DORA-Frist vom 14. und dem 28. April 2025: Lieferkettensicherheit als Herausforderung

DORA-Registrierungspflicht umfasst nicht nur die Meldung an die BaFin, sondern auch noch umfassende Prüfpflichten – von der Risikoanalyse bis hin zur Auditfähigkeit

[datensicherheit.de, 13.04.2025] Der eco – Verband der Internetwirtschaft e.V. weist in einer aktuellen Stellungnahme darauf hin, dass zwischen dem 14. und dem 28. April 2025 Finanzinstitute in der EU ihre IT-Dienstleister bei der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) registriert haben müssen. Mit dem Inkrafttreten des „Digital Operational Resilience Act“ (DORA) geraten damit auch viele IT-Dienstleister ohne bisherige unmittelbare Regulierung in den Fokus von Aufsichtsbehörden. Gleichzeitig sorgt die bevorstehende Umsetzung der europäischen NIS-2-Richtlinie in weiteren Branchen für erhöhten Handlungsdruck, der sich auch auf die von DORA betroffenen Unternehmen beispielgebend auswirken könnte.

NIS-2-Rezeption am Markt könnte für Umgang mit DORA beispielgebend sein

„Etliche Dienstleister stehen aktuell vor der Aufgabe, Sicherheitsnachweise, Risikoanalysen und Vertragskonformität kurzfristig zu dokumentieren – oft, ohne dass sie bisher mit vergleichbaren Anforderungen konfrontiert waren“, berichtet Ulrich Plate, Leiter der eco-Kompetenzgruppe „Kritische Infrastrukturen“.

• Auch außerhalb des Finanzsektors zeige sich bereits eine zunehmende Dynamik: „Unternehmen, die künftig unter NIS-2 fallen, fordern schon heute von ihren Zulieferern konkrete Nachweise zur Cyber-Sicherheit.“ Diese Richtlinie verpflichtet Unternehmen unter anderem dazu, auch ihre IKT-Lieferkette auf ein Mindestmaß an Sicherheit zu verpflichten.

Plate: „Was wir beobachten, ist eine Art regulatorische Vorwirkung – viele Auftraggeber fordern vertraglich bereits heute de facto NIS-2-konforme Sicherheit, obwohl die Anforderungen noch nicht in nationales Recht überführt wurden.“

Vertragsdruck steigt – NIS-2 und künftig auch DORA als Treiber

Laut aktuellen Schätzungen werden rund 30.000 Unternehmen in Deutschland künftig direkt unter die NIS-2-Regelung fallen. Doch auch nicht unmittelbar betroffene Dienstleister könnten die Auswirkungen spüren: In der Praxis werden Verträge angepasst, Sicherheitsfragebögen verschickt und Anbieter nur bei entsprechender „Compliance“ beauftragt. „Zulieferer geraten häufig früher in die Pflicht als ihre Auftraggeber“, warnt Plate und betont: „Wer sich nicht vorbereitet, wird bei Ausschreibungen künftig nicht mehr berücksichtigt.“

• DORA konkretisiere diese Entwicklung im Finanzbereich mit einem klaren Stichtag. Die Registrierungspflicht umfasse nicht nur eine Meldung an die BaFin, sondern auch umfassende Prüfpflichten – von der Risikoanalyse bis hin zur Auditfähigkeit.

Die Aufsicht könne künftig auch IT-Dienstleister kontrollieren, die nicht direkt reguliert sind. „DORA bringt IT-Dienstleister in die direkte Sichtbarkeit der Aufsicht“, erläutert Plate. Die Marktgrenze für Cyber-Sicherheit verschiebe sich – „wer im Geschäft bleiben möchte, muss sich der Regulierung anpassen“.

NIS-2- bzw. DORA-Compliance als Wettbewerbsvorteil nutzen

Besonders mittelständische Dienstleister stehen laut Plate vor der Aufgabe, ihre internen Prozesse auf neue Anforderungen auszurichten – etwa mit Zertifizierungen, Notfallplänen oder strukturierten Nachweisverfahren.

• Dabei könne eine frühzeitige Positionierung zum Vorteil werden. IT-Dienstleister sollten daher jetzt prüfen, wie gut sie auf regulatorische Anforderungen vorbereitet sind – und mögliche Lücken zügig schließen.

„IT-Compliance ist ein Differenzierungsmerkmal“, so Plates Fazit. Er rät: „Wer heute in Sicherheitsstandards investiert, stärkt die eigene Resilienz und gewinnt Vertrauen – auch bei neuen Auftragnehmern.“

Weitere Informationen zum Thema:

BaFin Bundesanstalt für Finanzdienstleistungsaufsicht, 11.04.2025
Informationsregister und Anzeigepflichten / Die BaFin informiert über Kapitel V, Abschnitt I, Artikel 28 Absatz 3 DORA

BaFin Bundesanstalt für Finanzdienstleistungsaufsicht, 09.04.2025
DORA – Digital Operational Resilience Act

datensicherheit.de, 17.03.2025
DORA in der Praxis: Stolpersteine und Empfehlungen für Unternehmen / Die Verordnung der EU soll die Cyberresilienz des Finanzsektors durch einheitliche und verbindliche Vorgaben verbessern

datensicherheit.de, 06.02.2025
Finanzsektor: Herausforderungen und zugleich Chancen durch DORA / Zahlreiche Unternehmen im Finanzsektor benutzen veraltete IT-Systeme, die nicht in der Lage sind, den hohen DORA-Anforderungen zu genügen

datensicherheit.de, 21.01.2025
DORA: Europas neue Cyber-Sicherheitsverordnung stellt nicht nur den Finanzsektor vor Herausforderungen / Selbst Unternehmen außerhalb der EU fallen unter DORA, wenn sie Dienstleistungen für EU-Finanzunternehmen erbringen

datensicherheit.de, 16.01.2025
DORA zwingt Finanzinstitute zum Handeln, um operative Widerstandsfähigkeit zu sichern / DORA-Ziel ist es, den Finanzsektor besser vor den ständig wachsenden Cyber-Bedrohungen zu schützen

datensicherheit.de, 31.10.2024
Fit für DORA in 3 Schritten: Birol Yildiz rät zum effektiven Incident Management zwecks Stärkung der Cyber-Sicherheit im Finanzsektor / Der „Digital Operational Resilience Act“ (DORA) verlangt von Unternehmen im Finanzsektor, ihre Prozesse im Vorfallsmanagement gründlich zu überprüfen