Blog-Übersicht
Der Digital Operation Resilience Act im Überblick
Blogbeitrag: Übersicht und Ziele der Cyberresilienz-Verordnung (DORA)
Die digitale Welt entwickelt sich rasant – ebenso die Risiken und Herausforderungen, denen Unternehmen, insbesondere im Finanzsektor, ausgesetzt sind. Um diesen Herausforderungen zu begegnen, hat die EU die Verordnung (EU) 2022/2554 über digitale operationale Resilienz (DORA) verabschiedet. Diese Verordnung tritt ab dem 17. Januar 2025 in Kraft und zielt darauf ab, einheitliche Standards für die digitale Sicherheit im Finanzsektor zu schaffen.
Was ist die DORA?
DORA ist eine europaweit gültige Verordnung mit 64 Artikeln und 106 Erwägungsgründen. Sie legt verbindliche Vorschriften fest, um sicherzustellen, dass Finanzunternehmen in der EU resilient gegenüber Cyberbedrohungen bleiben. Ihr Ziel: ein hohes Maß an digitaler Resilienz sowie einheitliche Anforderungen an die Sicherheit von Netzwerken und Informationssystemen, die Finanzdienstleistungen unterstützen.
Wichtige Regelungsbereiche der DORA
- IKT-Risikomanagement:
Finanzunternehmen müssen IKT-Risiken systematisch identifizieren, verhindern, überwachen und darauf reagieren. Hierzu zählen auch klare Verantwortlichkeiten des Leitungsorgans und jährliche Überprüfungen der Risikomanagement-Strategien. - Meldung von Vorfällen:
Unternehmen sind verpflichtet, schwerwiegende IKT-bezogene sowie zahlungsbezogene Vorfälle zu melden. - Penetrationstests:
Bedrohungsorientierte Tests (TLPT) simulieren reale Cyberangriffe, um Schwachstellen in den Systemen aufzudecken. - Backup-Management:
Vorgaben für die Datensicherung und Wiederherstellung garantieren den Schutz sensibler Informationen und minimieren Ausfallzeiten nach Vorfällen. - IKT-Drittparteienrisiko:
Strenge Anforderungen an die Zusammenarbeit mit externen IKT-Dienstleistern und deren Überwachung.
Warum ist die DORA besonders?
DORA ist die spezialisierte Regelung für den Finanzsektor und hat Vorrang vor der allgemeinen NIS-2-Richtlinie. Sie gilt für eine Vielzahl von Finanzunternehmen – von Banken über Versicherungen bis hin zu Anbietern von Krypto-Dienstleistungen. Auch kritische IKT-Dienstleister, die mit Finanzunternehmen kooperieren, unterliegen den Regelungen.
Verantwortung des Leitungsorgans
Das Leitungsorgan trägt die zentrale Verantwortung für die digitale Resilienz. Es muss Strategien genehmigen, Budgets zuweisen, Datenstandards sicherstellen und regelmäßige Überprüfungen durchführen. Schulungen und Sensibilisierungsprogramme für Mitarbeitende – einschließlich externer Dienstleister – sind ebenfalls verpflichtend.
Strafen und Sanktionen
Die Verordnung gibt den Mitgliedstaaten Spielraum, spezifische Sanktionen zu definieren. Diese müssen jedoch „wirksam, verhältnismäßig und abschreckend“ sein. Besonders hohe Strafen drohen kritischen IKT-Drittanbietern, die nicht mit den Aufsichtsbehörden kooperieren: bis zu 1 % des durchschnittlichen weltweiten Tagesumsatzes.
Cyberresilienz und Ihre Praxis
Die Anforderungen der DORA mögen auf den ersten Blick komplex wirken, bieten jedoch auch Chancen: Mit der richtigen Vorbereitung können Unternehmen nicht nur Compliance gewährleisten, sondern auch ihre Widerstandsfähigkeit gegen Cyberbedrohungen stärken. Für detaillierte Einblicke in die Umsetzung und praxisnahe Unterstützung empfehle ich einen Besuch meiner Online-Akademie für digitales Recht. Hier finden Sie Schulungen und Ressourcen, die Sie optimal auf die Herausforderungen vorbereiten:
👉 Zur Akademie für Digitalrecht
Nutzen Sie die Zeit bis Januar 2025, um Ihre Systeme, Prozesse und Vereinbarungen mit Drittdienstleistern zu überprüfen. Die Anforderungen der DORA sind streng, aber mit einer rechtzeitigen Planung und Umsetzung schaffen Sie die Grundlage für langfristigen Erfolg und Sicherheit in einer zunehmend digitalen Welt.
Haben Sie Fragen oder benötigen Sie Unterstützung? Kontaktieren Sie mich gerne für eine individuelle Beratung!
Blog-Übersicht
