DORA-Anforderungen: Alle 5 Säulen

DORA-Anforderungen: Was Finanzunternehmen wissen muessen

Der Digital Operational Resilience Act (DORA) — offiziell Verordnung (EU) 2022/2554 — ist seit dem 17. Januar 2025 unmittelbar anwendbar. Die Verordnung verpflichtet alle Finanzunternehmen in der EU, ihre digitale operationelle Widerstandsfaehigkeit systematisch sicherzustellen. DORA gliedert sich in fuenf zentrale Saeulen, die zusammen einen umfassenden Rahmen fuer das Management von IKT-Risiken bilden.

Betroffen sind ueber 22.000 Finanzunternehmen in der EU — von Kreditinstituten und Versicherungen ueber Wertpapierfirmen bis hin zu Zahlungsinstituten, E-Geld-Instituten und Krypto-Dienstleistern. Hinzu kommen kritische IKT-Drittdienstleister, die direkt der europaeischen Aufsicht unterliegen.

Die 5 Saeulen von DORA im Detail

DORA strukturiert die Anforderungen in fuenf thematische Saeulen. Jede Saeule adressiert einen Kernaspekt der digitalen operationellen Resilienz und verweist auf spezifische Artikel der Verordnung.

Saeule 1: IKT-Risikomanagement (Art. 5-16)

Das IKT-Risikomanagement bildet das Fundament von DORA. Artikel 5 verpflichtet die Geschaeftsleitung ausdruecklich, die Verantwortung fuer das IKT-Risikomanagement zu uebernehmen. Sie muss eine IKT-Risikomanagementstrategie genehmigen, ueberwachen und regelmaessig ueberpruefen.

Der IKT-Risikomanagementrahmen (Art. 6) umfasst Strategien, Richtlinien, Verfahren und Instrumente, die fuer den Schutz aller Informations- und IKT-Vermoegenswerte erforderlich sind. Konkret muessen Finanzunternehmen:

• Identifikation (Art. 8): Alle IKT-gestuetzten Unternehmensfunktionen, Informationsassets und IKT-Assets dokumentieren und klassifizieren, einschliesslich Abhaengigkeiten von IKT-Drittdienstleistern
• Schutz (Art. 9): Angemessene Sicherheitsrichtlinien implementieren — von Zugangskontrollen ueber Netzwerksicherheit bis hin zu Verschluesselung und Patch-Management
• Erkennung (Art. 10): Mechanismen zur Erkennung anomaler Aktivitaeten und IKT-bezogener Vorfaelle etablieren, inklusive Monitoring und Logging
• Reaktion und Wiederherstellung (Art. 11-12): Business-Continuity-Richtlinien und Wiederherstellungsplaene definieren, testen und regelmaessig aktualisieren
• Lernen (Art. 13): Erkenntnisse aus IKT-Vorfaellen, Tests und externen Bedrohungen systematisch in den Risikomanagementprozess zurueckfuehren

Artikel 16 sieht einen vereinfachten IKT-Risikomanagementrahmen fuer Kleinstunternehmen vor — ein wichtiger Aspekt der Proportionalitaet. Fuer eine vertiefte Darstellung dieser Saeule lies unsere Seite zum IKT-Risikomanagement.

Saeule 2: IKT-Vorfallsmanagement und Meldepflichten (Art. 17-23)

DORA fuehrt ein harmonisiertes Meldewesen fuer schwerwiegende IKT-bezogene Vorfaelle ein. Finanzunternehmen muessen Vorfaelle erkennen, klassifizieren und nach einem dreistufigen Verfahren an die zustaendige Aufsichtsbehoerde melden:

• Erstmeldung: Innerhalb von 4 Stunden nach Klassifizierung des Vorfalls als schwerwiegend (spaetestens 24 Stunden nach Erkennung)
• Zwischenmeldung: Innerhalb von 72 Stunden nach der Erstmeldung mit aktualisierten Informationen zu Auswirkungen und Gegenmaßnahmen
• Abschlussbericht: Innerhalb von 30 Tagen nach der Erstmeldung mit vollstaendiger Ursachenanalyse und Lessons Learned

Die Klassifizierung erfolgt anhand definierter Kriterien (Art. 18): Anzahl betroffener Kunden, Dauer des Ausfalls, geografische Ausbreitung, Datenverlust, Kritikalitaet der betroffenen Dienste und wirtschaftliche Auswirkungen. Details zu Meldefristen und -kanaelen findest du auf unserer Seite zur Meldepflicht.

Saeule 3: Testen der digitalen operationellen Resilienz (Art. 24-27)

DORA verpflichtet Finanzunternehmen zu regelmaessigen Resilienztests, um die Wirksamkeit ihrer Schutzmassnahmen zu ueberpruefen. Es wird zwischen zwei Testsebenen unterschieden:

• Basistests (Art. 25): Alle Finanzunternehmen muessen jaehrliche Tests durchfuehren — Schwachstellenscans, Open-Source-Analysen, Netzwerksicherheitstests, Gap-Analysen, Performance-Tests, Penetrationstests und Source-Code-Reviews
• TLPT — Threat-Led Penetration Testing (Art. 26-27): Signifikante Finanzunternehmen muessen alle drei Jahre bedrohungsgesteuerte Penetrationstests (TLPT) auf Basis des TIBER-EU-Rahmens durchfuehren. TLPTs simulieren reale Angriffsszenarien auf kritische Systeme und erfordern zertifizierte externe Tester

Wer TLPT durchfuehren muss, bestimmt die zustaendige Aufsichtsbehoerde anhand von Groesse, Systemrelevanz und Risikoprofil. Mehr dazu findest du auf unserer Seite zu Resilienztests.

Saeule 4: IKT-Drittparteienrisikomanagement (Art. 28-44)

DORA widmet dem Management von IKT-Drittparteienrisiken den umfangreichsten Abschnitt — ein klares Signal fuer die Bedeutung dieses Themas. Die Anforderungen umfassen:

• Vertragliche Anforderungen (Art. 30): Alle Vertraege mit IKT-Drittdienstleistern muessen Mindestinhalte enthalten — SLAs, Audit-Rechte, Datenlokalisierung, Unterstuetzung bei Vorfaellen und Kuendigungsregelungen
• Informationsregister (Art. 28 Abs. 3): Finanzunternehmen muessen ein vollstaendiges Register aller IKT-Drittdienstleister fuehren und jaehrlich an die Aufsichtsbehoerde melden. Details auf unserer Seite zum Informationsregister
• Konzentrationsrisiko (Art. 29): Unternehmen muessen bewerten, ob eine zu starke Abhaengigkeit von einzelnen IKT-Dienstleistern besteht und Massnahmen zur Diversifizierung ergreifen
• Exit-Strategien (Art. 28 Abs. 8): Fuer jeden kritischen IKT-Drittdienstleister muessen Ausstiegsstrategien und Transitionsplaene existieren
• Uebersichtsrahmen fuer CTPPs (Art. 31-37): Kritische IKT-Drittdienstleister (Critical Third-Party Providers) unterliegen der direkten Aufsicht durch die ESAs — ein voellig neues Aufsichtsinstrument

Eine detaillierte Darstellung findest du auf unserer Seite zum Drittparteienrisiko.

Saeule 5: Informationsaustausch (Art. 45)

DORA ermoeglicht den freiwilligen Austausch von Informationen ueber Cyberbedrohungen zwischen Finanzunternehmen. Ziel ist es, die kollektive Widerstandsfaehigkeit des Finanzsektors zu staerken, indem Indikatoren fuer Kompromittierungen (IoCs), Taktiken, Techniken und Verfahren (TTPs) sowie Warnungen und Empfehlungen geteilt werden.

Der Informationsaustausch muss innerhalb vertrauenswuerdiger Gemeinschaften stattfinden und die Vorgaben zu Datenschutz, Geschaeftsgeheimnissen und Wettbewerbsrecht einhalten. Obwohl freiwillig, signalisiert die Teilnahme ein ausgereiftes Sicherheitsverstaendnis gegenueber Aufsichtsbehoerden.

Zusammenwirken der fuenf Saeulen

Regulatorische technische Standards (RTS) und Durchfuehrungsstandards (ITS)

DORA wird durch zahlreiche delegierte Rechtsakte und technische Standards konkretisiert. Die ESAs (EBA, EIOPA, ESMA) haben in zwei Chargen RTS und ITS veroeffentlicht, die detaillierte Umsetzungsanforderungen festlegen — unter anderem zu:

• Inhalt und Format des IKT-Risikomanagementrahmens
• Klassifizierung von IKT-Vorfaellen und Meldeformularen
• Anforderungen an TLPT und Testergebnisse
• Inhalt und Struktur des Informationsregisters
• Kriterien fuer die Bestimmung kritischer IKT-Drittdienstleister

Diese Standards muessen bei der Umsetzung beruecksichtigt werden. Unternehmen, die sich nur an den Level-1-Text halten, riskieren Luecken bei Aufsichtspruefungen.

Naechste Schritte: Von den Anforderungen zur Umsetzung

Die DORA-Anforderungen sind umfangreich, aber mit einem strukturierten Ansatz umsetzbar. Starte mit einer Gap-Analyse gegen die fuenf Saeulen und priorisiere die Bereiche mit dem groessten Handlungsbedarf. Unsere DORA-Checkliste bietet dir einen 10-Schritte-Plan fuer die systematische Umsetzung. Informationen zu Budget und Timeline findest du auf unserer Seite zu Kosten und Ablauf. Falls du bereits ISO 27001 zertifiziert bist, hilft dir unser ISO 27001 Mapping beim Identifizieren bereits abgedeckter Anforderungen.