DORA – das gilt es bis 17. Januar 2025 umzusetzen

Der Digital Operational Resilience Act (DORA) der Europäischen Union wurde entwickelt, um Unternehmen der Finanz- und Versicherungsbranche dabei zu unterstützen widerstandsfähiger gegenüber Cyberangriffen, technischen Störungen und anderen digitalen Bedrohungen zu werden. Bis zum 17. Januar 2025 sind alle betroffenen Organisationen verpflichtet, die Anforderungen der Verordnung (seit Januar 2023 ohne Übergangsfrist in Kraft) vollständig umsetzen. Doch was bedeutet das konkret, und warum ist DORA für Unternehmen so essenziell?

DORA zielt darauf ab, die digitale Resilienz von Finanz- und Versicherungsinstituten sowie  Unternehmen, die in der Finanzbranche tätig sind, sicherzustellen. Die Verordnung legt europaweit einheitliche Standards fest, um Risiken im Zusammenhang mit dem Einsatz von Informations- und Kommunikationstechnologien (IKT) zu minimieren.

  

Die zentralen Anforderungen von DORA

Unternehmen müssen bis zum Stichtag unter anderem folgende Kernanforderungen umsetzen:

  1. IT-Risikomanagement: Einführung eines ganzheitlichen IKT-Risikomanagementsystems, das potenzielle Bedrohungen systematisch identifiziert, bewertet und minimiert.
  2. Operative Resilienz: DORA verpflichtet Unternehmen aus der Finanz- und Versicherungsbranche unter anderem, ein risikobasiertes (Test-) Programm für ihre Informations- und Kommunikationstechnologie zu implementieren, das Schwachstellen aufdeckt und die digitale Resilienz stärkt.
  3. IKT-Sicherheitsvorfälle: DORA verpflichtet Unternehmen aus der Finanz- und Versicherungsbranche unter anderem neben der Umsetzung der VAIT  einen Managementprozess für IKT-bezogene Vorfälle zu implementieren, diese zu überwachen, zu protokollieren und bei schwerwiegenden Fällen gemäß festgelegten Kriterien zu melden. Insbesondere wenn sie zahlungsbezogene Dienste beeinträchtigen.
  4. Wissensaufbau: DORA nimmt die gesetzlichen Vertreter der betroffenen Unternehmen in die Pflicht, sich auf den jeweils aktuellen Stand der IKT-Technik und der damit verbundenen Risiken zu bringen und auf diesem zu bleiben, um Entscheidungen sicher bewerten und  damit zielorientiert treffen zu können. Sie werden somit persönlich in die Pflicht genommen.
  5. Überprüfung kritischer Drittanbieter: DORA etabliert erstmals einen europäischen Überwachungsrahmen für kritische IKT-Drittdienstleister im Finanzsektor, um die digitale Resilienz zu stärken und die Stabilität des EU-Finanzsystems zu sichern.
  6. Transparenz und Berichterstattung: Regelmäßige Berichte über die IT-Sicherheit und Resilienzmaßnahmen an inländische und europaweit agierende Aufsichtsbehörden sowie unternehmensrelevante Stakeholder (Vorstand, Geschäftsführung, Aufsichts- oder Beiräte).

17. Januar 2025: Ein entscheidender Wendepunkt

Ab dem 17. Januar 2025 wird DORA in allen EU-Mitgliedstaaten verbindlich. Unternehmen, die bis dahin die Anforderungen nicht erfüllt haben, drohen erhebliche Konsequenzen:

  • Bußgelder und Sanktionen: Unternehmen, die gegen DORA-Maßgaben verstoßen, müssen nicht nur mit finanziellen Folgen rechnen, sondern auch mit rechtlichen Konsequenzen. Diese können die Geschäftstätigkeit einschränken oder sogar den Entzug von Lizenzen nach sich ziehen. Zusätzlich können langwierige Untersuchungen und potenzielle Rechtsstreitigkeiten erforderlich werden, die weitere Ressourcen binden und das Unternehmen von seinem Kerngeschäft ablenken.
  • Reputationsschäden: Reputationsschäden sind oft gravierender als finanzielle oder rechtliche Folgen. Der Eindruck, Systeme nicht ausreichend zu schützen, kann das Vertrauen der Kunden massiv beeinträchtigen – besonders im Finanzsektor, wo Vertrauen entscheidend ist. Dies kann u. a. Kundenverluste zur Folge haben. Zudem kann ein beschädigter Ruf die Marktposition und den Wettbewerbsvorteil des Unternehmens schwächen, was sich negativ auf den Unternehmenswert auswirken kann.
  • Geschäftsrisiken: Mangelnde Resilienz erhöht die Wahrscheinlichkeit, dass Unternehmen schwerwiegende finanzielle und operationelle Verluste durch Cyberangriffe oder IT-Ausfälle erleiden.

DORA ist mehr als eine regulatorische Hürde – es ist ein Weckruf für Unternehmen, ihre digitale Resilienz ernst zu nehmen. Der 17. Januar 2025 markiert eine entscheidende Frist, die alle betroffenen Unternehmen in der Finanz- und Versicherungsbranche einhalten müssen. Wer frühzeitig handelt, schützt nicht nur seine Marktanteile bzw. Marktposition, sondern stärkt auch seine Position in einem zunehmend digitalen Markt.

Wir unterstützen Sie gerne bei der Analyse Ihrer Aufbau- und Ablauforganisation zum Status quo, der Projektplanung,der Entwicklung passender Prozesse, Dokumentationen, schriftlich fixierter Ordnungen, IKS-Maßnahmen sowie der Integration dieser in Ihre bestehenden unternehmensinternen Abläufe in den relevanten Bereichen.

 

Für Fragen, Anregungen und Projektanfragen kontaktieren Sie gerne:

Dr. Klaus-D. Krause, Geschäftsführer compliance-net GmbH
Klaus.d.krause@compliance-net.com
Telefon: +49 (0) 6103 376 96 40
Mobil: +49 172 65 17 99 5

DORA
  • Xing logo
  • LinkedIn logo
  • Twitter logo
  • Facebook logo