Logo der activeMind AG

Compliance mit dem Digital Operational Resilience Act (DORA)

Optimierte Informationssicherheit, Risikobehandlung und digitale Resilienz für Finanzinstitute und deren Zulieferer in der EU.

Ein Berater von activeMind prüft mit einem Tablet in der Hand die Informationssicherheit bei einem Finanzunternehmen auf DORA-Compliance

Compliance mit dem Digital Operational Resilience Act (DORA)

Optimierte Informationssicherheit, Risikobehandlung und digitale Resilienz für Finanzinstitute und deren Zulieferer in der EU.

Zufriedene Kunden der activeMind AG

Ist mein Unternehmen von DORA betroffen?

DORA macht Vorschriften für zahlreiche Finanzunternehmen und IKT-Drittdienstleister. Die Einordnung als Finanzunternehmen ist weit und reicht von Kreditinstituten bis zu Versicherungsvermittlern. IKT-Drittdienstleister bieten Leistungen der Informations- und Kommunikationstechnologie für Finanzunternehmen an.

Besonders relevant ist der Digital Operational Resilience Act für IKT-Dienstleister, die kritische oder wichtige Funktionen für Finanzunternehmen anbieten. Das bestimmt sich anhand der Bedeutung für die finanzielle Leistungsfähigkeit, die Fortführung der Geschäftstätigkeit und die Einhaltung rechtlicher Vorschriften. Je stärker ein Finanzunternehmen bei einem Ausfall der IKT-Dienstleistung betroffen ist, desto eher dient sie einer kritischen oder wichtigen Funktion.

Was müssen Unternehmen unter DORA tun?

DORA verlangt von Finanzunternehmen ihre Resilienz gegenüber Cyberbedrohungen zu verstärken und dafür wirksame Managementstrukturen und Strategien zu entwickeln. In diesem Zusammenhang spielt insbesondere das Risikomanagement und der Informationsaustausch mit der Finanzaufsicht eine zentrale Rolle.

Unternehmen, die Drittdienstleistungen für Unternehmen anbieten, sind von DORA nur mittelbar betroffen, wenn sie als kritische IKT-Drittdienstleister eingestuft werden.

Von anderen Drittdienstleistern wird DORA jedoch direkt umgesetzt werden müssen, da Finanzunternehmen unter DORA verpflichtet werden, nur mit Drittdienstleistern zu arbeiten, die bestimmte Anforderungen erfüllen.

Wie kann activeMind Unternehmen bei DORA unterstützen?

Die Anforderungen in DORA sind komplex und erfordern eine koordinierte Umsetzung von technischen Voraussetzungen, Risikomanagement und internen Governance-Strukturen.

Unsere Experten unterstützen Sie gerne bei der Vorbereitung und Implementierung der DORA-Vorgaben:

Wir analysieren die spezifisch für ihr Unternehmen relevanten Vorschriften der DORA. Anschließend identifizieren und bewerten wir aus dieser Perspektive die bereits angewandten Sicherheitspraktiken.

Wir auditieren ihr vorhandenes Informationssicherheits-Managementsystem (ISMS) und Auslagerungsmanagement oder führen eine GAP-Analyse durch, um Bereiche aufzudecken, in denen ihr Unternehmen noch nicht den DORA-Vorschriften entspricht.

Wir analysieren ebenfalls bestehende Verträge mit IKT-Drittdienstleistern und überprüfen, ob diese den Anforderungen der DORA gerecht werden.

Wir erstellen einen maßgeschneiderten Aktionsplan, der konkrete und priorisierte Schritte zur Schließung identifizierter Lücken und Stärkung Ihrer digitalen operationalen Resilienz umfasst.

Bei Bedarf unterstützen unsere Experten bei der Implementierung und Umsetzung der erforderlichen technischen und organisatorischen Maßnahmen zur Compliance mit DORA.

Wir helfen Ihnen, einen Risikomanagementrahmen in Ihrem Unternehmen zu etablieren bzw. vorhandenes Risikomanagement zu optimieren. Dies umfasst bspw. die Erstellung, Implementierung und Dokumentation von Strategien, Leit- und Richtlinien, Verfahren, IKT-Protokollen und Tools.

Wir helfen bei der Entwicklung und Implementierung von Reaktions- und Wiederherstellungsplänen für IKT-bezogene Vorfälle, um diesen entgegenzuwirken und die Geschäftsfortführung zu gewährleisten. Wir helfen ihnen darüber hinaus bei der Erstellung und Implementierung von Kommunikationsplänen für die Finanzaufsicht, Mitarbeiter und Öffentlichkeit im Falle IKT-bezogener Vorfälle.

Wir unterstützen sie von der vorvertraglichen Due Diligence Prüfung für IKT-Drittdienstleistern bis zu Ausstiegsstrategien und Notfallmaßnahmen im Falle von Komplikationen mit IKT-Drittdienstleistern.

Wir unterstützen sie bei der Erstellung und Pflege des komplexen Informationsregisters nach Art. 28 Abs. 3 DORA und dem darauf aufbauenden Informationsaustausch mit der Finanzaufsicht.

Wir zeigen Ihnen, wie Sie Verfahren für die kontinuierliche Überwachung Ihrer digitalen operationalen Resilienz und regelmäßige Überprüfungen etablieren, um sicherzustellen, dass Ihr Unternehmen dauerhaft den DORA-Anforderungen entspricht.

Wir stellen spezielle Schulungen für Management, Personal und bei Bedarf IKT-Drittdienstleister bereit, um das Bewusstsein und das Verständnis für Cybersicherheitsrisiken zu erhöhen und die Best Practices zur Minderung dieser Risiken zu verdeutlichen.

Drei gute Gründe für activeMind als Ihren NIS2-Partner

Erfahrung mit Standards

Die Experten von activeMind bringen jahrelange Erfahrung in der Umsetzung von Informationssicherheits-Normen wie ISO 27001 oder Branchenstandards wie TISAX oder B3S in Unternehmen verschiedenster Branchen mit.

Macher-Mentalität

Wir wissen nicht nur, was das Gesetz vorschreibt – sondern auch, wie Sie das in der Praxis am besten umsetzen. So kommen Sie deutlich schneller ans Ziel.

Echte Befähigung

Wir bringen Ihr Unternehmen auf den aktuellen Stand der Compliance und befähigen Sie dann, Ihre Informationssicherheit dauerhaft zu verbessern. So sind Sie auch für zukünftige Gefahren bestens gewappnet.

Ausgewählte Experten

Unsere Informationssicherheits-Consultants machen Ihr Unternehmen fit für den Digital Operational Resilience Act.

Consultant Datenschutz und Informationssicherheit
Senior Partner und Vorstand
Consultant Datenschutz und Informationssicherheit
Manager
Consultant Datenschutz und Informationssicherheit
Senior Associate

Kostenlose Erstberatung

Lassen Sie uns gemeinsam herausfinden, welche DORA-Anforderungen Ihr Unternehmen erfüllen muss – und was der beste Weg dorthin ist.

Schreiben Sie uns jetzt und wir melden uns innerhalb von zwei Werktagen mit einem Terminvorschlag für eine erste Auftragsklärung bei Ihnen!

Wir leben Sicherheit.
Jeden (Arbeits-)Tag
TISAX Siegel

Häufig gestellte Fragen zu DORA

DORA steht für Digital Operational Resilience Act. Es handelt sich um die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Volltext). Es ist die europäische Antwort auf den digitalen Wandel und die Gefahr von Cyberbedrohungen im Finanzsektor. Die Verordnung gilt direkt und harmonisiert die gesetzlichen Voraussetzungen für die Cybersicherheit. Es ist kein nationaler Gesetzesakt erforderlich, damit DORA anwendbar ist.

DORA stellt Anforderungen

  • an die Unternehmensorganisation (Art. 5),
  • das Risikomanagement von Kommunikations- und Informationstechnologie (IKT) (Art. 5 bis 16),
  • an Tests der digitalen operationalen Resilienz (Art. 24 bis 27),
  • den Umgang mit Drittanbietern von IKT-Dienstleistungen (Art. 28 bis 44) und
  • den Informationsaustausch mit der Aufsichtsbehörde (Art. 45 und 49).

In Hinsicht auf die Unternehmensorganisation trägt das Leitungsorgan die letztendliche Verantwortung für IKT-Risiken und deren Management. Es muss Strukturen schaffen in denen Zuständigkeiten und Budgetmittel effektiv zugewiesen sind, sowie Informationskanäle anlegen, die es dem Leitungsorgan ermöglichen, rechtzeitig auf Änderungen des IKT-Risikos zu reagieren.

Im Rahmen des Risikomanagements und Drittanbietermanagements sind vor allem die Meldepflichten gegenüber der Finanzaufsicht herauszuheben. Diese müssen zum einen bei schwerwiegenden IKT-bezogenen Vorfällen erfolgen. Zum anderen ist ein umfassendes Informationsregister zu Drittanbietern und Drittdienstleistungen zu führen. Die Finanzaufsicht kann das Register vollständig oder in Teilen anfragen und ihr muss mindestens einmal jährlich Bericht über neue Vereinbarungen über Drittdienstleistungen erstattet werden.

Für kleine Finanzunternehmen gilt ein vereinfachter Risikomanagementrahmen mit geringeren Anforderungen.

DORA weist in einigen Bereichen eine deutlich höhere Regelungstiefe auf als bisher in aufsichtsbehördlichen Anforderungen an die IT (BAIT, ZAIT, VAIT, KAIT) und den Mindestanforderungen an das Risikomanagement (MaRisk). Hier müssen Unternehmen ihre bereits bestehenden Maßnahmen teils weitreichend ergänzen.

Dazu gehört insbesondere das bisher als Auslagerungsmanagement bekannte Management des IKT-Drittparteienrisikos. Neben der Bereitstellung des komplexen Informationsregister müssen in diesem Bereich vor Einsatz einer Drittdienstleistung Due-Diligence-Prüfungen durchgeführt und Ausstiegsstrategien sowie Notfallmaßnahmen entwickelt werden, falls eine Drittdienstleistung ungeplant beendet und ersetzt werden muss.

Besondere Anforderungen gibt es für IKT-Drittdienstleistungen im Übrigen hinsichtlich der Vertragsgestaltung. DORA macht detaillierte Vorgaben, welche Regelungen ein solcher Vertrag enthalten muss. Bei bereits bestehenden Verträgen wird zur Erfüllung der Anforderungen meist nachverhandelt werden müssen.

Darüber hinaus verlangt DORA eine ganzheitlich auf das Unternehmen angepasste Governance für die digitale operationale Resilienz und einen IKT-Risikomanagementrahmen, der Teil des Gesamtrisiko-Managementrahmens des Finanzunternehmens ist. Die Organisationsstruktur muss dabei so beschaffen sein, dass das Leitungsorgan seine Letztverantwortung effektiv wahrnehmen kann und die vielfach vorgeschriebenen Leitlinien und Maßnahmen definieren, genehmigen und überwachen kann.

Auch wenn viele Maßnahmen, die bisher für die Informationssicherheit implementiert wurden, weiterverwendet werden können müssen sie in den von DORA vorgeschriebenen Rahmen eingepasst werden.

DORA wurde am 14.12.2022 verabschiedet. Sie gilt ab dem 17.01.2025 und ihre Vorschriften werden ab diesem Datum angewendet.

Einerseits können von den zuständigen Behörden verwaltungsrechtliche Sanktionen erlassen werden, die von den Behörden auch veröffentlicht werden müssen. Darüber hinaus können Mitgliedsstaaten strafrechtliche Sanktionen erlassen.

Andererseits können Zwangsgelder gegen kritische IKT-Dienstleister verhängt werden, wenn sie den Weisungen der Aufsichtsbehörde nicht nachkommen. Diese können bis zu 1% des durchschnittlichen weltweiten Tagesumsatzes betragen, den der Dienstleister im vorangegangenen Geschäftsjahr erzielt hat.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.