • Die ganzheitliche Betrachtung umfasst die Bereiche Identifizierung, Schutz und Prävention, Erkennung, Gegenmaßnahmen und Wiederherstellung, Lernen sowie Weiterentwicklung und Kommunikation.
  • Das Leitungsorgan trägt die Verantwortung für das IKT-Risikomanagement und muss ausreichende Kenntnisse und Fähigkeiten aktiv auf dem neuesten Stand halten.
  • Die Umsetzung kann nach dem Grundsatz der Proportionalität erfolgen.

 

 

Testen der digitalen operationellen Resilienz

  • Ein risikobasiertes, proportionales Testprogramm muss in vielen Bereichen der IT etabliert werden.
  • Bestimmte Finanzunternehmen müssen zusätzlich sogenannte Threat-Led Penetration Testing (TLPT) durchführen. Diese Testmethodik soll sich dabei am TIBER-EU-Rahmenwerk orientieren und die Tests ausschließlich von fachkundigen Testern durchgeführt werden.
  • Die Notfall- und Wiederherstellungspläne müssen jährlich geübt und von der Internen Revision auditiert werden.

Management des IKT-Drittparteirisikos

  • Alle mit der Beauftragung von Dienstleistern einhergehenden Risiken müssen strukturiert bewertet und aktiv gesteuert werden. Dazu gehört auch die Integration der Dienstleister in den Informationsverbund.
  • Das Informationsregister dient der strukturierten Verwaltung aller Informationen zu Vertragsbeziehungen mit IKT-Dienstleistern. DORA enthält eine weit gefasste Definition von IKT-Dienstleistern.
  • Vertragliche Bestimmungen mit IKT-Dienstleistern müssen zahlreiche neue Mindestinhalte enthalten. Die BaFin betont, dass trotz knapper Zeitplanung keine Übergangsfrist vorgesehen ist.

Überblick über die wichtigsten DORA-Anforderungen

Hintergrund: Digitale Resilienz

«Die Kunst ist, einmal mehr aufzustehen, als man umgeworfen wird.» So hat Winston Churchill schon damals wohl das beschrieben, was sicher viele Menschen unter Resilienz verstehen: Resilienz ist die Fähigkeit, das Verhalten an belastende Situationen anzupassen, sich weiterzuentwickeln und an Krisen zu wachsen.

Digitale Resilienz (DR) bedeutet, durch digitale Technologien sich verändernde – kritische – Gegebenheiten zu bewältigen. Es geht um digitale Souveränität, Innovationen und dauerhafte Wettbewerbsfähigkeit. Die DR bietet Möglichkeiten, und darauf kommt es in Krisen an.

Gerade im Finanzsektor besteht eine enorme Abhängigkeit von Informations- und Kommunikationstechnologien (IKT). Corona hat gezeigt, dass Unternehmen mit einem hohen Digitalisierungsgrad die Corona-Krise besser gemeistert haben als solche, die nichts von cloudbasiertem Arbeiten oder Homeoffice hielten.

Wie matrix technology unterstützt

Die Konzeption, der Aufbau und der Betrieb von resilienten IT-Infrastrukturen (egal ob Private, Public oder Hybrid Cloud) ist als IT-Dienstleister unser Kerngeschäft. Aus unseren regelmäßigen Beratungen rund um eine Regulatorik-konforme IT im Sinn der VAIT und BAIT stammt das Knowhow, mit dem wir aktuell und künftig Unternehmen auch in puncto DORA-Compliance unterstützen. Wir nutzen etablierte Standards für IT-Sicherheit und IT-Governance, mit denen regulierte Unternehmen die Anforderungen multipler gesetzlicher Vorgaben und behördliche Forderungen erfüllen können.

Hier geht es zum Download der im Amtsblatt der EU am 14. Dezember 2022 veröffentlichten Verordnung zum Digital Operational Resilience Act auf Deutsch. Die Verordnung war im Januar 2023 in Kraft getreten und entfaltet ihre verbindliche Wirkung ab Januar 2025.

Eine Übersicht über den aktuellen Umsetzungsstand und zahlreiche Informationsmaterialien können Sie gerne auf der BaFin-Website nachlesen: BaFin - DORA