DORA

Der Digital Operational Resilience Act (DORA) der Europäischen Union wurde entwickelt, um Unternehmen der Finanz- und Versicherungsbranche dabei zu unterstützen widerstandsfähiger gegenüber Cyberangriffen, technischen Störungen und anderen digitalen Bedrohungen zu werden.

Bis zum 17. Januar 2025 sind alle betroffenen Organisationen verpflichtet, die Anforderungen der Verordnung (seit Januar 2023 ohne Übergangsfrist in Kraft) vollständig umsetzen. Doch was bedeutet das konkret, und warum ist DORA für Unternehmen so essenziell? 

DORA zielt darauf ab, die digitale Resilienz von Finanz- und Versicherungsinstituten sowie  Unternehmen, die in der Finanzbranche tätig sind, sicherzustellen. Die Verordnung legt europaweit einheitliche Standards fest, um Risiken im Zusammenhang mit dem Einsatz von Informations- und Kommunikationstechnologien (IKT) zu minimieren.

von Dr. Klaus-Dieter Krause

Wie wir bereits in einem einfachen Überblick im Juli 2023 berichteten,  hat die Bundesregierung den Digital Operational Resilience Act, kurz DORA, 

mit Gültigkeit seit dem 16. Januar 2023 für Unternehmen im Finanzsektor und deren IT-Dienstleister eingeführt. Und damit wird so etwas wie ein Paradigmenwechsel umgesetzt. Es sind mit Einführung DORA nicht mehr (nur) die Finanzunternehmen in der Pflicht, sondern auch die IT-Dienstleister die für Unternehmen in diesem Sektor tätig sind.  

Die VERORDNUNG (EU) 2022/2554 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 14. Dezember 2022 über die digitale operationale Resilienz ist lange diskutiert und immer wieder angepasst worden. Seit dem 16. Januar 2023 ist sie nun durch Unternehmen im Finanzsektor und deren IT-Dienstleister zu berücksichtigen bzw. entsprechend umzusetzen - und die Uhr tickt. Es sind nur noch 18 Monate Zeit, bis Anfang 2025 die Umsetzungsfrist endet und die Anforderungen vollumfänglich umzusetzen sind.

Die Zielsetzung der Europäischen Kommission besteht darin, einen gesetzlichen Rahmen für das Management von Cybersicherheits- und IKT-Risiken auf den Finanzmärkten zu schaffen. Schwerpunkt dabei ist die Sicherstellung der Aufrechterhaltung eines widerstandsfähigen Betriebs im Falle einer schwerwiegenden Betriebsunterbrechung. Somit soll eine Gefährdung der Sicherheit des Netzes und der Informationssysteme verhindert werden.