DORA: Europas neue Cyber-Sicherheitsverordnung stellt nicht nur den Finanzsektor vor Herausforderungen

Selbst Unternehmen außerhalb der EU fallen unter DORA, wenn sie Dienstleistungen für EU-Finanzunternehmen erbringen

[datensicherheit.de, 21.01.2025] Auch Dean Watson, „Lead Solutions Expert Secure Networking“ bei Infinigate, widmet seine aktuelle Stellungnahme dem im Jahr 2020 eingeführten und 2023 in Kraft getretenen „Digital Operational Resilience Act“ (DORA) – dass dessen Regeln nun europaweit griffen, sei eigentlich hinlänglich bekannt. „Und doch stellt die neue Verordnung, die nun am 17. Januar 2025 verpflichtend wurde, viele Unternehmen vor große Herausforderungen. DORA markiert einen Wendepunkt für die digitale Sicherheit im europäischen Finanzsektor.“ Denn diese EU-Verordnung ziele in erster Linie darauf ab, die Widerstandsfähigkeit von Finanzinstituten gegenüber IT-Risiken und Cyber-Bedrohungen deutlich zu stärken. Allerdings betreffe sie nicht nur Banken, Versicherungen und Wertpapierfirmen, sondern auch Zahlungs- und IT-Dienstleister. „Selbst Unternehmen außerhalb der EU fallen unter DORA, wenn sie Dienstleistungen für EU-Finanzunternehmen erbringen“, erläutert Watson.

Foto: Infinigate

Dean Watson: DORA ermöglicht die Modernisierung von Systemen und Prozessen, was zu einer höheren Effizienz und besserer Skalierbarkeit führt

Schonfrist für die Einhaltung von DORA nun abgelaufen

Die DORA-Herausforderungen seien beachtlich – und dies nicht nur, weil die Schonfrist für die Einhaltung von DORA nun abgelaufen sei: „Unternehmen, die im Finanzdienstleistungssektor tätigt sind oder ITK-Dienstleistungen für diese Branche erbringen, sind verpflichtet, sich an die Anforderungen der Verordnung zu halten.“ Diese müssten ein umfangreiches IT-Risikomanagement etablieren, strenge Meldepflichten für IT-Vorfälle einführen und regelmäßige Resilienztests durchführen.

Um Einiges komplexer gestalte sich das DORA-Management von Drittanbietern: „Unternehmen müssen bis zum 30. April 2025 ein vollständiges Register aller vertraglichen Vereinbarungen mit ihren IT-Dienstleistern erstellen.“ Sogenannte Kritische Drittanbieter unterlägen dabei einer direkten Aufsicht durch europäische Behörden und hätten zusätzliche Sicherheits- und Berichtsstandards zu erfüllen. „Weigern sie sich, sind allein die finanziellen Folgen beträchtlich: Bußgelder können bis zu zwei Prozent des weltweiten Jahresumsatzes eines Finanzunternehmens oder bis zu zehn Millionen Euro betragen.“

Diese drohten, wenn größere ITK-bezogene Vorfälle oder Bedrohungen nicht gemeldet würden. Haftbar sind bei Nichteinhaltung der Vorschriften außerdem auch Drittanbieter von ITK-Diensten. Hierbei könnten DORA-Geldbußen von bis zu einem Prozent des durchschnittlichen täglichen weltweiten Umsatzes für jeden einzelnen Tag der Nichteinhaltung verhängt werden.

Nichteinhaltung von DORA kann nicht nur finanzielle Folgen haben

Die potenziellen DORA-Bußgelder bedeuteten in der Praxis hohe Investitionen in IT-Infrastruktur bei komplexen rechtlichen Anforderungen – und einem Mangel an qualifiziertem Personal. Die operativen und finanziellen Herausforderungen dürften insbesondere kleine Unternehmen auf die Probe stellen.

Denn die Nichteinhaltung kann nicht nur finanzielle Folgen haben: Neben hohen Geldbußen drohten Reputationsschäden, eingeschränkte Marktchancen und verstärkte regulatorische Überwachung. Auch erhöhe Versicherungskosten und rechtliche Konsequenzen seien möglich.

„Spezifische Herausforderungen ergeben sich dabei für IT-Dienstleister: Sie müssen nicht nur ihre eigenen Systeme DORA-konform gestalten, sondern auch ihre Dienste an die strengen Anforderungen ihrer Kunden aus dem Finanzsektor anpassen.“ Dies betreffe insbesondere „Cloud“-Provider, Rechenzentren und „Managed Service“-Provider.

DORA sowohl Herausforderung als auch Chance zur Transformation

Trotz aller Herausforderungen sollte DORA nicht nur als regulatorische Pflicht betrachtet werden, sondern als Chance, die Digitale Transformation durch eine bessere IT-Sicherheitsstrategie zu beschleunigen und das Vertrauen der Kunden zu stärken.

„Wird diesem Projekt ein ganzheitlicher Ansatz zugrunde gelegt, ermöglicht DORA die Modernisierung von Systemen und Prozessen, was zu einer höheren Effizienz und besserer Skalierbarkeit führt. Werden automatisierte Workflows und digitale Abläufe implementiert, können proaktive Strategien zur Schadensbegrenzung zum Einsatz kommen.“

Als strategische Partner könnten „Value Add“-Distributoren in den Bereichen „Digital Operation Resilience Testing“, „Third-Party Risk Management“ sowie „Training“ und „Awareness“ unterstützen – etwa durch Lösungen zur Automatisierung regelmäßiger Tests, zur Bereitstellung einer 360°-Sichtbarkeit der Umgebungen, zur Implementierung von Mikrosegmentierung und API-Schutz für ihre Systeme sowie zur Durchführung umfassender Schulungen in den Bereichen „Security-Awareness“ und „Compliance“.

Weitere Informationen zum Thema:

datensicherheit.de, 16.01.2025
DORA zwingt Finanzinstitute zum Handeln, um operative Widerstandsfähigkeit zu sichern / DORA-Ziel ist es, den Finanzsektor besser vor den ständig wachsenden Cyber-Bedrohungen zu schützen

datensicherheit.de, 31.10.2024
Fit für DORA in 3 Schritten: Birol Yildiz rät zum effektiven Incident Management zwecks Stärkung der Cyber-Sicherheit im Finanzsektor / Der „Digital Operational Resilience Act“ (DORA) verlangt von Unternehmen im Finanzsektor, ihre Prozesse im Vorfallsmanagement gründlich zu überprüfen

datensicherheit.de, 09.07.2024
DORA: EU-Regelungen für den Finanzsektor werfen Schatten voraus / Höchste Zeit zur Vorbereitung auf den Digital Operational Resilience Act (DORA)