Die DORA-Verordnung: Alle Infos im Überblick

Die DORA-Verordnung: Alle Infos im Überblick

Beitrag vom 07.01.2025

Zur Themenwelt Informationssicherheit

Der Digital Operational Resilience Act (DORA) für mehr Cybersicherheit im Finanzbereich

Seit dem 17. Januar 2025 ist es so weit: Der Digital Operational Resilience Act, kurz DORA, trat in Kraft. Finanzunternehmen müssen spätestens zu diesem Zeitpunkt eine Reihe von Cybersicherheitsmaßnahmen erfüllen und nachweisen können.

Wir haben uns mit Dr. Ralf Kollmann, IT-Berater bei der FIDES IT Consultants GmbH, darüber unterhalten,  

  • welche Ziele DORA verfolgt,  

  • welche Inhalte der Verordnung besonders wichtig sind und  

  • worauf betroffene Unternehmen bei der Umsetzung achten sollten.  

Was ist die DORA-Verordnung? – Definition und Hintergründe

Die Zahl der Cyberangriffe wächst seit Jahren. Mit der zunehmenden Verbreitung von KI, so ist Ralf Kollmann überzeugt, wird sich die Bedrohungslage weiter verschärfen. Schließlich senkt künstliche Intelligenz die Einstiegshürden und erhöht die Effizienz von digitalen Angriffen. Als lohnende Ziele besonders im Visier: Finanzinstitute und ihre Mitarbeiter:innen

DORA soll entscheidend dazu beitragen, dass sich der Finanzmarkt in der EU für diese Bedrohungen wappnet und Bürger:innen ihr Geld in sicheren Händen wissen. Die Verordnung schafft einen europaweit einheitlichen Rechtsrahmen, um die „“digitale operationale Resilienz” von Finanzunternehmen zu stärken. 

Veröffentlicht wurde die Verordnung am 17. Januar 2023. Im Anschluss gab es eine zweijährige Übergangsfrist, die im Januar 2025 endete. 

Wer ist von DORA betroffen?

Die von der DORA-Verordnung adressierten Unternehmen lassen sich in zwei Gruppen einteilen: 

  • Finanzinstitute: Zu den Finanzinstituten gehören vor allem Banken und Versicherungen, aber auch Wertpapierfirmen, Handelsplätze, Anbieter von Krypto-Dienstleistungen und diverse weitere Organisationen.  
  • Informations- und Kommunikationstechnologie-(IKT-)Dienstleister: Bemerkenswert ist die Art und Weise, in der DORA Dienstleister einbezieht. „Dass Unternehmen ihre Dienstleister auf IT-Sicherheit kontrollieren müssen, kennen wir aus dem Datenschutz oder von der NIS-2-Richtlinie“, erläutert Ralf Kollmann. „Neu bei der DORA-Verordnung ist, dass IKT-Drittdienstleister direkte Adressaten der Rechtsnorm sind. Dies bedeutet, dass Dienstleister, die für Banken, Versicherungen und andere in der Verordnung genannte Unternehmen arbeiten, direkt vom Gesetz betroffen sind und umfassende Anforderungen zur Informationssicherheit befolgen müssen.“

Gut zu wissen:DORA gibt einen europäischen Rahmen vor, der in den Mitgliedsstaaten durch nationale Gesetze ergänzt werden kann. In Deutschland erfolgt eine Anpassung an nationales Recht durch das Finanzmarktdigitalisierungsgesetz (FinmadiG), das am 18. Dezember 2024 vom Bundestag beschlossen wurde.  

Zum aktuellen Zeitpunkt, so Ralf Kollmann, erweitere der Entwurf den Geltungsbereich von DORA in Deutschland noch einmal. So sei jetzt nicht mehr nur die Rede von Finanzunternehmen, sondern auch von Finanzdienstleistungsunternehmen. Das schließe zum Beispiel manche Arten von Vermögensverwalter:innen ein.  

Worin bestehen die zentralen Anforderungen von DORA?

Die zentralen Anforderungen von DORA lassen sich in 5 Themenbereiche gliedern: 

1. Informationssicherheitsmanagement und IKT-Risikomanagement 

2. Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle 

3. Tests der digitalen operationalen Resilienz 

4. Management des IKT-Drittparteienrisikos 

5. Austausch von Informationen und Erkenntnissen 

 

Vieles davon, erläutert Ralf Kollmann, sei für Finanzinstitute nicht neu. „Vor DORA gab es kein direkt vergleichbares Gesetz. Aber es gab die BAIT, die bankaufsichtlichen Anforderungen an die IT. Dabei handelt es sich zwar nur um Verwaltungsschreiben. Deren Einhaltung ist jedoch für Finanzinstitute als bindend zu betrachten. Unternehmen, die die BAIT umgesetzt haben, haben in der Regel bereits einen großen Teil von DORA erfüllt.“ 

Unterschiede gebe es aber im Detail. Außerdem lohne es sich, einigen Themen besonderes Augenmerk zu schenken. 

IT-Governance: Die Verantwortung liegt ganz oben

Wie die EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie) betont die DORA-Verordnung die persönliche Verantwortung der Geschäftsleitung beziehungsweise der Leitungsorgane.  

So heißt es beispielsweise in Artikel 5, Absatz 2: 

„Das Leitungsorgan des Finanzunternehmens definiert, genehmigt, überwacht und verantwortet die Umsetzung aller Vorkehrungen im Zusammenhang mit dem IKT-Risikomanagementrahmen nach Artikel 6 Absatz 1.“ 

Das bedeutet unter anderem: Alle Geschäftsführer:innen tragen Verantwortung und können diese nicht einfach delegieren. Im Vergleich mit NIS-2 formuliert DORA deutlich umfassendere und detailliertere Anforderungen an die Geschäftsleitung. 

IKT-Risikomanagement – lange Anforderungsliste

Finanzunternehmen müssen IKT-Drittparteienrisiken fortlaufend einschätzen und überwachen. Außerdem müssen sie bereits vor Vertragsabschluss eine Risikobewertung sowie Prüfungsmaßnahmen vergleichbar mit Teilen einer Due Diligence vornehmen sowie neue Vorgaben für vertragliche Bestimmungen beachten. Ralf Kollmann warnt davor, diesen Bereich zu unterschätzen: „Die Anforderungsliste an vertragliche Regelungen ist sehr umfangreich.“ 

Resilienztests – geprüfte Sicherheit ist entscheidend

Umfangreich sind auch die Resilienztests, die DORA vorschreibt. Dazu gehören zum Beispiel szenariobasierte Tests der Wirksamkeit von Maßnahmen. Einige Unternehmen müssen zusätzlich bedrohungsorientierte 
Penetrationstests (Threat-led Penetration Tests, TLPT) durchführen. 

DORA und die NIS-2-Richtlinie – eine Einordnung

DORA ist nicht das einzige Regelwerk zu Cybersicherheit, mit dem viele Unternehmen konfrontiert sind. Ein anderes ist die bereits erwähnte zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie). Sie muss erst noch in nationales Recht umgesetzt werden und tritt in Deutschland in Form des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS-2UmsuCG) voraussichtlich im März 2025 in Kraft. 

Die NIS-2-Richtlinie richtet sich an deutlich mehr Unternehmen als die DORA-Verordnung. Expert:innen gehen von etwa 25.000 bis 40.000 aus. Allerdings gibt es eine Reihe von Unternehmen, die beide Rechtsnormen erfüllen müssen. In diesem Fall ist es wichtig, beides im Blick zu haben. „Die DORA-Verordnung ist die für die dort adressierten Unternehmen vorrangige Rechtsnorm“, erläutert Ralf Kollmann. „Die NIS-2-Richtlinie gilt für diese Unternehmen wie eine Auffangnorm. Das bedeutet: Wenn Regelungen von DORA im Widerspruch zur NIS-2-Richtlinie stehen, gilt vorrangig DORA. Falls die NIS-2-Richtlinie Regelungen enthält, die in DORA nicht geregelt sind, müssen diese ergänzend eingehalten werden.“ Die gute Nachricht: „Wenn Unternehmen DORA bereits erfüllen, werden sie die Anforderungen der NIS-2-Richtlinie meist nicht mehr schrecken.“ 

Für wen gilt die NIS-2-Richtlinie und was bedeutet dies für die betroffenen Unternehmen? Antworten auf diese und viele andere Fragen erhalten sie in unserem Beitrag „Die NIS-2-Richtlinie – was sie für Unternehmen bedeutet“. 

TÜV NORD – Ihr Partner für berufliche Weiterbildungen

  • Über 900 qualifizierte Referentinnen und Referenten geben ihr Know-how in über 520 verschiedenen Seminarthemen täglich an Sie weiter.
  • Wir bieten Ihnen volle Flexibilität. Entscheiden Sie selbst, ob Sie an unserem OnlineCampus, einer Präsenzschulung oder an einer für Sie konzipierten Inhouse-Schulung teilnehmen möchten.
  • Wir stehen für Qualität. Unsere Zertifikate und Bescheinigungen sind Qualitätssiegel für Sie und Ihr Unternehmen.

Unsere Seminar-Empfehlungen für Sie

Schulung: DORA-Verordnung in Unternehmen umsetzen

In unserer DORA-Schulung erhalten die Teilnehmerinnen und Teilnehmer sowohl einen technischen als auch einen rechtlichen Überblick über die Verpflichtungen der DORA-Verordnung und die damit verbundenen Informationssicherheitsgesetze wie die DORA-Richtlinie, NIS-2, das Finanzmarktdigitalisierungsgesetz (FinmadiG) sowie den Datenschutz. Darüber hinaus erfahren sie, welche Schritte notwendig sind, um die DORA-Compliance in ihrem Unternehmen frühzeitig sicherzustellen.

Die Teilnahmebescheinigung dient auch als Schulungsnachweis für Geschäftsleitungen gemäß § 38 Abs. 3 BISG-E und Art. 5 Abs. 4 DORA.

NIS-2-Experte (TÜV)

Um die NIS-2-Richtlinie im Unternehmen anforderungsgerecht umzusetzen, machen wir Sie in unserem Seminar mit den verschiedenen Aspekten der Richtlinie vertraut. Als zertifizierte NIS-2-Expertin oder zertifizierter -Experte (TÜV) kennen Sie somit die entscheidenden Faktoren für eine erfolgreiche Umsetzung der Anforderungen an die NIS-2-Konformität.

Nutzen Sie die Zeit und lassen Sie sich zum NIS-2-Experten bzw. zur -Expertin (TÜV) ausbilden, um sicher in die NIS-2-Umsetzung zu starten und künftig NIS-2-konform zu agieren.

ISO 27001 Lead Auditor (TÜV) / Auditor (TÜV)

Das Ziel unserer Lead Auditor Ausbildung ist es, Ihnen das Rüstzeug mitzugeben, das Sie für eine erfolgreiche und zielorientierte Durchführung von First-, Second- und Third-Party-Audits nach ISO/IEC 27001 (mit ISO/IEC 27002) in Verbindung mit ISO 19011 und ISO 17021 benötigen.

Unsere Prüfungen und Personenzertifizierungen zeichnen sich dadurch aus, dass sie dem hohen Anspruch der DAkkS (Deutsche Akkreditierungsstelle) an die Regularien im akkreditierten Bereich folgen!

Unternehmen müssen Handlungsbedarf genau prüfen

Mit der DORA-Verordnung betreten Banken und Versicherungen kein komplettes Neuland. Aber der Umfang der Verordnung ist groß, betont Ralf Kollmann. „Neben der eigentlichen DORA-Verordnung sind weitere damit verbundene Verordnungen sowie daraus referenzierte Regulierungsstandards einzuhalten. Es bedeutet einen großen Aufwand, sich einen Überblick über den vollständigen Regulierungsrahmen zu verschaffen.“ 

Kleine Unternehmen mit begrenzten Ressourcen sollten deshalb prüfen, ob sie von Erleichterungen profitieren. Die DORA-Verordnung listet speziell für diesen Fall Ausnahmen auf. Allgemein sei es wichtig, sich einen genauen Überblick zu verschaffen und Handlungsbedarf im eigenen Unternehmen zu prüfen.  

Wer damit spät begonnen hat, holt am besten schnell auf, zumal die Übergangsfrist im Januar 2025 abläuft. Sonst drohen im schlimmsten Fall Sanktionen, beispielsweise in Form von Bußgeldern beziehungsweise für manche Arten von Dienstleistern auch Zwangsgelder. Wer die Vorgaben der DORA-Verordnung sorgfältig umsetzt, genießt dagegen nicht nur mehr Rechtssicherheit, sondern auch mehr Sicherheit vor Cyberangriffen – im Zeitalter von KI wichtiger denn je. 

Ihre Ansprechpartnerin

Kontaktformular E-Mail senden
Ihre Ansprechpartnerin: Anna-Lena BartschTÜV NORD Akademie GmbH & Co. KG
Produktmanagerin Datenschutz und Informationsmanagement
II. Hagen 7, 45127 Essen

Tel.: +49 201 31955-41
abartsch@tuev-nord.de