DORA – Digital Operational Resilience Act

DORA – Digital Operational Resilience Act

Table of Contents

Was bedeutet DORA?

DORA, ausgesprochen Digital Operational Resilience Act, ist ein Regulierungsvorschlag der Europäischen Kommission, das dazu beitragen soll, die digitale Betriebsresilienz von Finanzsystemen zu stärken. Der Akt fordert Unternehmen auf, ihre Fähigkeit zur Vorbeugung, Abschwächung und Bewältigung von ICT-bezogenen (Informations- und Kommunikationstechnologien) Risiken zu erhöhen. Unternehmen unterliegen strengen Anforderungen bezüglich der Sicherheit ihrer Netz- und Informationssysteme.

Die DORA-Regulierung schreibt auch vor, wie Finanzunternehmen auf Vorfälle reagieren und diese melden müssen. Verantwortliche sind angehalten DORA Rollen innerhalb eines Unternehmens zu definieren, um die Compliance zu gewährleisten. Die Initiative hat den Fokus, die operative Widerstandsfähigkeit im digitalen Binnenmarkt zu stärken und damit zur Finanzstabilität und zum Verbraucherschutz beizutragen.

Kostenloses Whitepaper: 7 Use Cases für die Finanzbranche.

In unserem Whitepaper erfahren Sie, wie Workflow Automation repetitive Aufgaben bei der Datenverarbeitung übernehmen kann – einfach und 100% Datenschutz-konform.

Ziele und Anwendungsbereich von DORA

Das Digital Operational Resilience Act zielt darauf ab, die digitale Betriebsresilienz von Unternehmen im Finanzsektor zu stärken. Die Verordnung schafft einen einheitlichen Rahmen, um sicherzustellen, dass Finanzdienstleister widerstandsfähig gegenüber ICT-bezogenen (also z.B. Geräte, wie PCs oder Programme, wie Datenaustaushsoftware zur E-Mail-Kommunikation) Risiken, als Netzwerksysteme sind. DORA umfasst Anforderungen an die Sicherheit von Netz- und Informationssystemen, Governance-Regeln, sowie das Management von ICT-Drittanbieter-Risiken. Der Anwendungsbereich erstreckt sich auf Banken, Versicherungen und andere kritische Finanzinfrastrukturen innerhalb der EU.

Anforderungen und Maßnahmen gemäß DORA

Unternehmen müssen nach DORA bestimmte Anforderungen erfüllen, die sicherstellen, dass ihre IT-Systeme und Prozesse widerstandsfähig gegenüber Störungen sind. Dazu gehören die Implementierung effektiver Risikomanagement-Praktiken, die Fähigkeit zur raschen Erholung nach Cyberangriffen (Cyberresilienz) und die Schaffung von Notfallplänen. Da der Finanzsektor zu den kritischen Infrastrukturen zählt, greift neben DORA auch die allgemeine NIS-2 Richtlinie zwecks Cybersicherheit und Meldepflichten.

Die DORA-Regulierung fordert auch, dass Unternehmen die Lieferkettenrisiken überwachen und kritische Dienstleister kontrollieren. Unternehmen müssen zudem bestimmte Meldepflichten bei Sicherheitsvorfällen einhalten und regelmäßige Tests zur Überprüfung ihrer Resilienz durchführen. Das Gesetz legt auch spezifische Rollen und Verantwortlichkeiten fest, um die digitale Betriebsresilienz zu gewährleisten.

Auswirkungen von DORA auf Unternehmen

Vorteile der DORA-Regulation:

  • • DORA stärkt die digitale Widerstandsfähigkeit von Unternehmen gegen IT-Störungen.
  • • Die Regelungen fördern eine bessere Risikomanagementpraxis für kritische Informationssysteme.
  • • Durch DORA werden einheitliche Standards für die digitale Betriebssicherheit in der EU gesetzt.
  • • Unternehmen erhalten klare Vorgaben zur Incident-Reporting und Notfallplanung.
  • • DORA trägt zur Stärkung des Vertrauens in digitale Finanzdienste bei.

Nachteile der DORA-Regulation:

  • • Die Umsetzung von DORA kann für Unternehmen hohe initiale Kosten verursachen.
  • • Kleine und mittlere Unternehmen könnten durch die strengen Anforderungen überfordert sein.
  • • DORA könnte zu einer Zunahme der Regulierungslast und Bürokratie führen.
  • • Unternehmen müssen möglicherweise in neue Technologien, wie Cloudspeicher für Informationsregister oder Schulungen investieren.
  • • Die Anpassung an die Vorschriften kann die Innovationsfähigkeit einschränken.

Tipps für Digitalisierung im Finanzsektor.

In unserem Blogartikel zeigen wir Ihnen Tipps, wie Sie die Digitalisierung in Ihrem Unternehmen vorantreiben können.

Umsetzung und Compliance mit DORA

Unternehmen müssen Risikomanagementpraktiken einführen, um die Integrität und die Verfügbarkeit ihrer kritischen ICT-Systeme zu gewährleisten. Die DORA-Regulierung schreibt vor, dass Unternehmen Vorfälle melden, sich an regelmäßigen Tests unterziehen und Recovery-Pläne entwickeln müssen. Die Einhaltung dieser Regeln bedeutet für Unternehmen, dass sie ihre Prozesse und Systeme ständig überwachen und bewerten, um die Betriebskontinuität auch im Falle eines digitalen Störfalls aufrechtzuerhalten. DORA-Rollen umfassen verschiedene Verantwortlichkeiten, die von der Unternehmensführung bis hin zu IT-Abteilungen reichen.

Zukunftsaussichten und Entwicklungen im Zusammenhang mit DORA

Die Zukunftsaussichten und Entwicklungen im Zusammenhang mit dem Digital Operational Resilience Act zielen darauf ab, die digitale Betriebsresilienz von Unternehmen im Finanzsektor der EU zu stärken. Mit der fortschreitenden Digitalisierung nimmt die Bedeutung von DORA zu, um sicherzustellen, dass Finanzinstitutionen gegen eine Vielzahl von Cyberbedrohungen gewappnet sind.

Langfristig könnte DORA als Benchmark für digitale Sicherheitsstandards dienen und möglicherweise auf andere Wirtschaftssektoren ausgeweitet werden, was das Bewusstsein für die Notwendigkeit digitaler operationaler Resilienz weiter schärft. Unternehmen werden dazu angehalten, kontinuierliche Verbesserungen ihrer digitalen Infrastrukturen und der Fähigkeit zur Krisenbewältigung vorzunehmen, um den Anforderungen von DORA gerecht zu werden.