DORA - Digital Operational Resilience Act

Verordnung (EU) 2022/2554

Überblick

Die Verordnung (EU) 2022/2554 über die digitale operationelle Resilienz des Finanzsektors (Digital Operational Resilience Act - DORA) trat am 16. Januar 2023 in Kraft und ist ab dem 17. Januar 2025 vollständig anzuwenden. DORA zielt darauf ab, die digitale operationelle Resilienz des gesamten Finanzsektors in der EU zu stärken.

Zielsetzung von DORA

Digitale Resilienz

Stärkung der Fähigkeit von Finanzunternehmen, IT-Störungen und Cyber-Bedrohungen zu widerstehen

Harmonisierung

Einheitliche Anforderungen an die digitale operationelle Resilienz in der gesamten EU

Risikomanagement

Verpflichtung zu umfassendem IT-Risikomanagement und Governance

Überwachung

Kontinuierliche Überwachung und Bewertung der digitalen operationellen Resilienz

Fünf Säulen von DORA

1

IT-Risikomanagement

Umfassendes IT-Risikomanagement-Framework mit klaren Governance-Strukturen, Risikoidentifikation, -bewertung und -behandlung

2

Incident Management

Strukturierte Prozesse für die Erkennung, Meldung und Behandlung von IT-Vorfällen und Sicherheitsvorfällen

3

Digital Operational Resilience Testing

Regelmäßige Tests der digitalen operationellen Resilienz, einschließlich Penetrationstests und Threat-Led-Penetration-Testing (TLPT)

4

Management von IKT-Drittanbietern

Strenge Anforderungen an das Management von IKT-Drittanbietern und kritischen IKT-Drittanbietern

5

Informationsaustausch

Mechanismen für den Informationsaustausch über Cyber-Bedrohungen und bewährte Praktiken

Anwendungsbereich

DORA gilt für:

Finanzunternehmen

  • Kreditinstitute
  • Versicherungsunternehmen
  • Wertpapierfirmen
  • Verwaltungsgesellschaften
  • Zahlungsinstitute

IKT-Drittanbieter

  • Kritische IKT-Drittanbieter
  • Cloud-Service-Provider
  • Software-Anbieter
  • IT-Dienstleister

DORA-Anforderungen im Detail

Bereich Anforderung Frist
IT-Risikomanagement Einführung eines umfassenden IT-Risikomanagement-Frameworks 17.01.2025
Incident Reporting Meldung schwerwiegender IKT-Vorfälle innerhalb von 4 Stunden 17.01.2025
Resilience Testing Jährliche Penetrationstests, TLPT alle 3 Jahre (für kritische Unternehmen) 17.01.2025
IKT-Drittanbieter Registrierung und Überwachung kritischer IKT-Drittanbieter 17.01.2025

Zusammenhang mit ISMS

DORA
ISMS
Risikomanagement
Incident Management
Meldepflichten
  • ISMS: DORA erfordert ein strukturiertes ISMS als Grundlage für IT-Risikomanagement
  • Risikomanagement: DORA verlangt umfassendes IT-Risikomanagement mit kontinuierlicher Überwachung
  • Assetmanagement: DORA verlangt Inventarisierung und Klassifizierung von IKT-Assets
  • BCM: DORA erfordert Business Continuity Pläne für kritische IKT-Services
  • Incident Management: DORA definiert spezifische Anforderungen an Incident-Erkennung und -Meldung
  • Testmanagement: DORA verlangt regelmäßige Tests der digitalen operationellen Resilienz (Penetrationstests, TLPT)
  • Meldepflichten: DORA etabliert verbindliche Meldepflichten für schwerwiegende IKT-Vorfälle

Umsetzungshinweise

Governance

Etablierung klarer Verantwortlichkeiten und Eskalationswege für IT-Risiken

Dokumentation

Umfassende Dokumentation aller IT-Risikomanagement-Prozesse und -Maßnahmen

Überwachung

Kontinuierliche Überwachung und regelmäßige Überprüfung der Wirksamkeit