DORA-Compliance: Digitale operationelle Resilienz für Finanzunternehmen

DORA — die Verordnung über die digitale operationelle Resilienz (Verordnung 2022/2554/EU) — ist eine verbindliche EU-Verordnung, die seit dem 17. Januar 2025 für Finanzunternehmen in der gesamten EU gilt und Banken, Versicherungsunternehmen, Wertpapierfirmen, Zahlungsinstitute, E-Geld-Institute, Krypto-Asset-Dienstleister und als kritisch eingestufte IKT-Drittanbieter umfasst. DORA verlangt von diesen Unternehmen die Implementierung eines umfassenden IKT-Risikomanagement-Rahmens, die Meldung schwerwiegender IKT-Vorfälle an die zuständigen Behörden (einschließlich Banco de España und CNMV für spanische Unternehmen), die regelmäßige Prüfung der digitalen operationellen Resilienz einschließlich bedrohungsgesteuerter Penetrationstests (TLPT) sowie die Verwaltung von IKT-Drittparteirisiken durch konforme Vertragsvereinbarungen nach Artikel 30 der Verordnung. Die Nichteinhaltung wird von nationalen zuständigen Behörden überwacht und sanktioniert.

Unser Team für die Einhaltung von Finanzvorschriften kombiniert tiefgreifende Kenntnisse der DORA-Verordnung mit praktischer Erfahrung bei der Implementierung von IKT-Risikomanagement-Rahmen in Finanzunternehmen.

Warum DORA mehr als eine Dokumentationsübung ist

DORA (Digital Operational Resilience Act, Verordnung 2022/2554) gilt seit Januar 2025 direkt in der gesamten EU. Anders als viele Compliance-Rahmen beschränkt sich DORA nicht auf Dokumentationsanforderungen – sie verlangt echte operative Änderungen in der Art, wie Finanzunternehmen ihre Technologie steuern, Vorfälle verwalten und Verträge mit ihren Anbietern schließen. Die Erfahrungen der ersten Anwendungsmonate bestätigen eine uneinheitliche Branchenbereitschaft, mit wesentlichen Lücken insbesondere bei der IKT-Anbieter-Vertragscompliance und der operativen Kapazität zur Einhaltung der Vorfallmeldefristen.

Die vier Säulen in der Praxis

Der nach Artikel 6 DORA erforderliche IKT-Risikomanagement-Rahmen verlangt vorstandsgenehmigte IKT-Risikorichtlinien, eine vollständige Inventarisierung kritischer IKT-Systeme und -Assets, eine regelmäßige Risikobeurteilungsmethodik und einen Geschäftskontinuitätsplan speziell für technologische Störungen. Für viele mittelgroße Finanzunternehmen ist dieses Niveau formeller IKT-Governance tatsächlich neu – operatives IT-Management existierte, nicht aber der strukturierte Rahmen, den DORA fordert. Unser Ansatz baut auf dem auf, was bereits existiert, vermeidet Doppelarbeit und minimiert den Implementierungsaufwand.

Das IKT-Drittparteirisiko ist der zweite wesentliche Komplexitätsbereich. Nahezu jedes Finanzunternehmen ist heute von Cloud-Anbietern, SaaS-Plattformen und spezialisierten Softwareanbietern abhängig, die für den täglichen Betrieb unerlässlich sind. DORA stellt für diese Beziehungen detaillierte Vertragspflichten, einschließlich Prüfungsrechten, die viele globale Anbieter nicht standardmäßig gewähren, und einem vollständigen Register aller IKT-Anbieterverträge. Wir koordinieren eng mit dem Drittparteirisikomanagement und den Rechtsteams, die diese Verträge verhandeln.

TLPT und fortgeschrittene Resilienzprüfung

Für größere Unternehmen, die Threat-Led Penetration Tests unterliegen, koordinieren wir den End-to-End-Prozess: Auswahl eines zertifizierten Red-Team-Anbieters, Festlegung des Umfangs mit der Aufsichtsbehörde, Durchführung der Tests über kritische Funktionen und Systeme und Erstellung des Abschlussberichts mit einem dokumentierten Sanierungsplan. DORA ist explizit, dass TLPT-Ergebnisse – einschließlich identifizierter Schwachstellen – mit dem Aufseher geteilt und von einem konkreten Sanierungszeitplan begleitet werden müssen. Die Koordinationsanforderungen zwischen dem Unternehmen, dem Tester und dem Aufseher sind erheblich, und ein frühzeitiges Engagement mit der Aufsichtsbehörde ist unerlässlich, um Prozessverzögerungen zu vermeiden.

Beziehung zu NIS2 und anderen Rahmen

Finanzunternehmen, die DORA unterliegen, sind in den von DORA geregelten Bereichen von NIS2 ausgenommen. Für Gruppen mit sowohl finanziellen als auch nicht-finanziellen Aktivitäten kartieren wir die jeweiligen Anwendungsbereiche, um zu identifizieren, wo ein einzelner Governance-Rahmen beiden Verordnungen dienen kann und wo eine separate Behandlung erforderlich ist. Wir integrieren die DORA-Compliance auch mit NIS2-Compliance-Programmen für Gruppen, die beides benötigen, und stellen sicher, dass Sicherheitsinvestitionen über regulatorische Anforderungen hinweg genutzt und nicht dupliziert werden.

Vorfallmeldung: operative Herausforderung der 24-Stunden-Frist

Die DORA-Vorfallsmeldepflichten sind operativ anspruchsvoll. Eine Frühwarnung muss die zuständige Behörde (Banco de España oder CNMV, je nach Unternehmenstyp) innerhalb von 24 Stunden nach Erkennung eines schwerwiegenden IKT-Vorfalls erreichen — vor der vollständigen Analyse, vor der Ursachenbestimmung und oft bevor der Vorfall vollständig eingedämmt ist. Der 72-Stunden-Zwischenbericht erfordert mehr Substanz, und der abschließende Ein-Monats-Bericht muss eine umfassende Darstellung von Auswirkung, Ursache und Behebungsmaßnahmen liefern.

Organisationen, die diese Fristen einhalten wollen, müssen das entsprechende interne Erkennungs-, Eskalierungs- und Koordinationsprotokoll vor dem Vorfall entwickeln — nicht danach. Das bedeutet: klare Definition, was ein “schwerwiegender IKT-Vorfall” im Sinne von DORA ist (die regulatorischen technischen Standards der EBA präzisieren diese Kriterien), ein Rund-um-die-Uhr-Bereitschaftsteam, das die erste Einschätzung in Stunden tätigen kann, und vorbereitete Berichtsvorlagen, die die regulatorisch geforderten Informationsfelder strukturieren.

IKT-Drittparteiverträge nach Art. 30 DORA: Umstrukturierung der Lieferkette

Die Anforderungen von Art. 30 DORA an IKT-Drittparteiverträge sind für viele Finanzunternehmen der aufwendigste Teil der Implementierung. DORA verlangt, dass Verträge mit IKT-Drittanbietern vollständige Prüfungsrechte des Finanzunternehmens und seiner Aufsichtsbehörden enthalten, SLA-Definitionen für Verfügbarkeit und Wiederherstellung, klare Daten-Portabilitätsklauseln bei Vertragsbeendigung und Subauftragskontrollmechanismen. Viele globale Cloud- und SaaS-Anbieter gewähren diese Rechte nicht in ihren Standard-Vertragswerken.

Wir begleiten die systematische Überarbeitung des gesamten IKT-Lieferantenportfolios: Klassifizierung der Anbieter nach Kritikalität für den Betrieb, Gap-Analyse der bestehenden Vertragsklauseln gegenüber den DORA-Anforderungen und Verhandlung von Vertragsänderungen mit Anbietern. Für kritische Anbieter, die wesentliche Vertragsbedingungen nicht akzeptieren, entwickeln wir den Migrationsplan zu DORA-konformen Alternativen. Diese Arbeit koordinieren wir eng mit dem Drittparteirisikomanagement-Service und dem Rechtsteam.

Cybersicherheits-Audit als DORA-Vorbereitung

Für Unternehmen in der Vorbereitungsphase ist ein strukturierter Cybersicherheits-Audit der effizienteste Weg zur Identifizierung der wesentlichen Lücken gegenüber dem DORA-IKT-Risikomanagement-Rahmen. Der Audit bewertet die bestehenden Kontrollen gegenüber den DORA-Anforderungen nach Art. 9 (IKT-Schutz), Art. 11 (Geschäftskontinuität), Art. 12 (Backup und Wiederherstellung) und Art. 13 (Lernen und Weiterentwicklung) und liefert einen priorisierten Sanierungsplan mit realistischen Zeitschätzungen und Ressourcenbedarfen.