Clarius.LegalNewsroom
- Dr. Markus Hülper
- Walid Adams
- 13.03.25
- Lesedauer: 3 Minuten
Digital Operational Resilience Act (DORA)Neue Anforderungen an die IT-Sicherheit von Unternehmen in der Finanzbranche
Digitale Resilienz muss in zahlreichen Unternehmen an Bedeutung gewinnen
Wichtige Anforderungen und Umsetzungsmaßnahmen
DORA verfolgt einen umfassenden Ansatz zur Stärkung der Widerstandsfähigkeit von Finanzunternehmen gegenüber digitalen Bedrohungen. Hierzu gehören insbesondere Vorgaben zum IKT-Risikomanagement, zur Kontrolle von IT-Drittparteien und zu strengeren Melde- und Berichtspflichten. Ein zentraler Aspekt der Verordnung ist die Einführung eines strukturierten Risikomanagements für Informations- und Kommunikationstechnologie (IKT). Unternehmen müssen sicherstellen, dass sie über robuste IT-Governance-Strukturen verfügen und ihre Netzwerke und Systeme kontinuierlich auf Schwachstellen und Bedrohungen hin überprüfen.
Im Bereich des IKT-Risikomanagements müssen Unternehmen gezielt Maßnahmen zur Identifizierung, Bewertung und Prävention von IT-Risiken ergreifen. Hierzu gehört unter anderem die Implementierung von Mechanismen zur Erkennung und Abwehr von Cyberangriffen sowie Pläne zur schnellen Wiederherstellung der Betriebsfähigkeit nach IT-Störungen. DORA fordert zudem regelmäßige Tests der digitalen Resilienz, um sicherzustellen, dass Unternehmen auf mögliche Bedrohungsszenarien vorbereitet sind.
Ein weiterer wichtiger Bestandteil der Verordnung ist das Management von Risiken, die sich aus der Nutzung externer IT-Dienstleister ergeben. Viele Finanzunternehmen setzen auf externe Anbieter für Cloud-Services, Datenverarbeitung oder Cybersicherheitslösungen, was zu einer stärkeren Abhängigkeit von Drittparteien führt. DORA verlangt, dass Finanzunternehmen ihre Drittanbieter strenger kontrollieren und sicherstellen, dass diese die regulatorischen Anforderungen erfüllen. Besondere Aufmerksamkeit gilt der Auslagerung kritischer Funktionen, bei der strenge Vertragsvorgaben und Überwachungsmechanismen erforderlich sind.
Zusätzlich stellt die Verordnung hohe Anforderungen an die Meldepflichten von IT-Sicherheitsvorfällen. Unternehmen sind verpflichtet, schwerwiegende Cyberangriffe und IT-Ausfälle zeitnah an die zuständigen Aufsichtsbehörden zu melden. Die Meldungen sollen eine bessere Überwachung von Bedrohungen ermöglichen und dazu beitragen, dass sich Unternehmen gezielter auf Sicherheitsvorfälle vorbereiten können. Darüber hinaus sind regelmäßige Audits und Stresstests vorgeschrieben, um die Widerstandsfähigkeit der IT-Infrastruktur zu überprüfen.
Vorbereitung auf DORA: Was Unternehmen jetzt tun sollten
Um die neuen Anforderungen von DORA erfolgreich umzusetzen, sollten Finanzunternehmen Maßnahmen zur Anpassung ihrer IT- und Compliance-Strategien ergreifen. Eine umfassende Bestandsaufnahme der aktuellen IT-Sicherheitsarchitektur hilft, bestehende Schwachstellen zu identifizieren und gezielt zu beheben. Zudem empfiehlt es sich, Notfall- und Wiederherstellungspläne zu entwickeln, um auf unerwartete IT-Vorfälle vorbereitet zu sein.
Eine enge Zusammenarbeit zwischen den IT- und Compliance-Abteilungen ist essenziell, um DORA-konforme Sicherheitsstrategien zu implementieren. Unternehmen sollten in Schulungen und Sensibilisierungsmaßnahmen für ihre Mitarbeiter investieren, um ein grundlegendes Verständnis für die neuen regulatorischen Anforderungen zu schaffen. Zudem sollten bestehende IT-Outsourcing-Verträge überprüft und gegebenenfalls angepasst werden, um sicherzustellen, dass Drittanbieter die notwendigen Sicherheitsstandards einhalten.
Daneben können frühzeitige Audits und Tests dazu beitragen, Lücken in der IT-Sicherheitsarchitektur zu identifizieren und rechtzeitig Schutzmaßnahmen zu ergreifen. Unternehmen, die proaktiv handeln, können nicht nur regulatorische Sanktionen vermeiden, sondern auch ihre Widerstandsfähigkeit gegen Cyberbedrohungen nachhaltig stärken.
DORA als Meilenstein für die digitale Sicherheit der Finanzbranche
Mit dem Inkrafttreten von DORA wird die digitale Resilienz von Finanzunternehmen auf ein neues Niveau gehoben. Unternehmen, die sich frühzeitig auf die neuen Anforderungen vorbereiten, profitieren nicht nur von regulatorischer Compliance, sondern auch von einer gesteigerten IT-Sicherheit und einem verbesserten Schutz vor Cyberbedrohungen. Angesichts der wachsenden digitalen Risiken ist die Umsetzung der DORA-Vorgaben eine unverzichtbare Maßnahme zur langfristigen Absicherung der Finanzbranche.
Wir unterstützen Sie gerne bei der Umsetzung des Digital Operational Resilience Acts (DORA).
