DORA-Compliance: Was Finanzunternehmen umsetzen müssen
Das Wichtigste in Kürze
- DORA ist seit Januar 2025 verbindlich und betrifft nicht nur Banken — auch Zahlungsinstitute, Krypto-Dienstleister, FinTechs und deren IT-Zulieferer fallen in den Anwendungsbereich
- Die Verordnung fordert fünf Kernbereiche: ICT-Risikomanagement, Vorfallmeldung, Resilience Testing, Drittanbieter-Management und Bedrohungsinformationsaustausch
- Schwerwiegende ICT-Vorfälle müssen innerhalb von 24 Stunden als Frühwarnung und innerhalb von 72 Stunden vollständig an die Aufsichtsbehörde gemeldet werden
- Unternehmen ohne zentrale Übersicht über ihre IT-Drittanbieter und ohne strukturierte Risikobewertung haben eine der typischsten DORA-Lücken
- Wer bereits ein ISMS nach ISO 27001 betreibt, kann viele DORA-Anforderungen darauf aufbauen — es geht primär um Erweiterung und Formalisierung bestehender Prozesse
Der Digital Operational Resilience Act (DORA) ist seit Januar 2025 verbindlich und stellt Finanzunternehmen in der EU vor konkrete Umsetzungspflichten. Viele mittelständische Finanzdienstleister, FinTechs und deren IT-Dienstleister unterschätzen den Umfang der Verordnung. DORA geht deutlich über klassische IT-Sicherheitsanforderungen hinaus.
Was DORA fordert
DORA verlangt von betroffenen Unternehmen ein umfassendes Rahmenwerk für die digitale operationelle Resilienz. Das umfasst fünf Kernbereiche: ICT-Risikomanagement, Vorfallmeldung, Resilience Testing, Management von Drittanbieter-Risiken und den Austausch von Bedrohungsinformationen.
Entscheidend ist: Die Verordnung betrifft nicht nur Banken und Versicherungen. Auch Zahlungsinstitute, Wertpapierfirmen, Krypto-Dienstleister und kritische IT-Dienstleister des Finanzsektors fallen in den Anwendungsbereich. Wenn Ihr Unternehmen IT-Dienste für ein reguliertes Finanzunternehmen erbringt, können die Anforderungen vertraglich auf Sie durchschlagen.
Wo die typischen Lücken liegen
In unserer Beratungspraxis sehen wir bei mittelständischen Finanzunternehmen regelmäßig dieselben Schwachstellen.
ICT-Risikomanagement ist zu oberflächlich. Viele Unternehmen haben ein Informationssicherheits-Managementsystem (ISMS), aber kein spezifisches ICT-Risikomanagement, das die Anforderungen von DORA erfüllt. Die Verordnung verlangt eine systematische Identifikation, Bewertung und Überwachung aller ICT-Risiken, einschließlich der Abhängigkeiten von Drittanbietern.
Incident Reporting ist nicht vorbereitet. DORA schreibt vor, dass schwerwiegende ICT-Vorfälle innerhalb definierter Fristen an die zuständige Aufsichtsbehörde gemeldet werden müssen. Viele Unternehmen haben weder die internen Prozesse noch die technischen Voraussetzungen, um Vorfälle schnell genug zu klassifizieren und zu melden.
Drittanbieter-Management fehlt. Die Verordnung verlangt eine vollständige Übersicht über alle ICT-Drittanbieter, eine Risikobewertung für jeden Anbieter und vertragliche Regelungen, die bestimmte Mindeststandards sicherstellen. Bei vielen Unternehmen existiert keine zentrale Übersicht über ihre IT-Dienstleister, geschweige denn eine strukturierte Risikobewertung.
Resilience Testing wird vernachlässigt. DORA fordert regelmäßige Tests der digitalen Widerstandsfähigkeit. Das umfasst Schwachstellenanalysen, Penetrationstests und für größere Unternehmen auch sogenannte Threat-Led Penetration Tests (TLPT), bei denen realistische Angriffsszenarien simuliert werden.
Pragmatische Umsetzung
Die Umsetzung von DORA muss nicht den gesamten Betrieb lahmlegen. Ein strukturierter Ansatz beginnt mit einer Gap-Analyse: Wo steht Ihr Unternehmen heute im Verhältnis zu den DORA-Anforderungen? Welche bestehenden Maßnahmen lassen sich auf DORA mappen, und wo bestehen tatsächliche Lücken?
Aus dieser Analyse ergibt sich eine priorisierte Roadmap. Erfahrungsgemäß lassen sich viele Anforderungen auf bestehende Strukturen aufsetzen, insbesondere wenn bereits ein ISMS nach ISO 27001 oder vergleichbare Rahmenwerke im Einsatz sind. Der Aufwand liegt weniger in der Einführung komplett neuer Systeme als in der Erweiterung und Formalisierung bestehender Prozesse.
Handlungsempfehlung
Wenn Sie unsicher sind, ob und in welchem Umfang Ihr Unternehmen von DORA betroffen ist, empfehlen wir als ersten Schritt eine strukturierte Bestandsaufnahme. Je früher Lücken identifiziert werden, desto mehr Zeit bleibt für eine geordnete Umsetzung, bevor aufsichtsrechtliche Prüfungen anstehen.
Haeufig gestellte Fragen
Gilt DORA auch für unser Unternehmen, wenn wir nur IT-Dienstleistungen für eine Bank erbringen?
Ja, möglicherweise. DORA sieht vor, dass regulierte Finanzunternehmen bestimmte Sicherheitsanforderungen vertraglich an ihre kritischen IT-Dienstleister weitergeben müssen. Wenn Ihre Dienstleistung für den Betrieb des Finanzunternehmens wesentlich ist, können die DORA-Anforderungen vertraglich auf Sie durchschlagen.
Was fordert DORA konkret beim Resilience Testing?
DORA verlangt regelmäßige Tests der digitalen Widerstandsfähigkeit. Für die meisten Unternehmen bedeutet das Schwachstellenanalysen und Penetrationstests. Größere Unternehmen, die als systemrelevant eingestuft werden, müssen zusätzlich sogenannte Threat-Led Penetration Tests (TLPT) durchführen, bei denen realistische Angriffsszenarien simuliert werden.
Wir haben bereits ISO 27001 — müssen wir DORA trotzdem separat umsetzen?
ISO 27001 und DORA überschneiden sich in vielen Bereichen, sind aber nicht deckungsgleich. DORA ist spezifischer in Anforderungen wie dem Drittanbieter-Register, den Meldepflichten für Vorfälle und dem Resilience Testing. Eine Gap-Analyse zeigt, welche bestehenden ISO-27001-Maßnahmen auf DORA angerechnet werden können und wo tatsächlicher Nachholbedarf besteht.
Welche Bußgelder drohen bei DORA-Nichteinhaltung?
Für wesentliche Einrichtungen sieht DORA Bußgelder von bis zu 10 Millionen Euro oder 5 % des weltweiten Jahresumsatzes vor, für wichtige Einrichtungen entsprechend geringere Beträge. Zusätzlich können Geschäftsführer und Vorstandsmitglieder persönlich haftbar gemacht werden.