DORA-Verordnung
DORA-Verordnung
Der Digital Operational Resilience Act (DORA) verfolgt das Ziel, einen einheitlichen Rahmen für das Management von Informations- und Kommunikationstechnologie (IKT)-Risiken im gesamten EU-Finanzsektor zu schaffen. Er trat am 16. Januar 2023 in Kraft und findet ab dem 17. Januar 2025 Anwendung.
Der Digital Operational Resilience Act (DORA) verfolgt das Ziel, einen einheitlichen Rahmen für das Management von Informations- und Kommunikationstechnologie (IKT)-Risiken im gesamten EU-Finanzsektor zu schaffen. Er trat am 16. Januar 2023 in Kraft und findet ab dem 17. Januar 2025 Anwendung.
DORA ist eine EU-Verordnung, die darauf abzielt, die digitale Betriebsresilienz im Finanzsektor zu stärken. Sie umfasst Anforderungen in den Bereichen IKT-Risikomanagement, Management von IKT-Vorfällen, digitale Betriebsresilienztests, Management von Drittparteienrisiken und den Austausch von Informationen über Cyberbedrohungen.
accompio unterstützt Sie bei der Umsetzung von DORA und bietet Hilfestellungen für betroffene Finanz-Unternehmen und -Dienstleister an.
Erfolgreich die DORA-Verordnung für Finanzunternehmen meistern mit IT-Dienstleister accompio

Gemeinsam die DORA-Verordnung meistern
Verstehen Sie die Grundlagen: Was ist die DORA-Verordnung?
Die DORA-Verordnung (Digital Operational Resilience Act) wurde eingeführt, um die digitale Widerstandsfähigkeit im Finanzsektor der EU zu stärken. Es ist vorgesehen, dass Finanzunternehmen in der Lage sind, IKT-bezogene Störungen zu bewältigen.
Die Verordnung verpflichtet Finanzunternehmen dazu, robuste IKT-Systeme und -Kontrollen zu implementieren, um sicherzustellen, dass sie in der Lage sind, IKT-bezogene Störungen zu bewältigen und ihre kritischen Funktionen aufrechtzuerhalten. Zudem müssen sie sicherstellen, dass Verträge mit Drittanbietern von IKT-Dienstleistungen angemessene Sicherheitsvorkehrungen enthalten.
Was sind IKT-Vorfälle?
IKT-bezogene Vorfälle umfassen jede Störung oder Beeinträchtigung der IKT-Systeme, -Dienste oder -Prozesse eines Unternehmens, die potenziell erhebliche Auswirkungen auf die Kontinuität der Finanzdienstleistungen oder die Sicherheit der Kundendaten haben können.
Meldeverfahren gemäß DORA:
- Erkennung des Vorfalls inklusive Bewertung der Schwere und der potenziellen Auswirkungen
- Interne Meldung an die zuständigen Abteilungen, um Sofortmaßnahmen einzuleiten.
- Externe Meldung relevanter Vorfälle an die zuständige Aufsichtsbehörde erfolgen.
DORA in den richtigen Kontext setzen
Die DORA-Verordnung ergänzt bestehende regulatorische Rahmenwerke wie die NIS-2-Richtlinie (Netz- und Informationssicherheit). Während DORA speziell auf Finanzinstitute abzielt, deckt die NIS-2-Richtlinie eine breitere Palette von Sektoren ab und konzentriert sich auf die allgemeine Verbesserung der Cybersicherheit in kritischen Infrastrukturen.
Beide Vorschriften betonen die Bedeutung der Resilienz gegenüber IKT-bezogenen Bedrohungen und die Notwendigkeit einer schnellen und koordinierten Reaktion auf Vorfälle. Die harmonisierte Umsetzung dieser Regelwerke trägt dazu bei, die digitale Sicherheit und Stabilität innerhalb der EU zu stärken.
Welche Unternehmen sind von der DORA-Verordnung betroffen?
DORA ist auf alle in der EU regulierten Finanzunternehmen anwendbar. Dazu zählen Banken, Zahlungsdienstleister, E-Geld-Institute, Wertpapierfirmen, Anbieter von Kryptodiensten, Zentralverwahrer, zentrale Gegenparteien, Handelsplätze, Transaktionsregister sowie Versicherungs- und Rückversicherungsunternehmen, Versicherungsvermittler und andere.
Die spezifischen Anforderungen variieren je nach Geschäftsmodell, Unternehmensgröße, Risikoprofil und Systemrelevanz der jeweiligen Unternehmen.
DORA: Welche Anforderungen und Maßnahmen sind von betroffenen Finanzunternehmen umzusetzen?
Die Umsetzung von DORA bringt für die betroffenen Unternehmen unterschiedliche Anforderungen an Abstimmung, Schulung und Implementierung mit sich – je nach aktuellem Stand der Systeme. Falls dafür neue technische Lösungen erforderlich sind, sollten diese als IT-Projekte mit hoher Komplexität und Kritikalität eingestuft werden.
Unsere Empfehlung: Durchführung einer umfassenden Gap-Analyse, um die von DORA geforderten Anforderungen im Unternehmen zu überprüfen. Darauf basierend können gezielte Projekte geplant und umgesetzt werden.
Zudem ist mit zusätzlichen Sicherheitsprüfungen zu rechnen, etwa durch die Überprüfung von Dienstleistern und potenziell auch durch technische Analysen wie bedrohungsorientierte Pentests.
Anforderungen an Finanzunternehmen
Maßnahmen für digitale Resilienz
Vorgaben für Meldungen
Eine Nichtbeachtung der Meldepflichten kann zu erheblichen Sanktionen führen, darunter Geldstrafen und regulatorische Maßnahmen. Daher ist es entscheidend, dass Finanzinstitute über effiziente Prozesse verfügen, um die Einhaltung der DORA-Vorgaben sicherzustellen.
Wie accompio Sie als IT-Dienstleister bei der Umsetzung von DORA unterstützen kann
Mit dem nahenden Umsetzungstermin der DORA-Verordnung stehen Finanzunternehmen vor der Aufgabe, ihre digitale Resilienz zu stärken und umfassende Sicherheitspraktiken zu implementieren. accompio versteht die Komplexität und Dringlichkeit dieser Herausforderung und positioniert sich als Ihr verlässlicher Partner, um Sie durch diesen Prozess zu begleiten. Unser Ziel ist es, Ihnen nicht nur dabei zu helfen, den Anforderungen von DORA gerecht zu werden, sondern auch eine sicherere und widerstandsfähigere digitale Zukunft für Ihr Unternehmen zu gestalten.
Die DORA-Verordnung verlangt von Finanzinstituten die regelmäßige Durchführung von Prüfungen, um die Resilienz ihrer IKT-Systeme sicherzustellen. Dazu gehören spezifische Anforderungen wie Schwachstellenscans und Penetrationstests. Schwachstellenscans (Red-Teaming-Übungen) simulieren gezielte Angriffe auf die Systeme, um Schwachstellen in den Abwehrmechanismen aufzudecken und die Reaktionsfähigkeit zu testen. Penetrationstests (Pentests) hingegen zielen darauf ab, durch kontrollierte Angriffe Sicherheitslücken zu identifizieren und zu beheben.
Unser Ansatz bei accompio umfasst eine Reihe maßgeschneiderter Dienstleistungen, die speziell darauf ausgerichtet sind, die Einhaltung der DORA-Vorgaben zu erleichtern und zu sichern. Wir bieten individuelle Lösungen, die nicht nur die Compliance gewährleisten, sondern auch das Vertrauen in Ihre IT-Security stärken. Lassen Sie uns gemeinsam diese Herausforderung meistern und eine solide Basis für Ihre digitale Zukunft schaffen.
Die DORA-Verordnung zur Einsicht
In Deutschland informiert die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) über die Umsetzung von DORA und bietet Hilfestellungen für betroffene Unternehmen an.
Für die Implementierung der 79 Seiten umfassenden DORA-Verordnung durch die betroffenen Unternehmen und Behörden ist eine Frist von 24 Monaten bis 17.01.2025 vorgesehen. Zeitgleich wurde auch eine damit verbundene Verordnung zur Änderung der bestehenden Verordnungen hinsichtlich der digitalen operationalen Resilienz im Finanzsektor mit analogen Implementierungsfristen veröffentlicht.