Stärken Sie Ihre digitale Resilienz – bereiten Sie sich noch heute auf Dora vor
Gewährleisten Sie Compliance, reduzieren Sie IKT-Risiken und schaffen Sie betriebliche Stabilität mit der fachkundigen Anleitung von Eraneos.
Füllen Sie unseren Selbsttest ausDigital Operational Resilience Act (DORA)
Das Gesetz fördert innovative Technologien, während es gleichzeitig die digitale, betriebliche Stabilität im europäischen Finanzsektor sicherstellt. Ziel ist es, die Resilienz der EU-Finanzinstitute zu stärken und ihre Verwundbarkeit gegenüber IKT-Risiken wie IT-Ausfällen und Cyberangriffen zu verringern. DORA geht diese Probleme an, indem standardisierte Sicherheitsanforderungen für Informations- und Kommunikationstechnologien eingeführt werden. Die Verordnung gilt nicht nur für den Finanzsektor selbst, sondern auch für viele IKT-Dienstleister in diesem Sektor.
Die DORA-Gesetzgebung erfordert neben Wissen auch einen pragmatischen Ansatz: Eraneos bietet beide Qualitäten.
Wer ist betroffen?
Der „Digital Operational Resilience Act“ (DORA) gilt für alle Unternehmen im europäischen Finanzsektor sowie für Drittanbieter, wie beispielsweise Softwareanbieter, die diese Finanzinstitute unterstützen. Darüber hinaus sind auch Nicht-EU-Unternehmen, einschließlich solcher mit Sitz in der Schweiz oder Großbritannien, betroffen, sofern sie innerhalb der EU tätig sind.
Ab wann gilt sie?
DORA trat am 16. Januar 2023 in Kraft und gilt unmittelbar in den Mitgliedstaaten der EU. Es gibt eine zweijährige Umsetzungsphase, die am 17. Januar 2025 endet. Ab diesem Zeitpunkt werden die Umsetzung der DORA-Anforderungen in Audits z.B. durch Aufsichtsbehörden berücksichtigt und Non-Compliance kann negative Konsequenzen haben.
Warum sollten Sie die Anforderungen erfüllen?
Die Nichteinhaltung bei Finanzunternehmen führt zu Feststellungen und Bußgeldern von Behörden. Für IKT-Anbieter führt eine unzureichende Umsetzung zu Strafzahlungen, der Benachrichtigung betroffener Finanzunternehmen und gegebenenfalls zu einer Anordnung zur Aussetzung oder Beendigung von erbrachten Dienstleistungen Vor allem aber führt eine unzureichende Resilienz zu einer Anfälligkeit für IKT-Vorfälle und Cyberbedrohungen.
Erfahren Sie, inwieweit Ihr Unternehmen von DORA betroffen ist
Neben den beaufsichtigten Institutionen und Unternehmen wie Banken, Versicherungen und Vermögensverwaltern sind auch die meisten Drittanbieter im Finanzsektor betroffen. Führen Sie unseren Selbsttest durch, um herauszufinden, ob Ihre Organisation ebenfalls betroffen ist. Kontaktieren Sie uns gerne auch direkt.
Auswirkungen der neuen Verordnung
Mit der Verordnung (EU) 2022/2554 (DORA) hat die Europäische Union eine finanzsektorübergreifende Regelung für die Themen Cybersecurity, IKT-Risiken und Betriebsstabilität / Resilienz geschaffen. Einige der von DORA betroffenen Finanzunternehmen unterlagen bereits in der Vergangenheit ähnlichen oder identischen Anforderungen basierend auf geltenden Vorschriften. Einige der neuen Anforderungen übertreffen frühere, nationale und europäische Vorgaben. Andere sind für bestimmte oder alle betroffenen Unternehmen völlig neu.
Nachfolgend haben wir die wichtigsten Themen und Anforderungen zusammengestellt:
Kernpunkte:
- IKT-Risikomanagementrahmen, Strategien, Leitlinien, Richtlinien
- Risikomanagement, Taxonomie
- Inventare, Erkennungs-, Reaktions- und Wiederherstellungs-mechanismen
- IKT-Revision, neue Funktionen
- Awareness und Zielgruppenorientiertes Training
- Berichterstattung an und neue Verantwortlichkeiten des Leitungsorgans
- Kommunikations- & Krisenmanagement
Kernpunkte:
- Klassifizierung von IKT-Vorfällen und Cyber-Threads
- Reaktionsmaßnahmen, Wiederherstellung, Backup-Verfahren
- Meldung schwerwiegender IKT-bezogener Vorfällen an Behörden
- Verantwortlichkeiten & Funktionen (z. B. Krisenmanagement)
- Kommunikation zu IKT Vorfällen und Cyber Threads nach aussen
- Kooperationen, Prozesse, Schnittstellen mit IKT-Anbietern
Kernpunkte:
- Definition eines Testprogramms zur digitalen Betriebsresilienz (Umfang und Methoden für risikobasiertes Testen von IKT-Tools und -Systemen)
- Aufsatz integriertes Testen mit Drittanbietern
- Meldungen an Behörden und Zertifizierung von Tests (TLPT)
- Prüfung Geeignetheit und ggf. notwendiger Wechsel externer Testpartner für TLPT
Kernpunkte:
- Auslagerungsmanagement Richtlinien und Prozesse
- Drittdienstleister Risiko Überwachungsfunktion
- Neubewertung IKT-Drittanbieter und Identifikation IKT-Drittanbieter zur Unterstützung kritischer und wichtiger Funktionen
- Berichterstattung an das Leitungsorgan
- Anpassung Anforderungen und Verträge für neue und bestehende Partner
- Sicherstellung der DORA-Konformität von IKT-Anbietern
- Informationsregister
Kernpunkte:
- Freiwilliger Austausch von Informationen und Erkenntnissen zu Cyberbedrohungen
Kernpunkte:
- RTS zu DORA Art. 15/16 zur Festlegung der Tools, Methoden, Prozesse und Richtlinien für das IKT-Risikomanagement RTS 2024/17741
- Entwurf: GL zu Art. 11.11 für die Schätzung der aggregierten jährlichen Kosten und Verluste durch schwerwiegende IKT-Vorfälle zur Meldung an Behörden auf Anfrage gem. Art.10 GL JC 2024 34
Kernpunkte:
- RTS zu DORA Art. 18.3 zu den Kriterien, einschließlich Wesentlichkeitsschwellen für die Bestimmung schwerwiegender IKT-bezogener Vorfälle gemäß 18.1 RTS 2024/17721
- RTS zu DORA Art. 20 a) zu Inhalt und Fristen der Meldungen gem. 18.1 + 19.4 RTS 2025/3011
- ITS zu DORA Art. 20 b) zu Standardformularen, Vorlagen und Verfahren der Meldungen ITS 2025/3022
Kernpunkte:
- In Prüfung: RTS zu DORA Art. 26.11 zum Testen der digitalen operativen Resilienz gemäß Art. 24 -27C(2025)8851
Kernpunkte:
- RTS zu DORA Art. 28.10 bzgl. der Leitlinie für die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen gemäß 28.2 RTS 2024/17731
- ITS zu DORA Art. 28.9 zum Informationsregisters gemäß Art 28.3 ITS 2024/29562
- RTS zu DORA Art. 30.5 für die Untervergabe von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen gemäß 30.2a) RTS C(2025)16823
Unsere Rolle
Wir unterstützen unsere Kunden in allen relevanten Phasen im Zuge der DORA-Einführung, beginnend mit Awareness Workshops bis hin zu friendly Audits / „Audit readiness“ checks.
Kreditinstitut & Asset Manager
Unterstützung eines Kunden bei der Durchführung einer DORA GAP-Analyse aus der IT-Perspektive des Unternehmens, indem Verantwortlichkeiten ermittelt und die neuen Anforderungen in die bestehende IT-Governance integriert wurden. Dokumentierte Lücken und Handlungsempfehlungen wurden mit gemeinsam definierten Aufwänden und Zeitplänen übergeben. Eine gründliche, bereichsübergreifende Impact-Analyse war ein entscheidender Erfolgsfaktor, um eine reibungslose Umsetzung sicherzustellen. Das Projekt befindet sich nun in der Rollout-Phase, worin wir weiterhin das IT-Team unterstützen.
Versicherungsgesellschaft
Aktuell unterstützen wir einen Kunden aus der Versicherungsbranche bei der Umsetzung der DORA-Vorgaben. Dies begann mit einer Awareness-Session für Vorstand und IT-Management. Es wurde eine Folgeabschätzung zu den (erwarteten) Auswirkungen der umgesetzten Anforderungen durchgeführt. Weiterhin wurde ein DORA-Implementierungskonzept übergeben. Hierbei war zentraler Erfolgsfaktor die Implementierung einer bereichsübergreifenden zentralen Koordination, um den übergreifenden Scope effizient zu steuern.
Automobil-Finanzdienstleister
Unterstützung eines Leasingunternehmens bei der Bestimmung der Anwendbarkeit von DORA im Kontext des noch nicht verabschiedeten Finanzmarktstabilisierungs-Gesetzes (FinMadiG) in Deutschland. Durchführung einer GAP-Analyse im Hinblick auf die aktuellen regulatorischen Anforderungen (MaRisk / BAIT) sowie neue Umsetzungserfordernisse. Der Erfolgsfaktor liegt in der sorgfältigen sowie umfassenden Impact-Analyse, weil der Kunde in verschiedenen europäischen und nicht-europäischen Ländern tätig ist.
Lassen Sie sich inspirieren
Möchten Sie mehr über DORA erfahren? Sehen Sie sich einige der von unseren Experten erstellten Inhalte an.
How Banks are leveraging Generative AI for enhanced knowledge management
By effectively managing internal knowledge with GenAI solutions, banks can gain insight into customer behavior, identify risks, and personalize services.
Explore this article
Lassen Sie uns gemeinsam nachhaltige Veränderungen bewirken
Stefanie Förster
Principal – Financial Services
Financial Services
stefanie.foerster@eraneos.com +49 173 990 80 57 @stefaniefoerster