Ihr Standort: movisco // Blog »
kontakt mail icon
kontakt phone icon

Der Countdown läuft: DORA kommt im Januar 2025

Die Vorbereitung auf den Stichtag des Digital Operational Resilience Act (DORA) und die anschließenden Maßnahmen sind entscheidend, um die Einhaltung der Vorschriften und die Sicherstellung digitaler Resilienz zu gewährleisten.

DORA, ein zentraler Bestandteil des Digital Finance Package der Europäischen Kommission, tritt am 17. Januar 2025 in Kraft und etabliert verbindliche, EU-weite Standards. Diese harmonisierten Anforderungen legen den Fokus auf die Steuerung von Informations- und Kommunikationstechnologierisiken (IKT) im Finanzsektor. Da der Stichtag näher rückt, intensivieren sich die Vorbereitungen, um den regulatorischen Anforderungen gerecht zu werden.

Ziel von DORA ist es, die Resilienz des europäischen Finanzsystems erheblich zu stärken.

Die Umsetzung stellt jedoch insbesondere in den Bereichen Vorfallmanagement (Incident Management), Resilienztests und Drittanbieterüberwachung (Third Party Management) erhebliche Herausforderungen dar. Finanzinstitute und kritische IKT-Dienstleister müssen die Vorgaben erfüllen, um Sanktionen, Geldbußen oder andere regulatorische Konsequenzen zu vermeiden. Kritische Drittanbieter unterliegen zudem der direkten Aufsicht durch europäische Regulierungsbehörden.

Was passiert nach dem Inkrafttreten der EU-Verordnung?

Nach dem Stichtag ändert sich der Fokus von der Vorbereitung hin zur Überwachung und Anpassung an neue Herausforderungen.

1.    Governance und IKT-Risikomanagement

  • Einführung klar definierter Governance-Strukturen mit Verantwortlichkeiten für das IKT-Risikomanagement.
  • Aufbau eines umfassenden Rahmenwerks zur Identifikation, Bewertung und Steuerung von IKT-Risiken.
  • Regelmäßige Schulungen und Sensibilisierungen für Mitarbeitende, um eine resilienzorientierte Unternehmenskultur zu fördern.

2.    Incident Management und Reporting

  • Verpflichtung, schwerwiegende IKT-Vorfälle (Major Incidents) innerhalb vorgegebener Fristen an die zuständigen Aufsichtsbehörden zu melden.
  • Diese Berichte werden genutzt, um Schwachstellen und systemische Risiken zu identifizieren.

3.    Intensivierte Überwachung und Resilienztests

  • Durchführung von Cyberstresstests und Simulationen, um die Belastbarkeit von IT-Systemen und Prozessen zu überprüfen.
  • Threat-Led Penetration Testing (TLPT) mindestens alle drei Jahre, um Schwachstellen und Sicherheitslücken zu identifizieren.

4.    Überwachung von Drittanbietern

  • Finanzinstitute müssen sicherstellen, dass Drittanbieter DORA-konforme Prozesse und Sicherheitsmaßnahmen implementieren.
  • Kritische Drittanbieter werden zusätzlich von europäischen Regulierungsbehörden beaufsichtigt.

5.    Informationsaustausch

  • Einrichtung von Plattformen für den sektorübergreifenden Austausch zu Cyber-Bedrohungen und Vorfällen.
  • Förderung gemeinsamer Best Practices für mehr Resilienz.

Vertiefung der Aufsichtsperspektive

Die europäischen Aufsichtsbehörden übernehmen eine zentrale Rolle in der Umsetzung, Überwachung und Durchsetzung der DORA-Vorschriften:

  • Audits und Inspektionen: Regelmäßige Vor-Ort-Prüfungen der IT-Infrastrukturen, Notfall- und Wiederherstellungspläne sowie Resilienztests.
  • Überwachung kritischer Drittanbieter: Direkte Kontrolle kritischer IKT-Dienstleister, inklusive Vertragsgestaltung, Sicherheitsmaßnahmen und Berichterstattung.
  • Statusberichte und Fortschrittskontrollen: Finanzinstitute und Drittanbieter müssen regelmäßig Nachweise zur Einhaltung der DORA-Vorgaben vorlegen.

Einbindung zukünftiger Technologien

Die Integration innovativer Technologien wird ein wesentlicher Faktor zur Verbesserung der digitalen Resilienz:

  • Künstliche Intelligenz (KI): Unterstützung bei der Risikoanalyse, automatisierten Erkennung von Anomalien und Verbesserung des Incident Managements.
  • Blockchain-Technologie: Schaffung sicherer Audit-Trails und transparenter Datenprotokollierung.
  • Zukunftsorientierte Weiterentwicklung: Aufsichtsbehörden werden DORA an neue Technologien wie KI-basierte Cyberangriffe oder Quantencomputing anpassen.

Ausblick und Call-to-Action

Mit DORA wird der Finanzsektor der EU ab Januar 2025 einen neuen Standard in der digitalen Resilienz erreichen.

Was Finanzinstitute jetzt tun müssen:

  1. Compliance sicherstellen: Anpassung bestehender Prozesse und Systeme an die DORA-Anforderungen.
  2. Tests durchführen: Identifikation und Behebung von Schwachstellen durch Resilienztests vor dem Stichtag.
  3. Verträge mit Drittanbietern prüfen: Sicherstellen, dass alle Vereinbarungen DORA-konform sind.
  4. Mitarbeiterschulungen intensivieren: Aufbau einer resilienzorientierten Unternehmenskultur.

Nach dem Stichtag:

Die Einhaltung von DORA wird streng überwacht. Regelmäßige Audits und Berichterstattungen werden zur Norm. Unternehmen, die frühzeitig Maßnahmen umsetzen, minimieren regulatorische Risiken, stärken ihre digitale Sicherheit und gewinnen einen Wettbewerbsvorteil.

Die movisco AG begleitet Sie umfassend – sowohl vor als auch nach dem Stichtag – und sorgen gemeinsam mit Ihnen dafür, dass die DORA-Konformität gewährleistet ist.


Ihre Ansprechpartnerin

Susanne Jung

info@movisco.com
elektronische Visitenkarte

Fon +49 40 767 53 777

Schnellkontakt-Formular

Die abgesendeten Daten werden nur zum Zweck der Bearbeitung Ihres Anliegens verarbeitet. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

Datenschutz bestätigt?

Sie haben Fragen?

Wir freuen uns über Ihre direkte Kontaktaufnahme!

  • Telefon: +49 40 767 53 777
  • E-Mail