Veröffentlicht am 14. Januar 2025
Der Digital Operational Resilience Act (DORA) ist eine neue Verordnung der Europäischen Union zur Verbesserung der Informations- und Kommunikationstechnologie-Sicherheit (IKT-Sicherheit) von Finanzinstituten. DORA tritt am 17. Januar 2025 in Kraft und geht weit über die Prävention von Cyberangriffen hinaus. Die Verordnung gewährleistet die Betriebskontinuität, fördert Innovationen und richtet die IKT-Resilienz an der Geschäftsstrategie aus.
Was ist DORA?
DORA strebt einen einheitlichen Ansatz für das Management von IKT-Risiken im gesamten Finanzsektor der EU an. Zu ihren Zielen gehören:
– Prävention und Reduzierung von Cyberbedrohungen
– Standardisierung der Praktiken zur operativen Resilienz in den Mitgliedstaaten
– Gewährleistung der ununterbrochenen Bereitstellung wesentlicher Finanzdienstleistungen
– Schutz der Verbraucher vor Serviceausfällen
DORA verpflichtet Unternehmen, Pläne zu entwickeln, um Störungen – seien sie durch Cyberangriffe oder andere betriebliche Probleme verursacht – zu widerstehen, darauf zu reagieren und sich davon zu erholen. Auch wenn dies anspruchsvoll klingt, berichten Unternehmen, die DORA anwenden, von geringeren Betriebskosten und höherer Effizienz.
Die Botschaft der ESAs
Am 4. Dezember 2024 stellten die Europäischen Aufsichtsbehörden (ESAs) klar: Die Frist zur Einhaltung der Vorschriften ist der 17. Januar 2025, eine Nachfrist wird es nicht geben. Finanzinstitute müssen sich jetzt vorbereiten, um kostspielige Verzögerungen und Verstöße zu vermeiden.
Häufige Missverständnisse über DORA
Es gibt mehrere Missverständnisse rund um DORA, die korrigiert werden müssen:
„Es geht nur um Cybersicherheit.“DORA geht über die Cybersicherheit hinaus. Es umfasst Geschäftskontinuität, Notfallwiederherstellung, Vorfallmanagement und Drittparteienrisikomanagement.
„Dies gilt nur für interne IKT-Systeme.“DORA gilt auch für Drittanbieter von Informations- und Kommunikationstechnologie (IKT), wie z. B. Dienstleistungsanbieter und Cloud-Anbieter. Sorgfältige Prüfung und Risikomanagement dieser externen Geschäftsbeziehungen sind unerlässlich.
„Wir erfüllen bereits alle anderen Vorschriften.“Während Vorschriften wie ISO 27001 oder die DSGVO wichtig sind, führt DORA spezifische Anforderungen ein, die über bestehende Standards hinausgehen. Organisationen müssen eine Gap-Analyse durchführen, um die vollständige Einhaltung sicherzustellen.
„Das ist doch nur eine Pflichtübung.“DORA ist keine einfache Checkliste. Es erfordert einen Kulturwandel hin zu dauerhafter Resilienz, der jeden Teil der Organisation einbezieht.
„Für die Einreichung des Informationsregisters (ROI) haben wir bis April Zeit.“Der ROI ist ein zentraler Bestandteil von DORA. Dennoch hatten viele Unternehmen bis Oktober 2024 noch nicht mit den Vorbereitungen begonnen. Eine verzögerte Einhaltung der Vorschriften ist eine riskante Strategie.
Das Informationsregister (ROI): Ein Leitfaden für Resilienz
Ein zentraler Aspekt von DORA ist die Informationsregister (ROI)Dieses Dokument bietet eine umfassende Übersicht über die IT-Landschaft einer Organisation. Es hilft dabei:
– Richtlinien über alle Geschäftsbereiche hinweg aufeinander abstimmen
– Redundanzen und Verwirrung vermeiden
– Implementierung von Schlüsselrisikoindikatoren (KRIs) zur frühzeitigen Erkennung potenzieller Probleme
– Integrierte Überwachung und Steuerung ermöglichen
Die ROI-Berechnung ist nicht nur eine gesetzliche Anforderung, sondern auch eine Chance, Abläufe zu optimieren und die Widerstandsfähigkeit zu verbessern, wodurch konkrete Geschäftsvorteile wie eine Reduzierung der betrieblichen Ineffizienzen um 30 % erzielt werden.
DORA-Roadmap: Ein strategischer Ansatz
Für eine effektive Umsetzung von DORA ist ein klarer und strukturierter Fahrplan erforderlich:
Bereich DefinitionIdentifizierung kritischer Geschäftsfunktionen und der sie unterstützenden digitalen Infrastruktur.
Überprüfung der vorhandenen Dokumentation: Überprüfung der bestehenden Strategien und Rahmenbedingungen auf etwaige Lücken.
Lückenanalyse: Verständnis dafür, inwiefern die aktuellen Abläufe von den DORA-Anforderungen abweichen.
Kartierung der IKT-Topologie: Erstellung einer visuellen Karte aller digitalen Systeme und ihrer Wechselwirkungen.
Business-Impact-Analyse (BIA): Risiken identifizieren und Maßnahmen anhand ihrer Auswirkungen auf das Unternehmen priorisieren.
Umsetzung: Umsetzung von Plänen zur Erfüllung der Anforderungen von DORA.
Dieser Fahrplan gewährleistet, dass DORA umfassend und praxisnah in die Organisation integriert wird.
Strategische Vorteile der DORA-Implementierung
Die Vorteile von DORA gehen über die reine Einhaltung der Vorschriften hinaus. Durch die korrekte Implementierung können Organisationen Folgendes erreichen:
Reduzieren Sie die BetriebskostenUnternehmen erzielen häufig eine Senkung der Betriebskosten um 20-30 %, indem sie Ineffizienzen beseitigen und manuelle Prozesse automatisieren.
Verbessern Sie die Kundenzufriedenheit: Proaktives Risikomanagement führt zu weniger Serviceausfällen und verbessert die Kundenzufriedenheit um 15-25%.
Beschleunigen Sie die MarkteinführungEin besseres Verständnis digitaler Systeme ermöglicht es Unternehmen, neue Produkte und Dienstleistungen schneller auf den Markt zu bringen und die Markteinführungszeit oft um 30-40 % zu verkürzen.
Sicherheitsvorfälle reduzierenDer strukturierte Ansatz von DORA kann Sicherheitsvorfälle um 40-50 % reduzieren und so das Vertrauen in die Widerstandsfähigkeit der Organisation stärken.
Fazit: DORA als Katalysator für die Transformation
DORA ist nicht nur eine regulatorische Hürde, sondern ein Motor der digitalen Transformation. Finanzinstitute, die DORA nutzen, können ihre Resilienz stärken, Kosten senken und ihre Wettbewerbsfähigkeit in einem sich schnell wandelnden Markt verbessern. Indem sie DORA als Chance begreifen, können Unternehmen langfristigen Wert schaffen und sich für nachhaltiges Wachstum in einer zunehmend digitalisierten Wirtschaft positionieren. Angesichts des nahenden Stichtags am 17. Januar 2025 ist die Botschaft klar: Digitale Resilienz bedeutet nicht nur Risikominderung, sondern auch Geschäftserfolg.
Bleiben Sie über unsere zukünftigen Webinare informiert.
Wir wissen das Interesse und die Beteiligung an unserem DORA-Webinar sehr zu schätzen und freuen uns, Ihnen mitteilen zu können, dass wir in Kürze eine zweite Sitzung abhalten werden, in der neue Themen und tiefere Einblicke in die digitale Resilienz behandelt werden.
Bleiben Sie einen Schritt voraus, bleiben Sie widerstandsfähig und lassen Sie uns gemeinsam die sich wandelnde Regulierungslandschaft meistern!
Über unseren Autor
Andrew Vogel Er verfügt über umfassende Erfahrung im Bankwesen, Risikomanagement und der Einhaltung regulatorischer Bestimmungen und bekleidete Führungspositionen bei HSBC und der Standard Chartered Bank. Als bekannter Problemlöser wagte er 2003 den Schritt in die Selbstständigkeit und gründete eine erfolgreiche Unternehmensberatung. Heute berät er Organisationen, insbesondere aus den Bereichen Technologie und Finanzdienstleistungen, zu komplexen regulatorischen Fragestellungen, darunter die Einhaltung des Digital Operational Resilience Act (DORA).
