Für Unternehmen ist die digitale Welt Fluch und Segen zugleich: Einerseits öffnen sich mit digitalen Technologien neue Chancen, andererseits stehen sie immer größeren Risiken gegenüber. Insbesondere Finanzdienstleister sind aufgrund des sensiblen Inhalts ihrer Daten bereits stark gefordert – und nun müssen sie sich mit der DORA Verordnung auf eine neue Dimension in Sachen IT-Sicherheit einstellen.
DORA steht für "Digital Operational Resilience Act" und soll die Antwort der Europäischen Union auf die zunehmenden Risiken durch Cyberangriffe und digitale Störungen sein. Doch was genau verlangt DORA? Und wie lässt sich diese Herausforderung bewältigen, ohne das Tagesgeschäft zu gefährden? In diesem Artikel zeigen wir Dir, worauf es ankommt – und warum es sich lohnt, die neuen Anforderungen ernst zu nehmen.
Was ist die DORA Verordnung?
Die DORA Verordnung ist eine EU-weite Regulierung, die auf eine zentrale Frage abzielt: "Wie krisenfest ist die digitale Infrastruktur von Unternehmen und Organisationen im Finanzsektor?" Ihr Ziel ist es, die digitale operative Widerstandsfähigkeit in Unternehmen der Finanzdienstleistungsbranche und verwandten Sektoren zu stärken. Das bedeutet, dass diese Unternehmen in der Lage sein müssen, ihre digitalen Systeme gegen Cyberangriffe und technische Störungen zu schützen und im Krisenfall reibungslos weiterarbeiten zu können.
In der Verordnung wird umfassend geregelt, wie Unternehmen ihre digitale Resilienz aufbauen und dokumentieren müssen. Die wesentlichen Inhalte umfassen:
- Risikomanagement: Betroffene Unternehmen müssen Risiken im digitalen Bereich, insbesondere im Bereich der Informations- und Kommunikationstechnologie (IKT), frühzeitig erkennen, bewerten und minimieren.
- Berichtswesen: Regelmäßige und strukturierte Berichte zu Cybervorfällen sowie -bedrohungen an die zuständigen Behörden sind verpflichtend.
- Tests und Simulationen: Unternehmen müssen regelmäßig Stresstests für ihre IT-Systeme hinsichtlich der digitalen operationalen Resilienz durchführen.
- Sicherheitsmaßnahmen bei Drittanbietern: Auch Dienstleister und IT-Zulieferer müssen sicherstellen, dass sie den Anforderungen entsprechen.
- Kontrolle und Überwachung: Aufsichtsbehörden bekommen mehr Befugnisse, um die Einhaltung der Verordnung zu überprüfen. Zudem soll der Austausch von Informationen und Erkenntnissen in Bezug auf Cyberbedrohungen und Schwachstellen intensiviert werden.
Wichtig ist in diesem Zusammenhang, dass DORA als Verordnung und nicht, wie beispielsweise NIS2, als Richtlinie von der EU auf den Weg gebracht wurde. Das bedeutet, dass DORA in ihrer aktuellen Form von allen Mitgliedsstaaten umgesetzt werden muss und nicht individuell interpretiert werden kann. Damit will die EU schnell klare Standards schaffen.
Wer ist von DORA betroffen?
Die Verordnung zielt vor allem auf Unternehmen im Finanzsektor sowie auf Unternehmen, die in diesem Bereich Dienstleistungen erbringen. Damit sind Banken und Versicherungen genauso betroffen wie kleinere Finanzunternehmen, Zahlungsdienstleister, Krypto-Asset-Anbieter und auch deren Drittanbieter von IT-Dienstleistungen. Insgesamt müssen sich in Deutschland über 3600 Unternehmen auf die neue Regelung vorbereiten.
DORA und NIS2 treten dabei in eine besondere Wechselbeziehung, denn DORA-regulierte Finanzdienstleister sind von den NIS-2-Richtlinien größtenteils ausgenommen. Sollte ein Finanzdienstleister aber nicht unter die Auflagen der DORA-Verordnung fallen, muss es sich an die NIS-2-Richtlinien halten (siehe Hinweis).
Im Verordnungstext wird diese Beziehung als "Lex Specialis" beschrieben. Das bedeutet, dass das spezielle Gesetz (DORA) dem allgemeinen Gesetz (NIS2) vorgeht und damit Anwendungsvorrang hat. Der genaue Abschnitt lautet wiefolgt:
Aufwendiger wird es aber für Drittanbieter aus dem Bereich Informations- und Kommunikationstechnologien (IKT), die (auch) im Finanzsektor tätig sind. Sie müssen sich unter Umständen sowohl nach NIS2 wie auch DORA richten und sind somit mehrfach reguliert.
Hinweis: Eine Ausnahme gibt es für die Versicherungsbranche. Wenn ein Unternehmen aus diesem Bereich weniger als 250 Mitarbeiter hat sowie einen Jahresumsatz von 50 Millionen Euro und / oder eine Bilanzsumme von 43 Millionen Euro nicht überschreitet, bleibt es von der DORA Verordnung unberührt.
Ab wann gilt die neue Verordnung?
In Kraft getreten ist DORA bereits im Jahr 2023 und gilt seither als EU-Verordnung in allen Mitgliedsstaaten. Die Umsetzung der in DORA beschriebenen Maßnahmen wird ab dem 17. Januar 2025 in den betroffenen Unternehmen zur Pflicht. Eine Übergangsfrist für die betroffenen Einrichtungen ist dabei nicht vorgesehen.
Welche Konsequenzen drohen bei Nichterfüllung?
Die EU setzt bei DORA auf strenge Kontrollen und ahndet Verstöße hart, wenngleich genaue Strafbeträge noch nicht bekannt sind. Dennoch müssen Unternehmen, die die Verordnung nicht einhalten, mit empfindlichen Sanktionen rechnen. Dabei soll die Schwere der Auflage die Schwere der Verletzung sowie ihr Potenzial, das EU-Finanzsystem zu destabilisieren, widerspiegeln. Das Strafmaß kann dabei bis hin zu Einschränkungen des Geschäftsbereiches oder sogar dem Lizenzentzug gehen.
Wie soll die DORA Verordnung umgesetzt werden?
Um die Anforderungen der DORA Verordnung zu erfüllen, müssen betroffene Unternehmen eine Reihe von Maßnahmen ergreifen. Hier eine Übersicht der wichtigsten Schritte:
- Analyse der aktuellen IT-Infrastruktur: Als erster Schritt sollte ein vollständiger Überblick über die bestehenden IT-Systeme und Sicherheitsmaßnahmen erstellt werden, um die aktuelle Lage zu erfassen.
- Risikomanagement etablieren: Die Entwicklung und Einführung eines umfassenden Risikomanagements sind ebenso notwendig, um sämtliche digitalen und operativen Risiken zu erfassen.
- Cyber-Vorfälle immer melden: Ein System zur Berichterstattung und zum Monitoring wird benötigt, um Cyberangriffe und Vorfälle strukturiert zu dokumentieren und den Behörden zu melden.
- Stresstests einplanen: Regelmäßige Simulationen und Tests dienen dazu, die Widerstandsfähigkeit der IT-Systeme zu überprüfen.
- Sicherheitsanforderungen für Drittanbieter: IT-Dienstleister und Drittanbieter müssen den Sicherheitsstandards entsprechen, was regelmäßig kontrolliert und durchgesetzt werden muss.
- Schulung und Sensibilisierung: Schulungen für alle Mitarbeiter sind essenziell, um das Bewusstsein für Cybersicherheit zu stärken.
- Regelmäßige Überprüfung und Anpassung: Die digitale Bedrohungslandschaft ändert sich ständig, daher sollte auch das Sicherheitskonzept regelmäßig angepasst werden.
Fazit: DORA ist gleichzeitig Herausforderung und Chance
Die DORA Verordnung mag auf den ersten Blick wie eine zusätzliche Hürde wirken, doch sie bietet auch eine wertvolle Chance: Unternehmen können mit ihrer Unterstützung die eigene digitale Resilienz stärken und sich besser gegen Cyberbedrohungen wappnen. Die Umsetzung ist sicherlich eine Herausforderung – schließlich will die EU hier nichts dem Zufall überlassen. Doch wer die Anforderungen ernst nimmt und strukturiert umsetzt, investiert in die Zukunft seines Unternehmens und minimiert das Risiko von Störungen.
Sichere Kollaborationsplattformen wie Stackfield unterstützen diesen Weg, indem sie Unternehmen eine sichere Plattform für die Zusammenarbeit und das Management von IT-Sicherheitsaufgaben bieten. Hier können alle Projekte und Prozesse zentral, strukturiert und DSGVO-konform organisiert werden. Das macht Stackfield nicht nur zu einem leistungsstarken Tool für die Umsetzung der Verordnung, sondern auch für den Aufbau einer robusten digitalen Infrastruktur.
Fast fertig...Bitte klicke auf den Link in der E-Mail, um Deine E-Mail Adresse und die Anmeldung zum Newsletter zu bestätigen.
Verpasse keinen Beitrag mehr.