Was die Dora-Verordnung Finanzfirmen abverlangt (Teil 1)

3-teilige Serie zur Dora-Umsetzung Dora: Wo Finanzunternehmen jetzt gefordert sind (Teil 1)

Endspurt: Bis zum 17. Januar 2025 muss die Dora-Verordnung umgesetzt sein. Mit ihr sollen europäische Finanzunternehmen robuster gegen IT-Ausfälle und Cyberangriffe werden. In einer dreiteiligen Serie erläutert IT4Funds-Chef Lucas Schmidt, welche konkreten Maßnahmen Finanzunternehmen jetzt ergreifen müssen.

IT4Funds-Chef Lucas Schmidt vor Symbolbild von Platine — In einer dreiteiligen Serie erläutert der IT4Funds-Chef Lucas Schmidt die Dora-Maßnahmen, die Finanzunternehmen ab Januar anwenden müssen. | Bildquelle: Iris Bülow mit Canva

Von Lucas Schmidt | Gastautor

Aktualisiert am: 13. Dezember 2024

0:00 / 0:00

In den letzten zwei Jahrzehnten hat die Digitalisierung alle Aspekte des Finanzsektors grundlegend verändert. Finanzinstitute verlassen sich zunehmend auf komplexe Informations- und Kommunikationstechnologien (IKT), um ihre täglichen Abläufe zu steuern, Transaktionen zu verarbeiten und Dienstleistungen für ihre Kunden bereitzustellen. Jene fortschreitende Digitalisierung im Finanzsektor hat allerdings nicht nur die Effizienz gesteigert. Sie hat auch neue Risiken wie Cyberangriffe und technische Störungen mit sich gebracht.

Um diesen Herausforderungen zu begegnen, hat die Europäische Union den Digital Operational Resilience Act (Dora) entwickelt, der am 10. November 2022 verabschiedet wurde. Dora soll die digitale Resilienz von Finanzunternehmen stärken und sicherstellen, dass die Unternehmen auch unter schwierigen Bedingungen funktionsfähig bleiben. Die Verordnung bietet einen umfassenden Rahmen für das digitale Risikomanagement. Dieser reicht von der Implementierung robuster Sicherheitsmaßnahmen bis zu regelmäßigen Überprüfungen und Verbesserungen.

Dora ist eine Reaktion auf die Lehren aus der Finanzkrise 2007/2008 und die wachsenden Cyberbedrohungen in einem zunehmend vernetzten globalen Finanzmarkt. Die Verordnung stellt sicher, dass Finanzinstitute auf digitale Angriffe reagieren können und systemische Risiken im Finanzsektor durch koordinierte Risikomanagementstrategien verringern.

Wer ist betroffen?

Dora betrifft viele Finanzunternehmen und Dienstleister in der EU, darunter:

Kreditinstitute wie Banken
Zahlungsdienstleister und E-Geld-Institute, die digitale Zahlungslösungen anbieten
Wertpapierfirmen und Verwalter alternativer Investmentfonds (AIFM)
Versicherungen und Rückversicherungen
IKT-Drittanbieter, die kritische Dienstleistungen für Finanzunternehmen bereitstellen

Die zentralen Elemente des Digital Operational Resilience Act

Dora besteht aus mehreren Schlüsselelementen, die zusammen einen ganzheitlichen Ansatz schaffen, um die digitale operative Resilienz im Finanzsektor zu stärken.

Die Elemente sollen alle wesentlichen Aspekte des Risikomanagements abdecken und sicherstellen, dass Finanzunternehmen nicht nur auf aktuelle Bedrohungen vorbereitet sind, sondern auch flexibel genug sind, sich an zukünftige Herausforderungen anzupassen.

Im Folgenden konzentrieren wir uns auf die aus meiner Sicht wichtigsten Bereiche, die Unternehmen bei der Umsetzung betrachten und analysieren müssen, um Dora-ready zu sein.

IKT-Risikomanagement: Risiken proaktiv erkennen und mindern

Das IKT-Risikomanagement bildet das Rückgrat von Dora. Die Verordnung fordert Finanzunternehmen auf, Maßnahmen zu ergreifen, um potenzielle Risiken frühzeitig zu erkennen und angemessen darauf zu reagieren. Finanzinstitute sollen IKT-Risikomanagementsysteme entwickeln und diese regelmäßig aktualisieren sowie überprüfen, ob sie den sich ändernden Bedrohungen weiterhin gerecht werden.

Ein konkreter Schritt zur Umsetzung ist die Einführung einer umfassenden Risikobewertung. Bei dieser sollten alle IT-Assets und -Prozesse auf Schwachstellen geprüft werden. Finanzunternehmen sollten diese Bewertung mindestens jährlich durchführen, um sicherzustellen, dass neue Bedrohungen oder Schwachstellen rechtzeitig erkannt und adressiert werden. Dazu könnten sie zum Beispiel automatisierte Tools zur Schwachstellenbewertung einsetzen, die regelmäßig aktualisierte Bedrohungsdatenbanken nutzen, um potenzielle Risiken zu identifizieren.

Ein entscheidender Aspekt des IKT-Risikomanagements ist außerdem, diese Systeme in die gesamte Unternehmensstrategie zu integrieren. Es gilt, das Risikomanagement nicht isoliert für sich zu betrachten, sondern es als integralen Bestandteil der Unternehmensführung anzusehen.

Unternehmen sollten sicherstellen, dass alle relevanten Stakeholder – von der IT-Abteilung bis zur Geschäftsführung – in den Prozess einbezogen werden. Als praktische Maßnahme könnte ein Risikokomitee eingeführt werden. Dieses erstattet regelmäßig Bericht und stellt sicher, dass alle Unternehmensbereiche die Risikostrategien umsetzen.

Darüber hinaus legt Dora großen Wert auf die Notfallplanung. Finanzunternehmen müssen Notfallpläne entwickeln, die es erlauben, im Falle eines IKT-Ausfalls oder eines Cyberangriffs schnell und effektiv zu reagieren. Diese Pläne sollten regelmäßig getestet und aktualisiert werden, um sicherzustellen, dass sie im Ernstfall funktionieren.

Ein besonderes Augenmerk liegt dabei auf kritischen Geschäftsprozessen, die auch in Krisenzeiten aufrechterhalten werden müssen. In der Praxis könnten Unternehmen regelmäßig Krisenszenarios durchspielen, um die Wirksamkeit der Notfallpläne zu testen.

Anforderungen an IKT-Drittanbieter: Resilienz entlang der gesamten Wertschöpfungskette sicherstellen

In der heutigen Welt verlassen sich Finanzunternehmen stark auf Drittanbieter, die wesentliche IKT-Dienstleistungen erbringen. Diese Drittanbieter spielen eine zentrale Rolle in der digitalen Infrastruktur von Finanzinstituten. Ihre Systeme müssen daher sicher und widerstandsfähig gegenüber Störungen sein, um die Stabilität des gesamten Systems zu gewährleisten. Dora verlangt von Finanzinstituten, dass sie ihre Drittanbieter sorgfältig auswählen und regelmäßig überprüfen, ob diese hohen Standards genügen.

Diese Anforderung ließe sich in der Praxis durch einen Due-Diligence-Prozesses umsetzen. Bei diesem werden alle potenziellen Drittanbieter vor Vertragsabschluss auf ihre Fähigkeit geprüft, die notwendigen Dora-Sicherheitsstandards zu erfüllen. Dies könnte durch regelmäßige Audits und durch vertragliche Klauseln geschehen, die den Drittanbieter dazu verpflichten, bestimmte Sicherheitsstandards einzuhalten.

Darüber hinaus sollten Finanzinstitute vertraglich sicherstellen, dass Drittanbieter regelmäßige Sicherheitsüberprüfungen und gegebenenfalls sogar Penetrationstests durchführen. Sie sollen ihre Systeme auf dem neuesten Stand zu halten und sicherstellen, dass sie den Anforderungen von Dora entsprechen. Zu letzteren sind bestimmte kritische Dienstleister unter Umständen sogar verpflichtet. Dies stellt die jeweilige Finanzbehörde des Landes fest.

Ein weiteres Beispiel wäre, ein kontinuierlichen Monitoring der Leistung und Sicherheit von Drittanbietern vorzunehmen. So lassen sich frühzeitig Probleme erkennen und Maßnahmen ergreifen, bevor ernsthafte Störungen auftreten. Ein IKT-Drittanbieter sollte dem Finanzunternehmen dazu im besten Fall einen Report liefern können, der es diesem ermöglicht, Anforderungen an das IKT-Risikomanagement auch über sogenannte Key Risk Indicators zu erfüllen.

Dora betont auch, wie wichtig ein effektiver Kommunikations- und Kooperationsrahmen zwischen Finanzinstituten und ihren Drittanbietern ist. Denn im Rahmen eines IKT-Vorfalls muss schnell und koordiniert reagiert werden, um den Schaden zu begrenzen und die betroffenen Dienstleistungen so schnell wie möglich wiederherzustellen. Finanzinstitute sollten sicherstellen, dass ihre Kommunikationspläne klare Richtlinien enthalten, wie und wann Drittanbieter im Falle eines Vorfalls informiert werden müssen, und regelmäßig Kommunikationsübungen durchführen, um zu testen, wie wirksam diese Pläne sind.

Berichterstattung und Informationsaustausch: Transparenz und kollektive Resilienz fördern

Ein weiteres Schlüsselelement von Dora ist die Verpflichtung, über IKT-bezogene Vorfälle zu berichten. Finanzinstitute müssen schwerwiegende IKT-Vorfälle zeitnah an die zuständigen Behörden melden. Diese Berichte müssen detaillierte Informationen über die Art des Vorfalls, die ergriffenen Maßnahmen zur Schadensbegrenzung und die Pläne enthalten, mit denen das Unternehmen ähnliche Vorfälle in der Zukunft verhindern will.

Um dieser Anforderung gerecht zu werden, könnten Finanzunternehmen ein standardisiertes Incident-Reporting-Tool einführen, das sicherstellt, dass alle relevanten Informationen schnell und effizient erfasst und weitergeleitet werden. Ein solches Tool kann auch Vorlagen und Checklisten enthalten, um sicherzustellen, dass keine wichtigen Informationen bei der Erfassung und Meldung vergessen werden.

Die Berichterstattungspflicht dient nicht nur dazu, zu überwachen, ob Dora auch eingehalten wird. Sie soll auch das kollektive Wissen über digitale Bedrohungen und deren Bewältigung erhöhen. Indem sie Informationen über Bedrohungen und bewährte Sicherheitspraktiken austauschen, können Finanzinstitute voneinander lernen und ihre eigenen Schutzmaßnahmen verbessern.

Dora fördert auch den Informationsaustausch zwischen Finanzinstituten, um den gesamten Sektor resilienter zu machen. Die Informationen lassen sich auf verschiedene Weise austauschen. Es ließen sich etwa gemeinsame Bedrohungsdatenbanken nutzen, oder Unternehmen könnten mit staatlichen Stellen und internationalen Organisationen zusammenarbeiten. Sinnvoll könnte es auch sein, an Initiativen wie dem Europäischen Zentrum für Cybersicherheit (ECSC) teilzunehmen. Dieses dient als zentrale Anlaufstelle für den Austausch von Bedrohungsinformationen.

Tests zur digitalen Resilienz: Widerstandsfähigkeit in der Praxis sicherstellen

Ein zentraler Bestandteil von Dora ist, regelmäßig Tests zur digitalen Resilienz durchzuführen. Diese Tests sollen sicherstellen, dass Finanzinstitute ihre kritischen Funktionen auch unter widrigen Bedingungen aufrechterhalten können. Zu den vorgeschriebenen Tests gehören unter anderem bedrohungsorientierte Penetrationstests (TLPT), die unter realistischen Bedingungen durchgeführt werden und alle kritischen Systeme und Prozesse abdecken. Für diese TLPTs gelten jedoch besondere Bedingungen und Voraussetzungen. Nicht alle Finanzunternehmen oder IKT-Drittanbieter sind hiervon betroffen.

Die künftige Zusammenarbeit mit spezialisierten externen Anbietern, die über die notwendigen Qualifikationen verfügen, um realistische Cyberangriffe zu simulieren und die Schwachstellen der IT-Systeme des Finanzinstituts aufzudecken, wird ab Januar nächsten Jahres relevant. Diese Tests könnten jährlich durchgeführt werden, wobei die Ergebnisse genutzt werden, um Sicherheitslücken zu schließen und die Systeme widerstandsfähiger zu machen.

Dora verlangt, dass Finanzinstitute diese Tests nicht nur intern durchführen, sondern auch externe Prüfer einbeziehen, um ihre Widerstandskraft auch objektiv testen zu lassen. Die Ergebnisse dieser Tests müssen dokumentiert und analysiert werden, um Schwachstellen zu identifizieren und entsprechende Gegenmaßnahmen ergreifen zu können. Finanzinstitute sollten sicherstellen, dass die Ergebnisse der Tests in klare Maßnahmenpläne umgesetzt werden. Diese sollten von der Geschäftsleitung genehmigt und überwacht werden.

Die regelmäßigen Resilienztests sollen sicherzustellen, dass die Sicherheitsmaßnahmen nicht nur auf dem Papier existieren, sondern auch in der Praxis wirksam sind. Diese Tests bieten Finanzinstituten die Möglichkeit, ihre Systeme und Prozesse unter realen Bedingungen zu testen. So können sie ihre Schwachstellen identifizieren, bevor Cyberkriminellen sie ausnutzen können. Ein praktischer Ansatz wären jährliche Krisenübungen. In diese sollte nicht nur die IT-Abteilung, sondern auch andere Geschäftsbereiche einbezogen werden.

Der Beitrag ist Teil 1 einer dreiteiligen Serie. Bislang erschienen sind:

Teil 1: Dora-Verordnung: Wo Finanzunternehmen jetzt gefordert sind

Teil 2: Dora-Verordnung: Die GAP-Analyse in 5 Schritten erklärt

Teil 3: Dora-Verordnung: Praxistipps für Finanzberater, Vermögensverwalter und KVG

Über den Autor:

Lucas Schmidt leitet das IT-Dienstleistungsunternehmen IT4Funds, eine Tochtergesellschaft der Luxemburger Service-KVG Axxion.

Danke für Ihre Bewertung

Leser bewerteten diesen Artikel durchschnittlich mit 0 Sternen

Senden Sie hier vertraulich Hinweise oder Fragen an die Redaktion

Zur Startseite

Meinung

Raus, raus, raus: Berenbergs Drehtür-Management

Hamburger Privatbank

Bis zu 20 Personalien: Kahlschlag bei Berenberg

Erst zusammenlegen, dann abstoßen

FNZ erwägt Verkauf des Deutschland-Geschäfts – endet Konsolidierung mit Exit?

Edelmetall-Fondsmanager meint

„Silber steht zu Unrecht im Schatten von Gold“

Fidelity und BVK

Rentenpaket verabschiedet: Branche fordert Stärkung der privaten Vorsorge

Der Bundestag hat das umstrittene Rentenpaket mit knapper Kanzlermehrheit beschlossen. Fidelity und BVK haben das bereits kommentiert.

Interview zum Carmignac Investissement

„Wir widerstehen der Versuchung, nur dem zu folgen, was gerade beliebt ist“

Gewinnmitnahmen bei KI-Werten, Umschichtungen in Software- und Finanztitel: So steuert Kristofer Barrett, Head of Global Equities bei Carmignac, durch das Marktumfeld.

Powell-Nachfolge

Wie ein neuer Fed-Chef 2026 die Märkte durcheinanderbringen könnte

Trump will 2026 Jerome Powell ersetzen. Was das für Anleger bedeutet, erklärt Andreas Schyra – mit Best-Case- und Worst-Case-Szenarien für Aktien, Anleihen und US-Dollar.

Über 20 Jahre

Die besten ausgewogenen Mischfonds mit Schwerpunkt Europa

Vor 75 Jahren wurde der erste Fonds in Deutschland aufgelegt – ein ausgewogener Mischfonds. Wir haben geschaut, wie diese Kategorie mit Fokus Europa über 20 Jahre performt hat.

Interview

Mirela Radoncic

Marsh-Chefin: „2026 endlich nicht mehr mit Excel und Word arbeiten müssen“

Marsh-Geschäftsführerin Mirela Radoncic über die Prämienentwicklung in verschiedenen Sparten der Industrieversicherung, die teuersten Risiken und ihre Erwartungen für 2026.

Ranking

Die beliebtesten aktiven Fonds unserer Leser im November

Bei DAS INVESTMENT werten wir jeden Monat aus, welche Fonds bei uns im Vormonat am häufigsten aufgerufen wurden. Das sind die Top 10 der meistgeklickten Fonds-Factsheets.

Nach oben

Jetzt kostenlos abonnieren

Ja, ich möchte den/die oben ausgewählten Newsletter mit Informationen über die Kapitalmärkte und die Finanzbranche, insbesondere die Fonds-, Versicherungs-und Immobilienindustrie abonnieren. Hinweise zu der von der Einwilligung mitumfassten Erfolgsmessung, dem Einsatz der Versanddienstleister June Online Marketing und Mailingwork, der Protokollierung der Anmeldung, der neben der E-Mail-Adresse weiter erhobenen Daten, der Weitergabe der Daten innerhalb der Verlagsgruppe und zu Ihren Widerrufsrechten finden Sie in der Datenschutzerklärung. Diese Einwilligung können Sie jederzeit für die Zukunft widerrufen.