Die DORA-Verordnung: Alle Infos im Überblick

Die Zahl der Cyberangriffe wächst seit Jahren. Mit der zunehmenden Verbreitung von KI, so ist Ralf Kollmann überzeugt, wird sich die Bedrohungslage weiter verschärfen. Schließlich senkt künstliche Intelligenz die Einstiegshürden und erhöht die Effizienz von digitalen Angriffen. Als lohnende Ziele besonders im Visier: Finanzinstitute und ihre Mitarbeiter:innen. 

DORA soll entscheidend dazu beitragen, dass sich der Finanzmarkt in der EU für diese Bedrohungen wappnet und Bürger:innen ihr Geld in sicheren Händen wissen. Die Verordnung schafft einen europaweit einheitlichen Rechtsrahmen, um die „“digitale operationale Resilienz” von Finanzunternehmen zu stärken. 

Veröffentlicht wurde die Verordnung am 17. Januar 2023. Im Anschluss gab es eine zweijährige Übergangsfrist, die im Januar 2025 endete. 

Die von der DORA-Verordnung adressierten Unternehmen lassen sich in zwei Gruppen einteilen: 

• Finanzinstitute: Zu den Finanzinstituten gehören vor allem Banken und Versicherungen, aber auch Wertpapierfirmen, Handelsplätze, Anbieter von Krypto-Dienstleistungen und diverse weitere Organisationen.  
•  Informations- und Kommunikationstechnologie-(IKT-)Dienstleister: Bemerkenswert ist die Art und Weise, in der DORA Dienstleister einbezieht. „Dass Unternehmen ihre Dienstleister auf IT-Sicherheit kontrollieren müssen, kennen wir aus dem Datenschutz oder von der NIS-2-Richtlinie“, erläutert Ralf Kollmann. „Neu bei der DORA-Verordnung ist, dass IKT-Drittdienstleister direkte Adressaten der Rechtsnorm sind. IT-Dienstleister, die für Banken, Versicherungen und andere in der Verordnung genannte Unternehmen arbeiten, müssen in der Regel ein deutlich erhöhtes IT-Sicherheitsniveau gewährleisten, weil ihre Bank- und Versicherungskunden dies verlangen.“

Die zentralen Anforderungen von DORA lassen sich in 5 Themenbereiche gliedern: 

1. Informationssicherheitsmanagement und IKT-Risikomanagement 

2. Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle 

3. Tests der digitalen operationalen Resilienz 

4. Management des IKT-Drittparteienrisikos 

5. Austausch von Informationen und Erkenntnissen 

Vieles davon, erläutert Ralf Kollmann, sei für Finanzinstitute nicht neu. „Vor DORA gab es kein direkt vergleichbares Gesetz. Aber es gab die BAIT, die bankaufsichtlichen Anforderungen an die IT. Dabei handelt es sich zwar nur um Verwaltungsschreiben. Deren Einhaltung ist jedoch für Finanzinstitute als bindend zu betrachten. Unternehmen, die die BAIT umgesetzt haben, haben in der Regel bereits einen großen Teil von DORA erfüllt.“ 

Unterschiede gebe es aber im Detail. Außerdem lohne es sich, einigen Themen besonderes Augenmerk zu schenken. 

DORA ist nicht das einzige Regelwerk zu Cybersicherheit, mit dem viele Unternehmen konfrontiert sind. Ein anderes ist die bereits erwähnte zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie). Sie muss erst noch in nationales Recht umgesetzt werden und tritt in Deutschland in Form des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS-2UmsuCG) vermutlich Ende 2025 in Kraft. 

Die NIS-2-Richtlinie richtet sich an deutlich mehr Unternehmen als die DORA-Verordnung. Expert:innen gehen von etwa 25.000 bis 40.000 aus. Allerdings gibt es eine Reihe von Unternehmen, die beide Rechtsnormen erfüllen müssen. In diesem Fall ist es wichtig, beides im Blick zu haben. „Die DORA-Verordnung ist die für die dort adressierten Unternehmen vorrangige Rechtsnorm“, erläutert Ralf Kollmann. „Die NIS-2-Richtlinie gilt für diese Unternehmen wie eine Auffangnorm. Das bedeutet: Wenn Regelungen von DORA im Widerspruch zur NIS-2-Richtlinie stehen, gilt vorrangig DORA. Falls die NIS-2-Richtlinie Regelungen enthält, die in DORA nicht geregelt sind, müssen diese ergänzend eingehalten werden.“ Die gute Nachricht: „Wenn Unternehmen DORA bereits erfüllen, werden sie die Anforderungen der NIS-2-Richtlinie meist nicht mehr schrecken.“ 

Mit der DORA-Verordnung betreten Banken und Versicherungen kein komplettes Neuland. Aber der Umfang der Verordnung ist groß, betont Ralf Kollmann. „Neben der eigentlichen DORA-Verordnung sind weitere damit verbundene Verordnungen sowie daraus referenzierte Regulierungsstandards einzuhalten. Es bedeutet einen großen Aufwand, sich einen Überblick über den vollständigen Regulierungsrahmen zu verschaffen.“ 

Kleine Unternehmen mit begrenzten Ressourcen sollten deshalb prüfen, ob sie von Erleichterungen profitieren. Die DORA-Verordnung listet speziell für diesen Fall Ausnahmen auf. Allgemein sei es wichtig, sich einen genauen Überblick zu verschaffen und Handlungsbedarf im eigenen Unternehmen zu prüfen.  

Wer damit spät begonnen hat, holt am besten schnell auf, zumal die Übergangsfrist im Januar 2025 abläuft. Sonst drohen im schlimmsten Fall Sanktionen, beispielsweise in Form von Bußgeldern beziehungsweise für manche Arten von Dienstleistern auch Zwangsgelder. Wer die Vorgaben der DORA-Verordnung sorgfältig umsetzt, genießt dagegen nicht nur mehr Rechtssicherheit, sondern auch mehr Sicherheit vor Cyberangriffen – im Zeitalter von KI wichtiger denn je.