DORA explained: Was regelt der Digital Operational Resilience Act?

Der EU Digital Operational Resilience Act (DORA) für den Finanzsektor ist im Januar 2023 in Kraft getreten und schafft EU-weit einheitliche Vorgaben für IT-Risikomanagement und IT-Governance. Die darin enthaltenen Regelungen umfassen immerhin 79 Seiten und müssen von Unternehmen bis Januar 2025 umgesetzt werden.

Betroffen sind alle Finanzunternehmen in der EU sowie deren IT-Dienstleister. Wenn Ihr Unternehmen dazugehört, erfahren Sie in diesem Artikel, welche Maßnahmen Sie bis Januar 2025 umsetzen müssen.

Für wen gilt DORA?

Es gibt mehr Bedrohungen im Internet als je zuvor – das hat zum Beispiel das Bundesamt für Sicherheit in der Informationstechnik (BSI) Ende 2022 in seinem Lagebericht festgestellt. Gleichzeitig laufen immer mehr Prozesse in Wirtschaft und Verwaltung nur noch digital ab – Angriffe „im Internet“ sind also bei weitem nicht mehr auf das Internet begrenzt, sondern betreffen alle Bereiche des öffentlichen und privaten Lebens.

Die Finanzbranche steht besonders im Fokus von Angreifern, zum einen, weil ganz konkreter finanzieller Gewinn lockt, zum anderen, weil Finanz- und Versicherungswesen als besonders verwundbare Bereiche in jeder Volkswirtschaft auch beispielsweise für Angreifer von staatlicher oder halbstaatlicher Seite (etwa im aktuellen Ukrainekrieg) attraktiv sind.

Die neue Verordnung DORA fokussiert auf genau diesen Bereich: die Finanz- und Versicherungsbranche, darunter Banken und Kreditinstitute, Wertpapierfirmen, Handelsplätze, Versicherungs- und Rückversicherungsunternehmen, aber auch Krypto- oder Crowdfunding-Dienstleister, Ratingagenturen und weitere. Außerdem fallen IT-Dienstleister für die vorgenannten Unternehmen unter die Regelungen in DORA. EU-weit sind das insgesamt etwa 22.000 Unternehmen.

Auch IT-Dienstleister betroffen

Die Definition der IT-Dienstleister für Unternehmen der Finanz- und Versicherungsbranche – oder im Sprachgebrauch von DORA „IKT-Drittdienstleister“ – wurde übrigens im Laufe der Entwicklung von DORA noch einmal deutlich erweitert. In der finalen Fassung umfassen die IKT-Drittdienstleister „alle digitalen Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardware-Dienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste“. In früheren Fassungen waren Anbieter von Hardware noch nicht mit eingeschlossen.

Im einleitenden Artikel 4 von DORA ist außerdem der Grundsatz der Verhältnismäßigkeit festgelegt: Die betroffenen Unternehmen sollen die Vorschriften in angemessener Weise entsprechend ihrer „Größe und ihrem Gesamtrisikoprofil sowie der Art, dem Umfang und der Komplexität ihrer Dienstleistungen, Tätigkeiten und Geschäfte“ umsetzen.

Gewisse Ausnahmen von den Verpflichtungen nach DORA gibt es beispielsweise für kleine Unternehmen und Kleinstunternehmen im Versicherungsbereich. Kleinstunternehmen sind solche, die weniger als zehn Mitarbeiter und weniger als 2 Millionen EUR Jahresumsatz aufweisen. Kleine Unternehmen haben weniger als 50 Mitarbeiter und weniger als 10 Millionen Jahresumsatz.

Risikomanagement, Testen der Resilienz, Berichterstattung

Ähnlich wie die Datenschutzgrundverordnung (DSGVO) handelt es sich bei DORA – zu Deutsch „Verordnung über die digitale operationale Resilienz im Finanzsektor“ – um eine EU-Verordnung, die anders als eine EU-Richtlinie sofortige rechtliche Wirkung in den EU-Mitgliedsstaaten hat, somit natürlich auch in Deutschland. 

Zu DORA gibt es allerdings zusätzlich noch eine Richtlinie, die aktuell in das Recht der Mitgliedsstaaten umgesetzt wird. Auch hierzu gilt eine Frist bis Januar 2025, die allerdings die gesetzgebenden Organe der jeweiligen Länder beachten müssen, nicht die Unternehmen.

Die Verordnung enthält insgesamt 45 Artikel, die in die folgenden Kapitel eingeteilt sind (die Artikel 1 bis 4 enthalten Erwägungsgründe, Geltungsbereich, Definitionen und andere einführende Bemerkungen):

IKT-Risikomanagement (Artikel 5 bis 16) und Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle (Artikel 17 bis 23)

DORA fordert von Unternehmen die systematische Identifizierung von Risiken, Maßnahmen zu Schutz und Prävention, die frühzeitige Erkennung von Incidents sowie Gegenmaßnahmen und Wiederherstellung.

Aus stattgehabten Vorfällen soll gelernt und die Prozesse stetig weiterentwickelt und transparent kommuniziert werden.

Eine Meldepflicht, der bisher nur Betreiber kritischer Infrastrukturen in der Branche unterlagen, wird jetzt auf alle Unternehmen ausgeweitet. Empfänger dieser Meldungen ist die BaFin, die diese an das BSI weiterleiten wird. Diese Meldepflicht ersetzt die Meldepflicht nach NIS an das BSI.

Testen der digitalen operationalen Resilienz (Artikel 24 bis 27)

Die unter DORA fallenden Unternehmen sind verpflichtet, ihre digitale operationale Resilienz regelmäßig zu testen. Es wird dabei ausdrücklich auf das TIBER-Rahmenwerk verwiesen.

Auch hier gilt der Grundsatz der Verhältnismäßigkeit – so müssen etwa Kleinstunternehmen ein geringeres Testprogramm absolvieren, sind aber von der prinzipiellen Testpflicht nicht ausgenommen.

Management des IKT-Drittparteienrisikos (Artikel 28 bis 44)

Nach DORA muss eine Risikoanalyse seitens des beauftragenden Unternehmens schon vor Vertragsschluss mit einem IKT-Drittanbieter stattfinden. Bestehende Verträge werden in einem Vertragsregister veröffentlicht. Auch für die Zeit nach dem Vertrag ist vorzusorgen: Es muss eine sogenannte Ausstiegsstrategie definiert werden. Der Drittanbieter muss sich seinerseits verpflichten, dem Drittanbieter bei Vorfällen Unterstützung zu leisten.

Vereinbarungen über den Austausch von Informationen (Artikel 45)

Hier wird der Austausch von Informationen zu Cyberbedrohungen von Unternehmen untereinander geregelt.

Man sieht: Viele Vorgaben in DORA sind nicht neu, sondern schon anderweitig innerhalb der EU eingeführt worden. So bezieht sich DORA beim Thema Pentesting und Testung der Resilienz mehrfach ausdrücklich auf das TIBER-Framework. Zudem werden Sie viele Inhalte, etwa zum Thema Vorfälle und Berichterstattung, aus den diversen KRITIS-Regelungen und dem IT-Sicherheitsgesetz 2.0 sowie aus den Bankaufsichtlichen Anforderungen an die IT der BaFin wiedererkennen.

DORA-Umsetzung mit der Outpost24 Gruppe

Bei der Umsetzung von DORA geht es also weniger um die Schaffung völlig neuer Prozesse und Strukturen als vielmehr um die Ermittlung der konkret anzuwendenden Regeln für das eigene Unternehmen sowie eine Analyse, was bereits vorhanden ist und was noch fehlt.

Hierbei steht Ihnen Outpost24 als kompetenter Partner zur Verfügung. Kontaktieren Sie uns kurzfristig zur Vereinbarung eines unverbindlichen Beratungsgesprächs – noch ist genug Zeit, um Ihre DORA-Compliance ohne Stress sicherzustellen.