Sie sind hier: Home » Markt » Hinweise & Tipps

DORA-Compliance komplex


DORA kommt: Vier Tipps, worauf (Finanz-) Unternehmen jetzt achten sollten
Auch Zahlungsdienstleister sind betroffen, darunter fallen auch E-Geld-Institute und nicht zuletzt weitere Finanzdienstleister



Bereits im Januar 2023 ist der Digital Operational Resilience Act (DORA), eine Verordnung der europäischen Union, in Kraft getreten. Umzusetzen ist das EU-Gesetz bis zum 17.01.2025. Obwohl es sich vorrangig an den Finanzsektor richtet, können auch andere Unternehmen, wie beispielsweise IT-Dienstleister davon betroffen sein. Firmen, die in diese Kategorie fallen oder selbst im Finanzsektor tätig sind, sollten sich also frühzeitig mit der Verordnung befassen. Hendrik Fundermann, COO für den Geschäftsbereich Financial & Professional Services bei der d.velop AG, gibt vier Tipps, wie sie dabei am besten beginnen.

1. Prüfen, ob das eigene Unternehmen betroffen ist
Zunächst zielt die DORA-Verordnung auf das europäische Finanzsystem ab. In Deutschland sind davon in erster Linie alle BaFin-regulierten Unternehmen betroffen. Dies umfasst Banken und Versicherungsgesellschaften. Dazu kommen Wertpapierfirmen wie beispielsweise Broker. Außerdem sind Zahlungsdienstleister betroffen, darunter fallen auch E-Geld-Institute und nicht zuletzt weitere Finanzdienstleister.

Darüber hinaus erstreckt sich DORA aber auch auf Unternehmen der Informations- und Kommunikationstechnik (IKT), falls diese für regulierte Unternehmen als Dienstleister tätig sind und als kritisch eingestufte Infrastrukturen bereitstellen. Software-Anbieter, die beispielsweise Banken in ihrem Kundenstamm haben, sollten sich also ebenfalls mit der Verordnung vertraut machen. Am besten arbeiten sie bereits frühzeitig mit den betroffenen Kunden zusammen.

2. Rechtzeitig handeln
Zwar haben Unternehmen noch bis zum 17.01.2025 Zeit, um DORA umzusetzen. Allerdings sollten sie sich nicht darauf ausruhen. Die Komplexität hinter der Compliance-gerechten Umsetzung sollte man nicht unterschätzen. Neben In-House-Prozessen sind häufig auch Ergänzungen in Verträgen mit Dienstleitern notwendig bis hin zur Anpassung der Systemlandschaft. Dies alles benötigt natürlich seine Zeit in der Umsetzung.

3. Mehrarbeit einkalkulieren
Neben dem Zeitbedarf sollte man auch den personellen Aufwand der Prüfungen und Anpassungen nicht unterschätzen und entsprechend frühzeitig planen. Den Aufwand, der hier geleistet werden muss, sollten Finanzunternehmen allerdings nicht nur als notwendiges Übel, sondern auch als Chance sehen. Es ist die Gelegenheit, ein ganzheitliches Verständnis der technischen Infrastruktur eines Instituts zu erlangen und Silos zwischen einzelnen Abteilungen abzubauen. So können ineffiziente Doppelstrukturen abgebaut und Synergien genutzt werden.

4. Partner einbeziehen
Banken und andere Finanzdienstleister sollten bedenken, dass auch ihre IT-Partner und (Sub-) Dienstleister von der Verordnung betroffen sein können. Das heißt, Verantwortliche sollten hier frühzeitig auf die Anbieter zugehen und gegebenenfalls gemeinsame Strategien abstimmen. DORA verlangt zudem die vollständige Dokumentation von IT-Dienstleistern sowie Exit-Strategien für kritische Services. Nicht zuletzt benötigen die Unternehmen zur Erfüllung der Dokumentations- und Berichtspflichten effiziente Software. Lösungen für das Dokumentenmanagement können beispielsweise dabei helfen, schlanke und automatisierte Prozesse zu etablieren, die Mitarbeiter entlasten.

Fazit
Die Erwartungen an kritische Infrastruktur in Zeiten global exponentiell steigender Cyberangriffe erfordern zielgerichtetes und länderübergreifendes Handeln. DORA ist somit eine Maßnahme, die zu mehr Sicherheit und Resilienz der Systeme führen soll. Die betroffenen Unternehmen sollten dies als Chance sehen, sich mit ihrer Systemlandschaft effizient und effektiv aufzustellen und frühzeitig mit der Umsetzung entsprechender Maßnahmen beginnen. (d.velop: ra)

eingetragen: 29.11.23
Newsletterlauf: 15.02.24

d.velop: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Cyber-Resilienz stärken

    Verlust sensibler Daten, enormer finanzieller Schaden oder die Störung der öffentlichen Ordnung - Cyberangriffe auf Kritische Infrastrukturen und Finanzinstitute können erhebliche gesellschaftliche Auswirkungen haben. Die Europäische Union hat deshalb die NIS2-Richtlinie und den Digital Operational Resilience Act (DORA) eingeführt, um diese zu minimieren.

  • KI im Arbeitsalltag: Werkzeug, kein Wundermittel

    Knapp 60 Prozent der deutschen Unternehmen mit mehr als 500 Mitarbeitenden nutzen laut einer Studie des Branchenverbands Bitkom inzwischen KI-basierte Chatbots. Wie gut die Ergebnisse ausfallen, die diese Bots und andere KI-Tools liefern, hängt allerdings wesentlich von der verwendeten Datengrundlage und einem wirklich sinnvollen Einsatzszenario ab.

  • Generationenkonflikt der IT-Security

    Unternehmen sind auf die Dynamik und frischen Ideen der jungen Generation angewiesen, um dem Fachkräftemangel zu begegnen und sich weiterzuentwickeln. Es darf jedoch nicht auf Kosten der IT-Sicherheit gehen. Um diesen Spagat zu meistern, braucht es einen Security-Ansatz, der Platz für Fortschritt schafft, anstatt ihn zu behindern.

  • Ist NIS-2 zu anspruchsvoll?

    Die politische Einigung über das Gesetz zur Umsetzung der EU-Richtlinie NIS-2 und der Stärkung der Cybersicherheit noch vor der Bundestagswahl ist gescheitert. SPD, Grüne und FDP konnten sich nicht auf zentrale Punkte einigen. Damit bleibt über zwei Jahre nach der Verabschiedung der EU-Richtlinie die dringend notwendige gesetzliche Verschärfung aus. Die Umsetzungsfrist wird weiter überschritten

  • Seit 1. Januar 2025 gilt die E-Rechnungspflicht

    Stellen Sie sich vor, Ihr Unternehmen kann plötzlich Rechnungen nicht mehr rechtssicher verschicken. Verzögerte Zahlungen, rechtliche Konsequenzen und möglicherweise ein belastetes Geschäftsverhältnis könnten die Folge sein - und das alles, weil Sie die E-Rechnungspflicht ohne die richtige Software kaum einhalten können.

An der Quelle der Informationen beginnen Umsetzung der ESG-Verordnung

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen