Compliance mit dem Digital Operational Resilience Act (DORA)
Optimierte Informationssicherheit, Risikobehandlung und digitale Resilienz für Finanzinstitute und deren Zulieferer in der EU.
Compliance mit dem Digital Operational Resilience Act (DORA)
Optimierte Informationssicherheit, Risikobehandlung und digitale Resilienz für Finanzinstitute und deren Zulieferer in der EU.
Zufriedene Kunden der activeMind AG
Ist mein Unternehmen von DORA betroffen?
DORA macht Vorschriften für zahlreiche Finanzunternehmen und IKT-Drittdienstleister. Die Einordnung als Finanzunternehmen ist weit und reicht von Kreditinstituten bis zu Versicherungsvermittlern. IKT-Drittdienstleister bieten Leistungen der Informations- und Kommunikationstechnologie für Finanzunternehmen an.
Besonders relevant ist der Digital Operational Resilience Act für IKT-Dienstleister, die kritische oder wichtige Funktionen für Finanzunternehmen anbieten. Das bestimmt sich anhand der Bedeutung für die finanzielle Leistungsfähigkeit, die Fortführung der Geschäftstätigkeit und die Einhaltung rechtlicher Vorschriften. Je stärker ein Finanzunternehmen bei einem Ausfall der IKT-Dienstleistung betroffen ist, desto eher dient sie einer kritischen oder wichtigen Funktion.
Was müssen Unternehmen unter DORA tun?
DORA verlangt von Finanzunternehmen ihre Resilienz gegenüber Cyberbedrohungen zu verstärken und dafür wirksame Managementstrukturen und Strategien zu entwickeln. In diesem Zusammenhang spielt insbesondere das Risikomanagement und der Informationsaustausch mit der Finanzaufsicht eine zentrale Rolle.
Unternehmen, die Drittdienstleistungen für Unternehmen anbieten, sind von DORA nur mittelbar betroffen, wenn sie als kritische IKT-Drittdienstleister eingestuft werden.
Von anderen Drittdienstleistern wird DORA jedoch direkt umgesetzt werden müssen, da Finanzunternehmen unter DORA verpflichtet werden, nur mit Drittdienstleistern zu arbeiten, die bestimmte Anforderungen erfüllen.
Wie kann activeMind Unternehmen bei DORA unterstützen?
Die Anforderungen in DORA sind komplex und erfordern eine koordinierte Umsetzung von technischen Voraussetzungen, Risikomanagement und internen Governance-Strukturen.
Unsere Experten unterstützen Sie gerne bei der Vorbereitung und Implementierung der DORA-Vorgaben:
Analyse der DORA-Anforderungen
Wir analysieren die spezifisch für ihr Unternehmen relevanten Vorschriften der DORA. Anschließend identifizieren und bewerten wir aus dieser Perspektive die bereits angewandten Sicherheitspraktiken.
DORA-Audit
Wir auditieren ihr vorhandenes Informationssicherheits-Managementsystem (ISMS) und Auslagerungsmanagement oder führen eine GAP-Analyse durch, um Bereiche aufzudecken, in denen ihr Unternehmen noch nicht den DORA-Vorschriften entspricht.
Wir analysieren ebenfalls bestehende Verträge mit IKT-Drittdienstleistern und überprüfen, ob diese den Anforderungen der DORA gerecht werden.
Entwicklung eines DORA-Aktionsplans
Wir erstellen einen maßgeschneiderten Aktionsplan, der konkrete und priorisierte Schritte zur Schließung identifizierter Lücken und Stärkung Ihrer digitalen operationalen Resilienz umfasst.
Implementierungsunterstützung
Bei Bedarf unterstützen unsere Experten bei der Implementierung und Umsetzung der erforderlichen technischen und organisatorischen Maßnahmen zur Compliance mit DORA.
Risiko-Management
Wir helfen Ihnen, einen Risikomanagementrahmen in Ihrem Unternehmen zu etablieren bzw. vorhandenes Risikomanagement zu optimieren. Dies umfasst bspw. die Erstellung, Implementierung und Dokumentation von Strategien, Leit- und Richtlinien, Verfahren, IKT-Protokollen und Tools.
Management von IKT-bezogenen Vorfällen
Wir helfen bei der Entwicklung und Implementierung von Reaktions- und Wiederherstellungsplänen für IKT-bezogene Vorfälle, um diesen entgegenzuwirken und die Geschäftsfortführung zu gewährleisten. Wir helfen ihnen darüber hinaus bei der Erstellung und Implementierung von Kommunikationsplänen für die Finanzaufsicht, Mitarbeiter und Öffentlichkeit im Falle IKT-bezogener Vorfälle.
Management der IKT-Drittdienstleister
Wir unterstützen sie von der vorvertraglichen Due Diligence Prüfung für IKT-Drittdienstleistern bis zu Ausstiegsstrategien und Notfallmaßnahmen im Falle von Komplikationen mit IKT-Drittdienstleistern.
Informationsregister und Austausch mit der Aufsichtsbehörde
Wir unterstützen sie bei der Erstellung und Pflege des komplexen Informationsregisters nach Art. 28 Abs. 3 DORA und dem darauf aufbauenden Informationsaustausch mit der Finanzaufsicht.
Laufende Überwachung und Compliance-Überprüfung
Wir zeigen Ihnen, wie Sie Verfahren für die kontinuierliche Überwachung Ihrer digitalen operationalen Resilienz und regelmäßige Überprüfungen etablieren, um sicherzustellen, dass Ihr Unternehmen dauerhaft den DORA-Anforderungen entspricht.
DORA-Schulungen
Wir stellen spezielle Schulungen für Management, Personal und bei Bedarf IKT-Drittdienstleister bereit, um das Bewusstsein und das Verständnis für Cybersicherheitsrisiken zu erhöhen und die Best Practices zur Minderung dieser Risiken zu verdeutlichen.
Drei gute Gründe für activeMind als Ihren DORA-Partner
Erfahrung mit Standards
Die Experten von activeMind bringen jahrelange Erfahrung in der Umsetzung von Informationssicherheits-Normen wie ISO 27001 oder Branchenstandards wie TISAX oder B3S in Unternehmen verschiedenster Branchen mit.
Macher-Mentalität
Wir wissen nicht nur, was das Gesetz vorschreibt – sondern auch, wie Sie das in der Praxis am besten umsetzen. So kommen Sie deutlich schneller ans Ziel.
Echte Befähigung
Wir bringen Ihr Unternehmen auf den aktuellen Stand der Compliance und befähigen Sie dann, Ihre Informationssicherheit dauerhaft zu verbessern. So sind Sie auch für zukünftige Gefahren bestens gewappnet.
Ausgewählte Experten
Unsere Informationssicherheits-Consultants machen Ihr Unternehmen fit für den Digital Operational Resilience Act.
Kostenlose Erstberatung
Lassen Sie uns gemeinsam herausfinden, welche DORA-Anforderungen Ihr Unternehmen erfüllen muss – und was der beste Weg dorthin ist.
Schreiben Sie uns jetzt und wir melden uns innerhalb von zwei Werktagen mit einem Terminvorschlag für eine erste Auftragsklärung bei Ihnen!
Jeden (Arbeits-)Tag
Häufig gestellte Fragen zu DORA
Was ist DORA?
DORA steht für Digital Operational Resilience Act. Es handelt sich um die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Volltext). Es ist die europäische Antwort auf den digitalen Wandel und die Gefahr von Cyberbedrohungen im Finanzsektor. Die Verordnung gilt direkt und harmonisiert die gesetzlichen Voraussetzungen für die Cybersicherheit. Es ist kein nationaler Gesetzesakt erforderlich, damit DORA anwendbar ist.
Was sind die Hauptanforderungen der DORA an betroffene Unternehmen?
DORA stellt Anforderungen
- an die Unternehmensorganisation (Art. 5),
- das Risikomanagement von Kommunikations- und Informationstechnologie (IKT) (Art. 5 bis 16),
- an Tests der digitalen operationalen Resilienz (Art. 24 bis 27),
- den Umgang mit Drittanbietern von IKT-Dienstleistungen (Art. 28 bis 44) und
- den Informationsaustausch mit der Aufsichtsbehörde (Art. 45 und 49).
In Hinsicht auf die Unternehmensorganisation trägt das Leitungsorgan die letztendliche Verantwortung für IKT-Risiken und deren Management. Es muss Strukturen schaffen in denen Zuständigkeiten und Budgetmittel effektiv zugewiesen sind, sowie Informationskanäle anlegen, die es dem Leitungsorgan ermöglichen, rechtzeitig auf Änderungen des IKT-Risikos zu reagieren.
Im Rahmen des Risikomanagements und Drittanbietermanagements sind vor allem die Meldepflichten gegenüber der Finanzaufsicht herauszuheben. Diese müssen zum einen bei schwerwiegenden IKT-bezogenen Vorfällen erfolgen. Zum anderen ist ein umfassendes Informationsregister zu Drittanbietern und Drittdienstleistungen zu führen. Die Finanzaufsicht kann das Register vollständig oder in Teilen anfragen und ihr muss mindestens einmal jährlich Bericht über neue Vereinbarungen über Drittdienstleistungen erstattet werden.
Für kleine Finanzunternehmen gilt ein vereinfachter Risikomanagementrahmen mit geringeren Anforderungen.
Was müssen Unternehmen unter DORA tun, die bereits BAIT, VAIT, KAIT oder ZAIT umgesetzt haben?
DORA weist in einigen Bereichen eine deutlich höhere Regelungstiefe auf als bisher in aufsichtsbehördlichen Anforderungen an die IT (BAIT, ZAIT, VAIT, KAIT) und den Mindestanforderungen an das Risikomanagement (MaRisk). Hier müssen Unternehmen ihre bereits bestehenden Maßnahmen teils weitreichend ergänzen.
Dazu gehört insbesondere das bisher als Auslagerungsmanagement bekannte Management des IKT-Drittparteienrisikos. Neben der Bereitstellung des komplexen Informationsregister müssen in diesem Bereich vor Einsatz einer Drittdienstleistung Due-Diligence-Prüfungen durchgeführt und Ausstiegsstrategien sowie Notfallmaßnahmen entwickelt werden, falls eine Drittdienstleistung ungeplant beendet und ersetzt werden muss.
Besondere Anforderungen gibt es für IKT-Drittdienstleistungen im Übrigen hinsichtlich der Vertragsgestaltung. DORA macht detaillierte Vorgaben, welche Regelungen ein solcher Vertrag enthalten muss. Bei bereits bestehenden Verträgen wird zur Erfüllung der Anforderungen meist nachverhandelt werden müssen.
Darüber hinaus verlangt DORA eine ganzheitlich auf das Unternehmen angepasste Governance für die digitale operationale Resilienz und einen IKT-Risikomanagementrahmen, der Teil des Gesamtrisiko-Managementrahmens des Finanzunternehmens ist. Die Organisationsstruktur muss dabei so beschaffen sein, dass das Leitungsorgan seine Letztverantwortung effektiv wahrnehmen kann und die vielfach vorgeschriebenen Leitlinien und Maßnahmen definieren, genehmigen und überwachen kann.
Auch wenn viele Maßnahmen, die bisher für die Informationssicherheit implementiert wurden, weiterverwendet werden können müssen sie in den von DORA vorgeschriebenen Rahmen eingepasst werden.
Wann tritt DORA in Kraft?
DORA wurde am 14.12.2022 verabschiedet. Sie gilt ab dem 17.01.2025 und ihre Vorschriften werden ab diesem Datum angewendet.
Welche Konsequenzen drohen bei Nichtbeachtung von DORA?
Einerseits können von den zuständigen Behörden verwaltungsrechtliche Sanktionen erlassen werden, die von den Behörden auch veröffentlicht werden müssen. Darüber hinaus können Mitgliedsstaaten strafrechtliche Sanktionen erlassen.
Andererseits können Zwangsgelder gegen kritische IKT-Dienstleister verhängt werden, wenn sie den Weisungen der Aufsichtsbehörde nicht nachkommen. Diese können bis zu 1% des durchschnittlichen weltweiten Tagesumsatzes betragen, den der Dienstleister im vorangegangenen Geschäftsjahr erzielt hat.