DORA macht deutlich: Europas Finanzsektor benötigt neue digitale Risikokultur

Cyber-Sicherheit längst kein technisches Randthema mehr, sondern elementarer Bestandteil der Finanzstabilität

[datensicherheit.de, 16.04.2025] In seiner aktuellen Stellungnahme geht Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, auf das Inkrafttreten der EU-Verordnung DORA („Digital Operational Resilience Act“) ein – nun wird demnach deutlich: „Cyber-Sicherheit ist längst kein technisches Randthema mehr, sondern elementarer Bestandteil der Finanzstabilität! Was bislang oft als nationale Aufgabe gehandhabt wurde, erhält nun einen verbindlichen, europäischen Rahmen – ein Novum, das weit über die Finanzbranche hinaus Signalwirkung entfaltet.“

Foto: KnowBe4

Dr. Martin J. Krämer rät dem Finanzsektor zu gelebter Sicherheitskultur, klaren Zuständigkeiten, transparenten Prozessen und regelmäßigen Schulungen

DORA greift dort, wo Finanzinstitute besonders angreifbar sind

„DORA greift dort, wo Finanzinstitute besonders angreifbar sind – bei ihrer wachsenden Abhängigkeit von digitalen Systemen und externen Dienstleistern.“ Diese Verordnung verlange weitreichende Maßnahmen in fünf zentralen Bereichen:

1. dem IKT-Risikomanagement,
2. dem Vorfallmanagement,
3. der operativen Resilienzprüfung,
4. dem Drittparteienrisiko sowie dem
5. Informationsaustausch.

Insbesondere Letzteres sei bemerkenswert – denn der Austausch über Cyber-Bedrohungen innerhalb der Branche werde erstmals ausdrücklich gefördert.

Viele Finanz-Unternehmen nutzen DORA-Einführung als Katalysator

Ein zentrales Element sei das Management von Drittanbieter-Risiken: Banken, Versicherungen und Kapitalverwaltungsgesellschaften müssten künftig deutlich striktere Prüfungen ihrer IT-Dienstleister vornehmen – insbesondere „Cloud“-Anbieter gerieten in den Fokus. Verträge müssten angepasst, Risiken regelmäßig bewertet und Notfallpläne etabliert werden. Krämer betont: „Diese Anforderungen führen dazu, dass sich die Anbieterlandschaft verändern wird: Nur wer robuste Sicherheitsstandards nachweisen kann, wird sich langfristig behaupten.“

Gleichzeitig werde auch das unternehmensinterne Krisenmanagement neu ausgerichtet. Unternehmen müssten sicherstellen, „dass sie Vorfälle schnell erkennen, koordinieren und wirksam bewältigen können“. Dies erfordere eine stärkere Verzahnung zwischen IT, Risiko- und Compliance-Funktionen sowie den jeweiligen Fachabteilungen. Viele Unternehmen nutzten die Einführung von DORA daher als Katalysator, um bestehende „Silostrukturen“ aufzubrechen und Sicherheitsprozesse ganzheitlicher aufzustellen.

Es geht um den Aufbau einer neuen digitalen Risikokultur der Finanzbranche

Doch der gesetzliche Rahmen allein reiche nicht: „DORA fordert mehr als nur eine formale Erfüllung technischer Vorgaben – es geht um den Aufbau einer neuen digitalen Risikokultur.“ Dazu gehörten regelmäßige Schulungen, klare Kommunikationswege im Krisenfall, eine transparente Fehlerkultur und die Bereitschaft, aus Sicherheitsvorfällen zu lernen. „Der Wandel beginnt also nicht bei der Technik, sondern im Denken!“

Nicht zuletzt werde sichtbar, wo die EU offensichtlich noch Nachholbedarf hat: „Die Umsetzung verläuft national sehr unterschiedlich – mit weitreichenden Folgen für international tätige Finanzunternehmen.“ Während Länder wie Deutschland, die Niederlande oder Luxemburg proaktiv handelten und konkrete Leitlinien erlassen hätten, blieben andere Mitgliedstaaten hinter den Erwartungen zurück. Dies berge die Gefahr „regulatorischer Unwucht“ und begünstige sogenannte Arbitrage-Effekte – also das gezielte Ausweichen in Länder mit laxerer Aufsicht.

EU-Rahmenwerke sollen Unternehmen Orientierung und Verbindlichkeit bieten – insbesondere in Kritischen Sektoren wie dem Finanzwesen

Mit DORA und der parallel wirkenden NIS2-Richtlinie etabliere Europa wichtige Rahmenwerke, welche Unternehmen Orientierung und Verbindlichkeit geben sollten – insbesondere in Kritischen Sektoren wie dem Finanzwesen. „Doch Regelwerke allein schaffen noch keine Sicherheit!“

Entscheidend sei, dass Unternehmen den Geist dieser Vorschriften verinnerlichten, unterstreicht Krämer zum Abschluss und rät zu einer gelebten Sicherheitskultur, klaren Zuständigkeiten, transparenten Prozessen und nicht zuletzt zu regelmäßige Schulungen, um das Sicherheitsbewusstsein aller Mitarbeiter stärken. „Nur so lässt sich die digitale Resilienz erreichen, die Europa in Zeiten wachsender Cyber-Bedrohungen dringend braucht!“

Weitere Informationen zum Thema:

BaFin Bundesanstalt für Finanzdienstleistungsaufsicht, 09.04.2025
DORA – Digital Operational Resilience Act

datensicherheit.de, 13.04.2025
DORA-Frist vom 14. und dem 28. April 2025: Lieferkettensicherheit als Herausforderung / DORA-Registrierungspflicht umfasst nicht nur die Meldung an die BaFin, sondern auch noch umfassende Prüfpflichten – von der Risikoanalyse bis hin zur Auditfähigkeit

datensicherheit.de, 17.03.2025
DORA in der Praxis: Stolpersteine und Empfehlungen für Unternehmen / Die Verordnung der EU soll die Cyberresilienz des Finanzsektors durch einheitliche und verbindliche Vorgaben verbessern

datensicherheit.de, 06.02.2025
Finanzsektor: Herausforderungen und zugleich Chancen durch DORA / Zahlreiche Unternehmen im Finanzsektor benutzen veraltete IT-Systeme, die nicht in der Lage sind, den hohen DORA-Anforderungen zu genügen

datensicherheit.de, 21.01.2025
DORA: Europas neue Cyber-Sicherheitsverordnung stellt nicht nur den Finanzsektor vor Herausforderungen / Selbst Unternehmen außerhalb der EU fallen unter DORA, wenn sie Dienstleistungen für EU-Finanzunternehmen erbringen

datensicherheit.de, 16.01.2025
DORA zwingt Finanzinstitute zum Handeln, um operative Widerstandsfähigkeit zu sichern / DORA-Ziel ist es, den Finanzsektor besser vor den ständig wachsenden Cyber-Bedrohungen zu schützen