Sie sind hier: Home » Markt » Hinweise & Tipps

Die Uhr für DORA-Compliance tickt


Dora: Banken sollten sich selbst und ihre Dienstleister kritisch prüfen
Der Verordnungstext DORA lässt sich grob in fünf Säulen zusammenfassen



Von Markus Koerner, Deutschlandchef von Kyndryl

Ab dem 17. Januar 2025, gilt der Digital Operational Resilience Act (DORA) EU-weit für Finanzunternehmen und ihre IT-Partner. Da es sich um eine Verordnung der europäischen Union handelt, findet die Umsetzung in nationales Recht nicht statt. Die Zeit für betroffene Unternehmen wird also knapp. Je nachdem, welche Maßnahmen sie noch implementieren müssen, könnte die fristgerechte Umsetzung für einige Institute zu einem Problem werden. In der systemkritischen und hochregulierten Branche ist mit ernsten Folgen zu rechnen, sollte dies nicht gelingen.

Ziel der EU-Gesetzgebung ist es, die Resilienz von europäischen Finanzunternehmen zu stärken. Die Forderung nach mehr Cyberresilienz drückt sich nicht nur in Form von DORA aus, sondern zusätzlich auch durch den Cyber Resilience Act (CRA) und die Network and Information Security (NIS) Direktive II. Für den Finanzsektor ist DORA die wichtigste Legislation.

Anfälligkeiten für Cyberbedrohungen sollen im Rahmen der neuen Verordnung nicht nur bei Banken und anderen Finanzdienstleistern selbst, sondern entlang der gesamten Wertschöpfungskette des Sektors reduziert werden. Deutsche Institute, die bereits durch die BaFin und/oder das BSI reguliert werden, sehen Ähnlichkeiten mit bestehenden Vorgaben, da DORA ganz bewusst auf solchen nationalen Elementen aufbaut. Diese sollen nun für die gesamte EU vereinheitlicht und auf rechtlicher Ebene verankert werden, statt wie bislang vielfach nur Verwaltungsvorschriften darzustellen. Es besteht also Handlungsbedarf, da sonst auch mit Sanktionen zu rechnen ist.

Finanzunternehmen und ihre Dienstleister müssen gleich mehrere Punkte beachten. Der Verordnungstext DORA lässt sich grob in fünf Säulen zusammenfassen:
1. Informations- und Kommunikationstechnologie (IKT)-Risikomanagement
2. IKT-bezogenes Incident Management, Klassifizierung und Berichterstattung
3. Testen der digitalen Ausfallsicherheit (Digital Operational Resilience)
4. Management von IKT-Drittparteirisiken
5. Informationsaustausch

Die ersten beiden Punkte setzen europäische Banken praktisch schon seit Jahrzehnten um. Hier ist nicht mit besonderen Herausforderungen zu rechnen. Anders sieht es hingegen bei Punkt drei aus: Zeitgemäße Back-up-Technologien und automatisierte Wiederherstellungspläne sind noch nicht überall Standard. Auf den eventuell positiv ausfallenden Ergebnissen des EZB-Stresstests hinsichtlich Resilienz dürfen sich Banken ebenfalls nicht ausruhen. Ging es dort "lediglich" darum, theoretisch eine Art Case Study durchzuspielen, fordert DORA technische Tests der Systeme. Dies sollte natürlich auch nicht zum ersten Mal aufgrund der Verordnung erfolgen, sondern bereits vorher erprobt werden.

Haben Unternehmen noch gar nicht mit der Einführung konkreter Resilienz Maßnahmen begonnen, läuft ihnen die Zeit davon. Entsprechenden Lösungen innerhalb eines Jahres zu planen, budgetieren, freigeben zu lassen, zu implementiert und in den Betrieb zu überführen, ist gelinde gesagt sehr sportlich.

Der vierte Punkt, das Management von Drittparteirisiken, könnte für Geldinstitute, Versicherer und andere Finanzdienstleister ebenfalls zu einer Herausforderung werden. Der Sektor verfügt bisher kaum über ein Bewusstsein für die Auswirkungen von Ausfällen bei Dienstleistern, geschweige denn über konkrete Pläne für diesen Fall. Das muss sich ändern: Finanzunternehmen sollten auf Risikodiversifikation setzen und Infrastrukturen auf verschiedene kleinere Anbieter verteilen. Die Alternative dazu ist, auf die überlegenen Ressourcen der wenigen großen Dienstleister zu setzen. Fakt ist nun einmal, dass diese im Rennen mit immer innovativeren Kriminellen wesentlich besser mithalten oder sogar einen Schritt voraus sein können. Vollkommene Sicherheit gibt es allerdings auch dort nicht und somit auch keinen Königsweg zwischen Konzentration und Diversifikation.

Insgesamt wird es für viele Institute herausfordernd werden, die DORA-Compliance zum Stichtag zu erreichen. Nur wenn alle beteiligten Stakeholder, verschiedene interne Abteilungen und Dienstleister konstruktiv zusammenarbeiten, kann diese Herkulesaufgabe bewältigen werden. (Kyndryl: ra)

eingetragen: 22.02.24
Newsletterlauf: 10.05.24


Kyndryl: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Cyber-Resilienz stärken

    Verlust sensibler Daten, enormer finanzieller Schaden oder die Störung der öffentlichen Ordnung - Cyberangriffe auf Kritische Infrastrukturen und Finanzinstitute können erhebliche gesellschaftliche Auswirkungen haben. Die Europäische Union hat deshalb die NIS2-Richtlinie und den Digital Operational Resilience Act (DORA) eingeführt, um diese zu minimieren.

  • KI im Arbeitsalltag: Werkzeug, kein Wundermittel

    Knapp 60 Prozent der deutschen Unternehmen mit mehr als 500 Mitarbeitenden nutzen laut einer Studie des Branchenverbands Bitkom inzwischen KI-basierte Chatbots. Wie gut die Ergebnisse ausfallen, die diese Bots und andere KI-Tools liefern, hängt allerdings wesentlich von der verwendeten Datengrundlage und einem wirklich sinnvollen Einsatzszenario ab.

  • Generationenkonflikt der IT-Security

    Unternehmen sind auf die Dynamik und frischen Ideen der jungen Generation angewiesen, um dem Fachkräftemangel zu begegnen und sich weiterzuentwickeln. Es darf jedoch nicht auf Kosten der IT-Sicherheit gehen. Um diesen Spagat zu meistern, braucht es einen Security-Ansatz, der Platz für Fortschritt schafft, anstatt ihn zu behindern.

  • Ist NIS-2 zu anspruchsvoll?

    Die politische Einigung über das Gesetz zur Umsetzung der EU-Richtlinie NIS-2 und der Stärkung der Cybersicherheit noch vor der Bundestagswahl ist gescheitert. SPD, Grüne und FDP konnten sich nicht auf zentrale Punkte einigen. Damit bleibt über zwei Jahre nach der Verabschiedung der EU-Richtlinie die dringend notwendige gesetzliche Verschärfung aus. Die Umsetzungsfrist wird weiter überschritten

  • Seit 1. Januar 2025 gilt die E-Rechnungspflicht

    Stellen Sie sich vor, Ihr Unternehmen kann plötzlich Rechnungen nicht mehr rechtssicher verschicken. Verzögerte Zahlungen, rechtliche Konsequenzen und möglicherweise ein belastetes Geschäftsverhältnis könnten die Folge sein - und das alles, weil Sie die E-Rechnungspflicht ohne die richtige Software kaum einhalten können.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen