Alle Beiträge

DORA kompakt: Was Unternehmen umsetzen müssen

Durch den Digital Operational Resilience Act (DORA) werden Finanzunternehmen verpflichtet, ihre digitale operationale Resilienz systematisch zu stärken. Dies umfasst unter anderem das IKT-Risikomanagement, die Meldung von IKT-Vorfällen sowie das Management von IKT-Drittparteienrisiken.

Durch die neue Verordnung verfolgen europäischen Aufsichtsbehörden das Ziel, dass Finanzunternehmen und ihre IKT-Dienstleister auch bei IT-Störungen, Cyberangriffen oder Ausfällen externer Dienstleister ihre kritischen Geschäftsprozesse aufrechterhalten können.

Da das Geschäftsmodell von Finanzinstituten maßgeblich auf IT-gestützten Geschäftsprozessen basiert, stellt die IT einen zentralen Risikofaktor dar und erfordert einen besonders hohen Schutz.

Die Verordnung ist seit Januar 2023 in Kraft und ab dem 17. Januar 2025 verbindlich anzuwenden. Als EU-Verordnung gilt DORA unmittelbar in allen Mitgliedstaaten und bedarf keiner Umsetzung in nationales Recht.

Wen betrifft DORA?

DORA richtet sich primär an:

  • Finanzunternehmen (z. B. Banken, Versicherungen, Wertpapierfirmen)
  • Zahlungsdienstleister
  • Krypto-Dienstleister
  • kritische IKT-Dienstleister

Darüber hinaus betrifft DORA auch indirekt viele Dienstleister, die IKT-Leistungen für Finanzunternehmen erbringen, etwa:

  • SaaS-Anbieter
  • Rechenzentrums- und Cloud-Dienstleister
  • Software- und Anwendungsentwickler
  • Managed Service Provider

Damit ist DORA kein reines Finanzinstituts-Thema, sondern relevant für große Teile des IKT-Ökosystems.

Was fordert DORA konkret?

DORA definiert ein einheitliches regulatorisches Rahmenwerk entlang fünf zentraler Handlungsfelder.

1. IKT-Risikomanagement

Unternehmen müssen ein strukturiertes Rahmenwerk für das Management von Risiken der Informations- und Kommunikationstechnik (IKT) etablieren. Dieses umfasst die Identifikation, Bewertung und Steuerung von Risiken sowie Maßnahmen zur Aufrechterhaltung des (IT-)Betriebs im Krisenfall.

Dazu gehören unter anderem:

  • eine IKT- und Resilienzstrategie
  • der Schutz kritischer Systeme und Daten
  • klar definierte Rollen und Verantwortlichkeiten
  • dokumentierte Prozesse, Kontrollen und Maßnahmen

2. Meldung von IKT-Vorfällen

Schwerwiegende IKT-Vorfälle müssen nach festgelegten Kriterien klassifiziert und innerhalb kurzer Fristen an die Aufsichtsbehörden gemeldet werden. Neben der initialen Meldung sind auch Zwischenberichte sowie ein Abschlussbericht mit detaillierten Informationen erforderlich.

DORA verlangt konkret:

  • Erkennung, Klassifizierung und Behandlung von IKT-Vorfällen
  • Meldepflichten gegenüber den Aufsichtsbehörden
  • nachvollziehbare Dokumentation und systematisches Lessons-Learned-Management

3. Tests der digitalen operationalen Resilienz

Finanzunternehmen müssen die Widerstandsfähigkeit ihrer IT-Systeme regelmäßig überprüfen. Dazu zählen unter anderem:

  • Schwachstellenanalysen
  • Penetrationstests
  • Szenario- und Notfalltests

Für bestimmte Unternehmen sind fortgeschrittene, bedrohungsbasierte Penetrationstests (Threat-Led Penetration Testing, TLPT) verpflichtend durchzuführen. Welche Unternehmen hiervon betroffen sind und in welcher Form TLPT umzusetzen sind, wird durch die zuständige nationale Aufsichtsbehörde, beispielsweise die BaFin in Deutschland, festgelegt.

4. Management von IKT-Drittparteien

Ein zentraler Fokus von DORA liegt auf dem Management von Risiken aus der Nutzung von IKT-Drittparteien. Finanzunternehmen müssen ihre IKT-Dienstleister aktiv steuern und die Lieferketten bzw. IKT-Unterauftragsvergaben überwachen.

Daraus ergeben sich folgende Anforderungen:

  • Identifikation und Dokumentation aller IKT-Dienstleistungen
  • Einstufung kritischer und wichtiger IKT-Dienstleistungen
  • Risikoanalysen und Due-Diligence-Prüfungen
  • vertragliche Anforderungen und Kontrollrechte
  • Exit- und Substitutionsstrategien
  • laufende Überwachung der Dienstleister

5. Informationsaustausch

DORA fördert den freiwilligen Austausch von Informationen über Cyberbedrohungen und Schwachstellen zwischen Finanzunternehmen, um die kollektive Resilienz des Finanzsektors zu stärken.

Was bedeutet DORA für die Organsaition?

DORA ist kein reines IT-Thema. Die Umsetzung erfordert eine enge Verzahnung von:

  • Governance & Management
  • Informationssicherheit (ISMS)
  • Business Continuity Management (BCM)
  • Auslagerungs- und Vertragsmanagement
  • Compliance und Risikomanagement

Bestehende Strukturen müssen häufig überprüft, harmonisiert und weiterentwickelt werden.

Typische Herausforderungen bei der DORA-Umsetzung

In der Praxis zeigen sich häufig folgende Herausforderungen:

  • DORA-Anforderungen sind über mehrere Organisationseinheiten verteilt
  • ISMS-, BCM- und TPRM-Prozesse sind nicht ausreichend integriert
  • Verträge mit IKT-Dienstleistern erfüllen die DORA-Anforderungen nicht
  • hoher Dokumentationsaufwand bei begrenzten Ressourcen

Wie können Unternehmen DORA pragmatisch umsetzen?

Ein wirksamer DORA-Ansatz ist:

  • risikoorientiert statt rein formal
  • integriert statt isoliert
  • technologiegestützt statt manuell

Entscheidend ist, regulatorische Anforderungen in lebendige, steuerbare und nachvollziehbare Prozesse zu überführen, die sowohl Compliance als auch operative Resilienz stärken.

DORA als Chance verstehen

Richtig umgesetzt ist DORA nicht nur eine regulatorische Pflicht, sondern bietet klare Mehrwerte:

  • Verbesserung der IT-Resilienz
  • Reduktion von Drittparteien- und Lieferkettenrisiken
  • klarere Governance-Strukturen
  • höhere Transparenz gegenüber Aufsicht und Management

Nächste Schritte

Möchten Sie wissen, wie Sie DORA mit Leno effizient, automatisiert und regelkonform umsetzen? Dann sprechen Sie uns an!

👉Nächster Beitrag

Lernen Sie Leno kennen

Demo buchen
Vereinbaren Sie noch heute einen Termin, um Leno kennenzulernen.

Wie können wir Ihnen helfen?
Kontaktieren Sie uns.

Zu unserem Trust Center
UnternehmenKarriereAktuelles
Kontakt
© 2025 LeanMind. All rights reserved.