Navigieren durch DORA: die EU-Verordnung für digitale Resilienz im Finanzwesen

Siarhei Sukhadolski

Mai 12, 2025 10 Minuten Lesezeit

Seit seiner Durchsetzung hat sich der Digital Operational Resilience Act (DORA) zu einer bestimmenden Kraft im Umgang des Finanzsektors mit IKT-Risiken, Sicherheit und Abhängigkeiten von Dritten entwickelt. Während die Bedeutung des DORA in der Theorie klar ist - ein einheitliches Rahmenwerk zur Stärkung der digitalen Widerstandsfähigkeit - lässt die Anwendung auf Systeme, Anbieter und Abläufe viele Institute noch immer im Ungewissen.

Dies ist nicht nur eine weitere Zusammenfassung der DORA-Verordnung. Sie wissen bereits, was auf dem Spiel steht. Die eigentliche Frage ist: Sind Ihre Systeme, Partner und internen Kontrollen wirklich auf den DORA-Rahmen abgestimmt, und wie sieht Ihre Strategie für eine langfristige, nachhaltige Einhaltung der Vorschriften aus?

Nehmen Sie also Platz - ich werde Ihnen erläutern, was DORA wirklich von Ihrem Unternehmen erwartet, und - was noch wichtiger ist - wie Sie diese Erwartungen erfüllen können, ohne sich zu bremsen.

DORA-Rahmen und der Vorstoß für eine einheitliche Steuerung digitaler Risiken

DORA, vormals bekannt als Verordnung (EU) 2022/2554ist eine verbindliche EU-Verordnung, die am 16. Januar 2023 in Kraft trat und am 17. Januar 2025 anwendbar wurde. Ihre Einführung war kein theoretischer Schritt. Sie war eine direkte Reaktion auf die eskalierenden Cyber-Bedrohungen im Finanzsektor. Da Finanzinstitute bei der Bereitstellung digitaler Dienste zunehmend auf Cloud-Infrastrukturen, SaaS-Plattformen und andere externe Partner zurückgreifen, sind sie auch anfälliger für miteinander verbundene Risiken geworden, die sich nur schwer vorhersagen, eindämmen und beheben lassen.

Die Zahlen sprechen für sich: Im Jahr 2024 werden sich die durchschnittlichen Kosten einer Datenschutzverletzung im Finanzbereich auf $6,08 Millionendas ist 22% höher als der weltweite Durchschnitt von $4,88 Millionen über alle Branchen hinweg.

Vorfälle in der realen Welt haben die Notwendigkeit einer höheren Widerstandsfähigkeit nur noch verstärkt. Im Jahr 2018 versuchte die TSB eine umfangreiche Migration der Kernbankplattform. Schlechtes Risikomanagement, unzureichende Tests und eine ineffektive Behandlung von Vorfällen führten zu weitreichenden Ausfällen, die Tausende von Kunden von ihren Konten ausschlossen. Infolgedessen verhängten die Aufsichtsbehörden eine Geldstrafe TSB 48,65 Millionen Pfund für operationelle Risiken und Versagen der Unternehmensführung.

Ähnliches gilt für das Jahr 2019, Capital One erlitt eine massive Sicherheitsverletzung aufgrund einer falsch konfigurierten Firewall in seiner Cloud-Infrastruktur, wodurch Daten von über 100 Millionen Kunden offengelegt wurden. Die Folgen waren unter anderem $80 Millionen an Strafgeldern und erheblichen Sanierungskosten.

Die Probleme hörten damit nicht auf. Die CrowdStrike-Ausfall im Juli 2024 machte die Vernetzung der digitalen Infrastruktur schmerzlich deutlich. Ausgelöst durch ein fehlerhaftes Update, breitete sich die Störung auf alle wichtigen Systeme aus - Flüge wurden gestoppt, Bankgeschäfte eingefroren und professionelle Dienstleistungen unterbrochen. Es handelte sich dabei nicht nur um eine technische Panne, sondern um eine umfassende Krise der Geschäftskontinuität, die zeigte, wie Ausfälle von IKT-Drittanbietern systemische Folgen haben können.

So entstand DORA als Antwort der EU: eine umfassende, durchsetzbare Verordnung, die die digitale Resilienzlücke mit klarer Rechenschaftspflicht, harmonisierten Standards und einem für die heutige vernetzte Wirtschaft geeigneten Rahmen schließen soll.

Warum die Einhaltung der DORA-Bestimmungen jetzt eine geschäftskritische Priorität ist

Stellen Sie sich das so vor: Cybersicherheit war früher etwas, das man mit jährlichen Audits, einigen Ablaufplänen für Zwischenfälle und einer Handvoll isolierter Richtlinien in der IT-Ecke abhaken konnte. Aber mit DORA ist dieses Modell nicht mehr gut genug. Mit DORA ist jetzt jeder für die Sicherheit verantwortlich - von den Technikern bis zu den Führungskräften.

Es geht nicht nur darum, zu beweisen, dass Sie eine Firewall haben - es geht darum, zu beweisen, dass Ihre gesamte digitale Lieferkette einem Angriff standhalten kann und weiterläuft. DORA holt die Cybersicherheit aus dem Schatten in die Vorstandsetage und zwingt die Unternehmen dazu, digitale Risiken als geschäftskritisches Problem zu behandeln, nicht nur als technisches Problem.

Wer muss sich daran halten?

Die DORA-EU-Verordnung gilt für mehr als 20 Kategorien von Finanzunternehmen in der EU, darunter auch für

Banken, Versicherer und Wertpapierfirmen
Zahlungsverkehrs- und E-Geld-Institute
Anbieter von Krypto-Vermögensdienstleistungen
Handelsplätze, Clearingstellen und zentrale Wertpapierverwahrungsstellen
Kreditrating-Agenturen, Crowdfunding-Plattformen und mehr

Die Bedeutung von DORA geht jedoch über das traditionelle Finanzwesen hinaus. Die Verordnung rückt auch kritische IKT-Dienstleister in den Blickpunkt der Compliance. Das heißt, wenn Sie Technologien bereitstellen, die eine Kernfunktion eines Finanzunternehmens unterstützen - sei es Cloud-Infrastruktur, Datenanalyse, SaaS für Zahlungen oder Onboarding, KYC/AML-Tools, KI-basierte Betrugserkennung oder sogar API-Plattformen, die Kernsysteme verbinden - sind Sie jetzt Teil der Compliance-Kette.

Die Risiken der Nichteinhaltung

Die Nichteinhaltung der DORA-Normen stellt ein Risiko für Ihren Betrieb, Ihren Ruf und Ihre langfristige Strategie dar. Gemäß DORA muss die Europäische Aufsichtsbehörden (EBA, ESMA und EIOPA) haben nun die Befugnis, finanzielle Sanktionen, öffentliche Verweise und verbindliche Abhilfemaßnahmen zu erlassen. Noch entscheidender ist, dass die Regulierungsbehörden in Fällen, in denen ein dritter IKT-Anbieter als Bedrohung für die betriebliche Stabilität angesehen wird, die Kündigung von Verträgen erzwingen können, selbst mit Anbietern, die Kerninfrastrukturen oder wesentliche digitale Dienste bereitstellen.

Doch die rechtlichen Folgen sind nur ein Teil des Bildes. Die tatsächlichen Kosten der Nichteinhaltung von Vorschriften sind mehrdimensional:

Regulatorisches Ansehen: Institute, die die DORA-Anforderungen nicht erfüllen, können als risikoreich eingestuft werden, was zu einer strengeren Aufsicht, mehr Inspektionen und weniger Flexibilität bei den aufsichtsrechtlichen Interaktionen führt.
Regulatorisches Ansehen: Institute, die die DORA-Anforderungen nicht erfüllen, können als risikoreich eingestuft werden, was zu einer strengeren Aufsicht, mehr Inspektionen und weniger Flexibilität bei den aufsichtsrechtlichen Interaktionen führt.
Rechenschaftspflicht auf Vorstandsebene: DORA betrachtet die operative Widerstandsfähigkeit als eine Frage der Unternehmensführung. Vorstände müssen Risikoschwellen festlegen, IKT-Rahmenwerke genehmigen und die Risikobehandlung überwachen, wobei sie bei größeren Fehlern persönlich haften können.
Geschäftskontinuität: Ein einziges IKT-Versagen, sei es intern oder durch Dritte, kann zu weitreichenden Störungen und Verstößen gegen die Vorschriften führen, die das Vertrauen und den Ruf schädigen.
Die Aufmerksamkeit der Investoren und Medien: Öffentliche IKT-Fehlschläge können Schlagzeilen und Bewertungen verursachen, mit langfristigen Auswirkungen auf das Vertrauen der Kunden, die Stimmung der Investoren und die Moral der Teams.

Aus diesem Grund suchen Finanzinstitute nicht nur nach Anbietern, sondern auch nach belastbaren Partnern. Sie wollen Technologieanbieter, die die DORA-Compliance-Anforderungen verstehen, prüfbare Lösungen anbieten und durch strenge SLAs, transparente Prozesse und gemeinsame Tests mitverantwortlich sind.

Schützen Sie Ihr Unternehmen. Erreichen Sie die DORA-Konformität mit Vertrauen.

Der wahre Vorteil der DORA-Finanzierungsverordnung

Für die Finanzinstitute bedeutet der DORA-Rahmen einen grundlegenden Wandel in der Art und Weise, wie operationelle Widerstandsfähigkeit die Marktführerschaft definiert. Compliance allein ist nicht mehr genug. DORA zwingt Finanzunternehmen dazu nachweisen, dass sie kritische Dienste auch bei schweren IKT-Störungen aufrechterhalten können - selbst wenn es in ausgelagerten Ökosystemen, die sich ihrer direkten Kontrolle entziehen, zu Ausfällen kommt.

Darin liegt der strategische Wert:

Resilienz als Marktreferenz: Institute, die sich an den DORA-Standards orientieren und echte betriebliche Ausfallsicherheit nachweisen können - getestet, prüfbar und kontinuierlich überwacht - sind besser positioniert, um das Vertrauen ihrer Kunden zu gewinnen, B2B-Partnerschaften zu sichern und das Vertrauen der Anleger zu gewinnen. In einem Finanzsektor, der zunehmend von digitaler Erfahrung und Kontinuität geprägt ist, wird erwiesene Ausfallsicherheit zu einem ebenso starken Unterscheidungsmerkmal wie Preisgestaltung oder Produktinnovation.
Schnellere Erholung als strategischer Vorteil: Stellen Sie sich zwei Zahlungsanbieter vor, die von demselben Ausfall eines Cloud-Dienstes betroffen sind. Das Unternehmen, das dank getesteter Failover-Systeme und einer soliden Notfallplanung für Dritte Transaktionen innerhalb von Minuten umleitet, behält seine Kunden und seinen Ruf auf dem Markt. Das Unternehmen, das Stunden für die Wiederherstellung benötigt, riskiert Kundenverluste, behördliche Strafen und öffentliche Kritik.
Kontrolle durch Dritte als operative Stabilität: DORA zwingt die Unternehmen, die Kontrolle über ausgelagerte IKT-Funktionen auszuweiten, und verlangt volle vertragliche Rechte zur Prüfung, Überwachung und Intervention in den Betrieb Dritter. Institutionen, die diese Abhängigkeiten proaktiv verwalten, können ernsthafte Risiken vermeiden, die sich aus unstrukturierten Lieferantenbeziehungen ergeben.
Integration auf Vorstandsebene als Vertrauenssignal: Resilienz ist nicht länger eine IT-Funktion, die in technischen Abteilungen vergraben ist. Gemäß der EU-Verordnung DORA müssen die Vorstände IKT-Risiken aktiv steuern. Institute, die neben Kapital-, Liquiditäts- und Kreditrisiken auch Resilienz-KPIs in die unternehmensweiten Risikorahmen einbetten, zeigen den Aufsichtsbehörden, Kunden und Partnern, dass sie es mit der betrieblichen Beständigkeit ernst meinen.

Tatsächlich verwandelt die DORA-Finanzregulierung Resilienz von einer defensiven Compliance-Übung in eine proaktive Geschäftsstrategie. Institute, die DORA als Chance begreifen, werden schneller vorankommen, sich besser erholen und mehr Vertrauen aufbauen als ihre Konkurrenten, die sich immer noch ausschließlich auf technische Sicherheitsmaßnahmen konzentrieren.

"Wir bei Innowise haben die Anforderungen von DORA gründlich analysiert und unser Engagement für digitale Ausfallsicherheit auf allen Ebenen verstärkt. Ganz gleich, ob Sie Beratung, DevSecOps-Integration, Resilience-Tests oder umfassende Unterstützung bei der Einhaltung von Vorschriften benötigen, wir verfügen über die nötige Expertise, um Ihnen einen Vorsprung zu verschaffen. Wir bringen auch die richtigen Tools und die operative Disziplin mit, um Ihnen zu helfen, die Zukunft der sicheren Finanzen zu gestalten."

Dzianis Kryvitski

Delivery Manager im Bereich FinTech

DORA-Normen im Vergleich zu bestehenden Cybersicherheitsrahmenwerken

Sie fragen sich vielleicht: Wenn Vorschriften wie NIS (Richtlinie über Netz- und Informationssicherheit) 2 und GDPR (Allgemeine Datenschutzverordnung) bereits in Kraft waren, warum war DORA dann überhaupt notwendig? Das ist richtig - und in der Tat spielen NIS 2 und GDPR immer noch eine wichtige Rolle bei der Stärkung der Cybersicherheit und des Datenschutzes in der EU. Der Hauptunterschied besteht jedoch darin, dass der DORA-Rahmen über den Schutz von Informationen hinausgeht. Er konzentriert sich darauf, die ununterbrochene Erbringung wichtiger Finanzdienstleistungen zu gewährleisten, selbst bei schwerwiegenden IKT-Störungen.

Um die Unterschiede zu verdeutlichen, habe ich die Hauptunterschiede in der folgenden Tabelle zusammengestellt:

Beschreibung	DORA	NIS 2	DSGVO
Umfang	Gilt für Finanzunternehmen und kritische IKT-Drittanbieter im gesamten EU-Finanzsektor	Gilt für wesentliche und wichtige Einrichtungen in kritischen Sektoren in der EU	Gilt weltweit für Organisationen, die personenbezogene Daten von EU-Bürgern verarbeiten
Zweck	Stärkung des IKT-Risikomanagements, der Aufsicht über Dritte und der operationellen Widerstandsfähigkeit für die ununterbrochene Erbringung von Finanzdienstleistungen	Verbesserung der allgemeinen Cybersicherheitsstandards für wichtige Dienste, einschließlich Energie, Verkehr, Gesundheitswesen und digitale Infrastruktur	Schutz der personenbezogenen Daten und der Rechte auf Privatsphäre der EU-Bürger
Berichterstattung über Vorfälle	Größere IKT-bezogene Vorfälle müssen ohne unnötige Verzögerung unter Verwendung standardisierter Vorlagen gemeldet werden	Erhebliche Vorfälle im Bereich der Cybersicherheit müssen innerhalb von 24 Stunden an die nationalen Behörden gemeldet werden	Verstöße gegen den Schutz personenbezogener Daten müssen der Aufsichtsbehörde innerhalb von 72 Stunden gemeldet werden.
Risikomanagement für Dritte	Obligatorische Vertragsaufsicht, Überwachung und Ausstiegsstrategien für kritische IKT-Drittanbieter	Cybersecurity-Risikomanagement in der Lieferkette wird gefördert, ist aber im Vergleich zu DORA weniger präskriptiv	Datenverarbeiter müssen die Sicherheit personenbezogener Daten gewährleisten, aber die Anforderungen an die operative Belastbarkeit von Anbietern sind nicht definiert
Anforderungen an Prüfung und Audit	Verlangt regelmäßige Ausfallsicherheitstests, einschließlich fortgeschrittener bedrohungsgesteuerter Penetrationstests (TLPT) alle drei Jahre für kritische Einrichtungen	Verlangt Risikobewertungen und allgemeine Cybersicherheitsmaßnahmen, aber keine verbindlichen Standards für Ausfallsicherheit oder Penetrationstests	Erfordert angemessene technische und organisatorische Sicherheitsmaßnahmen, aber keine obligatorische Belastbarkeitsprüfung
Governance und Rechenschaftspflicht	Der Vorstand und das Management müssen das IKT-Risikomanagement definieren, genehmigen, beaufsichtigen und dafür verantwortlich sein.	Die Geschäftsleitung muss Cybersicherheitsmaßnahmen genehmigen, aber die Steuerung der operativen Widerstandsfähigkeit ist weniger detailliert	Die für die Verarbeitung Verantwortlichen und die Auftragsverarbeiter sind für den Datenschutz rechenschaftspflichtig, aber es gibt keine spezifischen Anforderungen an die operative Resilienz-Governance
enalties	Keine festen Sanktionen festgelegt; nationale und EU-Aufsichtsbehörden sind befugt, Geldbußen zu verhängen, Abhilfemaßnahmen anzuordnen oder die Kündigung kritischer Verträge mit Dritten anzuordnen	Wesentliche Unternehmen: bis zu 10 Mio. € oder 2% des weltweiten Umsatzes; Wichtige Unternehmen: bis zu 7 Mio. € oder 1,4% des weltweiten Umsatzes	Schwere Verstöße: bis zu 20 Mio. € oder 4% des weltweiten Umsatzes; Weniger schwere Verstöße: bis zu 10 Mio. € oder 2% des weltweiten Umsatzes

Umsetzung der DORA-Anforderungen in geschäftliche Maßnahmen

Die Einhaltung von DORA beruht auf fünf Säulen. Gemeinsam fordern diese Säulen die Finanzinstitute auf, den Umgang mit digitalen Risiken als Kernkompetenz ihres Unternehmens zu überdenken. Lassen Sie uns durchgehen, worauf es am meisten ankommt und wie Innowise Ihnen helfen kann, die richtigen Schritte zur vollständigen Einhaltung der Vorschriften zu unternehmen.

1. IKT-Risikomanagement: Aufbau digitaler Widerstandsfähigkeit im Kerngeschäft

DORA verlangt von den Finanzinstituten, dass sie die digitale Widerstandsfähigkeit in jeden Teil ihrer Abläufe integrieren - von der Identifizierung von Risiken bis hin zu Schutz, Erkennung, Reaktion und Wiederherstellung. Es geht nicht darum, zu reagieren, wenn etwas schiefgeht. Es geht darum, einen Schritt voraus zu sein, Unterbrechungen zu minimieren und Ihre Systeme zu stärken, bevor es zu Problemen kommt.

Wie Innowise unterstützen kann

Kritische Systeme und Risikokartierung: Wir bilden Ihre Kerngeschäftsfunktionen und IKT-Ressourcen ab, um Schwachstellen zu erkennen, bevor sie sich zu Krisen entwickeln.
Erkennung von Bedrohungen in Echtzeit: Unsere Teams konfigurieren und optimieren SIEM- und SOAR-Plattformen, um eine kontinuierliche Überwachung im Einklang mit den DORA-Sicherheitsprinzipien zu gewährleisten.
Integration der GRC-Plattform: Wir helfen Ihnen bei der Auswahl, Anpassung und Einbindung von GRC-Tools in Ihre Arbeitsabläufe und machen die Risikoüberwachung zu einem Teil Ihres Tagesgeschäfts.
Kontinuierliche Risikoprüfung und -überwachung: Wir führen regelmäßig Bedrohungsmodelle, Penetrationstests und automatische Code-Scans durch, um Risiken frühzeitig zu erkennen und die Abwehrkräfte zu stärken.
Bewährte DevSecOps-Verfahren: Wir betten Sicherheitsprüfungen direkt in Ihre Entwicklungspipelines ein, so dass die Ausfallsicherheit eingebaut und nicht aufgeschraubt ist.

2. Meldung von Vorfällen: Rationalisierung der Aufdeckung und der behördlichen Meldungen

Finanzinstitute müssen IKT-bezogene Vorfälle schnell erkennen, klassifizieren und den Aufsichtsbehörden melden und dabei strenge Vorlagen und Fristen einhalten. Eine unorganisierte oder verzögerte Reaktion kann zu Reputationsschäden, Sanktionen der Aufsichtsbehörden oder schlimmer noch, zu einem Vertrauensverlust des Marktes führen. Um die Anforderungen von DORA zu erfüllen, müssen Unternehmen Ad-hoc-Prozesse in rationalisierte, überprüfbare Arbeitsabläufe umwandeln.

Wie Innowise unterstützen kann

Automatisierte Erkennung und Reaktion: Wir richten intelligente Systeme ein, die Vorfälle auf der Grundlage ihrer Kritikalität sofort kennzeichnen, klassifizieren und eskalieren.
Regulierungskonforme Berichtswerkzeuge: Unsere Experten erstellen oder optimieren Ihre Berichtssysteme, um automatisch Berichte zu erstellen, die den DORA-Anforderungen entsprechen.
Simulationsübungen und Tischtests: Wir organisieren Live-Fire-Übungen, um Ihre Reaktions- und Meldeprozesse auf die Probe zu stellen.
Schnelle Unterstützung bei Zwischenfällen: Unsere Teams stehen Ihnen zur Seite, um Sie ohne Panik durch reale Eskalationen und Meldefristen zu führen.
Erkennung von Sicherheitsvorfällen als erstes: Wir beraten auch bei der Implementierung von sicheren Kodierungspraktiken und Echtzeit-Überwachung, um Probleme früher zu erkennen und nicht erst, wenn der Schaden bereits entstanden ist.

3. Tests der digitalen Betriebsfestigkeit: Stresstests von Systemen, bevor sie ausfallen

DORA verlangt nicht nur, dass Unternehmen ihre Ausfallsicherheit behaupten. Sie müssen sie durch regelmäßige, bedrohungsgesteuerte Tests der digitalen operativen Belastbarkeit (TLPT) nachweisen. Die Institutionen müssen kritische Systeme extremen, realistischen Szenarien aussetzen, um versteckte Schwachstellen aufzudecken und Wiederherstellungsfähigkeiten zu validieren.

Wie Innowise unterstützen kann

Penetrationstests und Red Teaming: Wir simulieren reale Cyberangriffe und Systemausfälle, um Schwachstellen zu finden, bevor Angreifer sie finden.
Bedrohungsgesteuerte Testprogramme: Unsere Spezialisten entwickeln TLPT-Programme, die auf Ihre Geschäftsrisiken und gesetzlichen Anforderungen zugeschnitten sind.
Testen des Disaster Recovery Plans: Wir führen vollständige Disaster-Recovery-Übungen und Wiederherstellungspunkttests durch, um zu prüfen, ob Ihr Unternehmen im Ernstfall wiederhergestellt werden kann. .
Automatisierte Test-Frameworks: Wir helfen Ihnen bei der Automatisierung von Belastbarkeitstests und der Verfolgung der Ergebnisse, damit Sie den Regulierungsbehörden echte Beweise vorlegen können.
Sichere Entwicklung und Resilienz: Wir beraten auch zu sicheren Softwareentwicklungspraktiken, Bedrohungsmodellierung und Risikobewertung, um Systeme zu stärken, bevor sie getestet werden.

4. IKT-Risikomanagement für Dritte: Kontrolle der Risiken außerhalb der eigenen Grenzen

Im Rahmen von DORA sind die Finanzinstitute direkt für die Ausfallsicherheit ihrer externen IKT-Anbieter verantwortlich - von Cloud-Diensten und Softwareanbietern bis hin zu ausgelagerten IT-Partnern. Der Ausfall eines Anbieters kann für Sie sofort zu einer regulatorischen Krise werden. Deshalb verlangen die DORA-Finanzvorschriften eine kontinuierliche Überwachung und dokumentierte Kontrollen für alle IKT-Partner.

Wie Innowise unterstützen kann

Aufbau eines Risikoinventars für den Verkäufer: Innowise erstellt zentralisierte Systeme, die alle Ihre ICT-Lieferanten, Abhängigkeiten und Ausfallsicherheitslücken verfolgen.
Audits und Bewertungen durch Dritte: Unsere Teams führen detaillierte Belastbarkeitsprüfungen bei kritischen Anbietern durch - von der Cybersicherheitsverteidigung bis zur Bereitschaft zur Reaktion auf Vorfälle.
Überwachung durch Dritte in Echtzeit: Wir integrieren intelligente Tools, die die Risiken von Lieferanten, die Einhaltung von Verträgen und Frühwarnsignale kontinuierlich überwachen. .
Vertragliche Beratung zur Resilienz: Unsere Experten überprüfen und stärken ICT-Lieferantenverträge mit eingebauten Risikominderungs-, Transparenz- und Ausstiegsklauseln.
DevSecOps-Anpassung durch Dritte: Wir stellen sicher, dass Ihre kritischen Zulieferer von Anfang an sichere Entwicklungs- und Betriebsstandards erfüllen.

5. Informationsaustausch: Stärkung der sektorweiten Resilienz durch Zusammenarbeit

Die DORA-Verordnung zur Cybersicherheit ermutigt Finanzunternehmen, aktiv Informationen über Cyber-Bedrohungen, Schwachstellen und Vorfälle auszutauschen - nicht als Formalität, sondern als strategischer Verteidigungsmechanismus. Indem sie zu vertrauenswürdigen Netzwerken beitragen, stärken die Unternehmen ihre kollektive Widerstandsfähigkeit und erhalten Frühwarninformationen, die größere Störungen verhindern können.

Wie Innowise unterstützen kann

Einrichtung einer Plattform für Bedrohungsdaten: Wir verbinden Ihre Systeme mit vertrauenswürdigen Informationsnetzwerken und integrieren Bedrohungsdaten in Ihre internen Verteidigungssysteme.
Sichere Workflows für den Informationsaustausch: Unsere Berater entwickeln sichere, gesetzeskonforme Methoden für den Austausch und den Empfang von Bedrohungsinformationen, ohne sensible Daten preiszugeben.
Cyber Intelligence-Analyse: Wir helfen Ihnen dabei, eingehende Bedrohungsdaten in klare, umsetzbare Erkenntnisse umzuwandeln, die Ihre Risikolage verbessern..
Unterstützung der öffentlich-privaten Zusammenarbeit: Wir helfen bei der Schaffung technischer und rechtlicher Rahmenbedingungen für eine enge Zusammenarbeit mit Regulierungsbehörden und sektoralen Resilienzprogrammen.
Proaktive Risikomodellierung: Wir helfen auch bei der Modellierung von Risiken auf der Grundlage externer Bedrohungsdaten, damit Sie sich auf kommende Ereignisse vorbereiten können und nicht auf bereits eingetretene reagieren müssen.

Bauen Sie mit Innowise eine unaufhaltsame Widerstandsfähigkeit auf und bleiben Sie an der Spitze.

Beginn der Reise zur vollständigen DORA-Sicherheit

Die Einhaltung der DORA-Anforderungen erfordert einen klaren, strukturierten Ansatz, der Risikomanagement, Reaktion auf Vorfälle, Überwachung durch Dritte und Betriebstests miteinander verbindet. Ich habe Ihnen die wichtigsten Schritte aufgezeigt, die Ihnen helfen, von der Einhaltung der Vorschriften auf dem Papier zur Ausfallsicherheit in der Praxis zu gelangen.

Überprüfen Sie Ihren IKT-Risikomanagementrahmen

Prüfen Sie, ob Sie einen formellen Rahmen für das IKT-Risikomanagement haben. Falls nicht, sollten Sie als Erstes einen solchen aufbauen. Verwenden Sie etablierte Standards als Grundlage und richten Sie diese am gesamten Risikolebenszyklus von DORA aus.

Identifizierung von Lücken gegenüber den DORA-Anforderungen

Beurteilen Sie, ob Ihr derzeitiger Rahmen die DORA-Erwartungen vollständig erfüllt. Fokus auf SicherheitstestsDie wichtigsten Kennzahlen zur Ausfallsicherheit, das Risikomanagement für Dritte und die Unternehmensführung helfen Ihnen, Ihre unmittelbaren Prioritäten zu setzen.

Verstärken Sie Ihre Reaktion auf Vorfälle und Ihre Berichterstattung

Bewerten Sie Ihre Vorfallserkennung, Eskalation und Berichterstattung. Bestätigen Sie, dass sie die zeitlichen und inhaltlichen Anforderungen von DORA erfüllen. Aktualisieren Sie bei Bedarf Workflows, Berichtsvorlagen und Eskalationspfade.

Aufbau eines bedrohungsgesteuerten Testprogramms

Erstellen Sie einen Plan für Belastbarkeitstests. Legen Sie fest, welche Systeme Sie testen werden, wie oft und wie die Ergebnisse dokumentiert werden. Berücksichtigen Sie gegebenenfalls Penetrationstests, szenariobasierte Übungen und Red Teaming.

Entwicklung eines Fahrplans für die Einhaltung von DORA

Erstellen Sie einen strukturierten Fahrplan, der die erforderlichen Investitionen, System-Upgrades, Änderungen in der Unternehmensführung und Mitarbeiterschulungen umfasst. Setzen Sie Prioritäten in den kritischen Bereichen und stimmen Sie die Zeitpläne mit den regulatorischen Meilensteinen ab.

Automatisieren Sie Risikoüberwachung und Compliance-Berichterstattung

Automatisieren Sie Risikobewertungen, die Nachverfolgung von Vorfällen und Compliance-Berichte. Benutzerdefinierte Software, DevSecOps-Praktiken und integrierte Überwachungstools machen Compliance skalierbar, wiederholbar und überprüfbar.

01 Überprüfen Sie Ihren IKT-Risikomanagementrahmen

02 Identifizierung von Lücken gegenüber den DORA-Anforderungen

03 Verstärken Sie Ihre Reaktion auf Vorfälle und Ihre Berichterstattung

04 Aufbau eines bedrohungsgesteuerten Testprogramms

05 Entwicklung eines Fahrplans für die Einhaltung von DORA

06 Automatisieren Sie Risikoüberwachung und Compliance-Berichterstattung

Obwohl diese Schritte einen soliden Ausgangspunkt darstellen, sieht der Weg zur DORA-Sicherheit für jedes Unternehmen ein wenig anders aus. Vielleicht brauchen Sie einen breiteren Rahmen, einen tieferen Fokus oder einfach mehr Vertrauen, dass nichts übersehen wurde. In diesen Fällen ist es am klügsten, wenn Sie Cybersicherheits-Experten an Ihrer Seite - Fachleute, die Sie durch den gesamten Prozess führen und sich mit den kritischen Bereichen eingehend befassen können.

Innowise-Know-how für DORA-Konformität

Die Einhaltung der DORA-Bestimmungen erfordert bewährte Fachkenntnisse in den Bereichen Cybersicherheit, betriebliche Stabilität und regulatorische Bereitschaft. Innowise verfügt über ein starkes Fundament aus anerkannten Standards, Frameworks und realen technischen Fähigkeiten, die sich direkt auf folgende Punkte beziehen DORA-Anforderungen.

Unser Fachwissen im Bereich Compliance und Resilienz umfasst:

ISO 27001-Zertifizierung (Managementsystem für Informationssicherheit)

Wir wenden die Best Practices von ISO 27001 an, um ein starkes Risikomanagement-, Governance- und Incident-Response-Rahmenwerk aufzubauen, das die entscheidende Grundlage für die DORA-Konformität darstellt.

Angleichung an den NIST-Rahmen für Cybersicherheit

Wir strukturieren unsere Ausfallsicherheitsprogramme auf der Grundlage der NIST-Prinzipien, die die Identifizierung, den Schutz, die Erkennung, die Reaktion und die Wiederherstellung von Bedrohungen abdecken und vollständig mit dem operativen Risikoansatz von DORA übereinstimmen.

SOC 2 Typ II Konformität (für Cloud-basierte und verwaltete Dienste)

Bei der Bereitstellung von Cloud- oder verwalteten Diensten gewährleistet unsere SOC 2-Konformität robuste Kontrollen der Datensicherheit, -verfügbarkeit und -vertraulichkeit, um die Anforderungen von DORA an die Aufsicht durch Dritte zu unterstützen.

Fortgeschrittenes Cloud-Sicherheitsmanagement (CSPM)

Wir verwenden führende CSPM-Tools (wie Chef Compliance, tfsec, OpenSCAP, CloudBots), um Fehlkonfigurationen in Cloud-Umgebungen zu erkennen und zu beheben und so das Betriebsrisiko zu verringern.

Kontinuierliche Überwachung der Einhaltung der Vorschriften und Berichterstattung

Tools wie ELK, Nagios, Prometheus, Grafana und Kibana ermöglichen es uns, den Compliance-Status, Einblicke in Vorfälle und Ausfallsicherheitstrends in Echtzeit zu liefern, was für die Überwachungs- und Berichterstattungserwartungen von DORA entscheidend ist.

Integrierte Compliance-Kontrollen

Unsere Entwicklungs- und Betriebspraktiken umfassen vorab genehmigte Compliance-Kontrollen durch Tools wie Terraform und Ansible, die die Einhaltung von Vorschriften in jeder Phase des Technologie-Lebenszyklus gewährleisten.

Automatisierte Konformitätsprüfungen

Regelmäßige Prüfungen der Ausfallsicherheit durch Plattformen wie Lynis, Wazuh, Checkov, OpenSCAP und CIS-CAT sorgen dafür, dass die betrieblichen Ausfallsicherheitspraktiken auf dem neuesten Stand bleiben und für die behördliche Prüfung bereit sind.

Machen Sie Ihre Compliance mit dem Know-how von Innowise zukunftssicher.

DORA und die Zukunft der Finanz-Cybersicherheit

DORA rüttelt die Finanzwelt auf - und das nicht gerade leise. Die Verordnung ist nun in vollem Gange, aber für viele Institute und Anbieter ist die Lage noch immer etwas unsicher. Ich hatte in letzter Zeit unzählige Gespräche mit technischen Leitern, Compliance-Teams und Vorstandsmitgliedern, die versuchten, die Bedeutung von DORA in konkreten, operativen Begriffen zu entschlüsseln. Deshalb stelle ich hier die häufigsten Fragen, die mir gestellt werden, vor - und zeige, wie ich mir das Ganze vorstelle.

DORA ist da. Und was jetzt?

Jetzt, da DORA in Kraft ist, sind die meisten Finanzinstitute von der Planung zur Umsetzung übergegangen. Aber die Realität sieht so aus, dass viele Unternehmen noch nicht ganz so weit sind. Laut einer McKinsey-Umfrage besagt Von Mitte 2024 an war nur etwa ein Drittel der Unternehmen zuversichtlich, dass sie bis Januar 2025 alle DORA-Anforderungen erfüllen würden. Selbst die zuversichtlichen Unternehmen gaben zu, dass sie noch bis weit in dieses Jahr hinein an den Prozessen feilen würden. Der größte Schmerzpunkt? Die Verwaltung des Risikos von Drittanbietern in großem Umfang. Für viele war es ein Projekt für sich, herauszufinden, welche Anbieter im Rahmen von DORA als "kritisch" gelten.

Was passiert also tatsächlich vor Ort? Die Teams werden immer besser organisiert. Unternehmen richten spezielle DORA-Programme ein, ziehen Mitarbeiter aus den Bereichen IT, Recht, Compliance und Beschaffung hinzu und investieren in Plattformen, die alles unter einem Dach vereinen. Es gibt auch eine zunehmende Verlagerung von der Behandlung von DORA als "nur eine weitere IT-Sache" hin zu einer Diskussion auf Vorstandsebene. Eine immer wiederkehrende Herausforderung ist die Zusammenarbeit mit kleineren Technologieanbietern, die einfach nicht über die Ressourcen verfügen, um alle Compliance-Vorgaben zu erfüllen. Das bedeutet, dass einige Finanzinstitute jetzt als Supportpartner und nicht nur als Kunden auftreten.

Und der Druck macht auch vor DORA nicht halt. Innerhalb der EU verschärft die NIS 2 die Vorschriften für kritische Infrastrukturen, und der Cyber Resilience Act wird die Sicherheit auf Produktebene unter die Lupe nehmen. In der Zwischenzeit beobachten die Regulierungsbehörden außerhalb der EU die Situation genau. Die FCA und die PRA im Vereinigten Königreich haben bereits ihre eigenen Vorschriften für die Widerstandsfähigkeit eingeführt, und in den USA erwartet die SEC jetzt von börsennotierten Unternehmen, dass sie offenlegen, wie sie mit Cyberrisiken umgehen. Wenn Sie langfristig denken, ist die DORA-Finanzregelung nicht nur eine europäische Vorschrift - sie ist ein globaler Ausgangspunkt.

Werden KI und Automatisierung die Einhaltung von Vorschriften weniger problematisch machen?

KI für die Einhaltung von Vorschriften wird definitiv eine größere Rolle spielen - nicht nur in der Theorie, sondern auch in der täglichen Arbeit. Viele Teams verwenden bereits Tools zur Verarbeitung natürlicher Sprache (NLP), um riesige Stapel von Verträgen und Lieferantenvereinbarungen zu durchforsten. Diese Tools helfen dabei, rote Fahnen automatisch zu erkennen, z. B. fehlende Auditrechte oder vage Wiederherstellungszeitgarantien. Anstatt sich darauf zu verlassen, dass Anwälte oder Compliance-Verantwortliche jede Zeile manuell durchgehen, setzen Unternehmen KI ein, um Risiken im Voraus zu erkennen und die Dokumentation vom ersten Tag an straff zu halten.

Im Bereich der Automatisierung geht es schnell voran. Tools wie SOAR (Security Orchestration, Automation, and Response) erleichtern die Bewältigung von Vorfällen, ohne dass es zu einem Chaos kommt. Angenommen, etwas geht kaputt. Diese Plattformen können Warnungen auslösen, Dinge sperren und sogar den ersten DORA-konformen Bericht für die Aufsichtsbehörden erstellen, ohne dass ein Mensch eingreifen muss. Und GRC-Plattformen wie ServiceNow oder MetricStream werden ebenfalls immer leistungsfähiger. Sie fügen intelligente Dashboards, automatisierte Ausfallsicherheitstests und Bots hinzu, die Teams daran erinnern, wann sie Drills durchführen oder die KPIs von Drittanbietern überprüfen müssen.

Wie wirkt sich DORA auf das Outsourcing der Softwareentwicklung aus?

DORA reguliert nicht direkt die Technologieanbieter, sondern macht die Finanzinstitute in vollem Umfang für die Widerstandsfähigkeit der von ihnen verwendeten Software verantwortlich. Das ist eine große Sache. Es bedeutet, dass Banken, Versicherer und Fintechs nicht mehr einfach ein Entwicklungsteam auf der Grundlage von Geschwindigkeit oder Budget auswählen können. Wenn Ihr Code in irgendetwas auch nur annähernd Kritisches einfließt - wie Zahlungen, Onboarding, Handelsplattformen - dann muss Ihr Kunde nachweisen, dass die Software sicher, getestet und von Ende zu Ende nachvollziehbar ist.

Wie sieht das nun in der Praxis aus? Beschaffungsteams verlangen jetzt Dinge wie eine sichere SDLC-Dokumentation, automatisierte Testprotokolle und Berichte über Schwachstellen-Scans von vornherein. Verträge werden mit Ausfallsicherheitsklauseln aktualisiert, die alles abdecken, von Backup-Wiederherstellungszeiten bis hin zu Verantwortlichkeiten bei Zwischenfällen. Einige Unternehmen führen sogar gemeinsame Tests mit ihren Anbietern durch, um die Reaktionszeiten unter Stress zu testen. Unterm Strich gilt: Wenn Sie ein Finanzsoftware für einen Kunden, sind Sie jetzt Teil seiner Compliance-Geschichte.

Abschließende Gedanken

Ich hoffe, dass Sie nach diesem Beitrag ein wenig mehr Vertrauen in DORA haben - oder sich zumindest die richtigen Fragen stellen. Und ehrlich gesagt, ist das schon ein großer Schritt. Egal, ob Sie gerade erst anfangen, die Verordnung auszupacken, oder schon knietief in der Umsetzung stecken, der Weg zur Einhaltung der Vorschriften muss nicht überwältigend sein.

Wir von Innowise helfen Ihnen, sich im DORA-Labyrinth zurechtzufinden, eine echte digitale Widerstandsfähigkeit aufzubauen und Ihr Unternehmen nicht nur jetzt, sondern auch in Zukunft zu schützen.

Siarhei Sukhadolski

FinTech-Experte

Siarhei leitet unsere FinTech-Strategie mit fundierten Branchenkenntnissen und einem klaren Blick für die digitale Finanzwelt. Er unterstützt Kunden bei der Bewältigung komplexer Regulierungen und technischer Entscheidungen und entwirft Lösungen, die nicht nur sicher, sondern auch wachstumsorientiert sind.

Inhaltsübersicht

Kontakt aufnehmen

Buchen Sie einen Anruf oder füllen Sie das untenstehende Formular aus und wir werden uns mit Ihnen in Verbindung setzen, sobald wir Ihre Anfrage bearbeitet haben.

Name

Unternehmen

E-Mail

Telefon

Nachricht

Senden Sie uns eine Sprachnachricht

Fügen Sie die Dokumente bei

Datei hochladen

Sie können 1 Datei mit bis zu 2 MB anhängen. Gültige Dateiformate: pdf, jpg, jpeg, png.

Durch Klicken auf Senden erklären Sie sich damit einverstanden, dass Innowise Ihre personenbezogenen Daten gemäß unserer Datenschutzrichtlinie verarbeitet, um Ihnen relevante Informationen zukommen zu lassen. Mit der Angabe Ihrer Telefonnummer erklären Sie sich damit einverstanden, dass wir Sie per Sprachanruf, SMS und Messaging-Apps kontaktieren. Es können Gebühren für Anrufe, Nachrichten und Datenübertragung anfallen.