DORA Einhaltung: Eine umfassende Checkliste für Unternehmen

Finanzdienstleistungsunternehmen stehen unter dem wachsenden Druck der Aufsichtsbehörden, sich gegen IT-Störungen zu schützen. Da Banken, Versicherer und andere Finanzunternehmen auf komplexe digitale Systeme und externe Technologieanbieter angewiesen sind, ist das Risiko von Cybervorfällen höher denn je. Um dem entgegenzuwirken, setzen Vorschriften wie DORA (Digital Operational Resilience Act) strengere Standards, die sicherstellen, dass Finanzunternehmen Technologieausfällen standhalten und sich schnell davon erholen können.

Dieser Artikel führt Sie durch eine praktische Checkliste zur Einhaltung der DORA-Vorschriften, damit Ihr Unternehmen die Anforderungen Schritt für Schritt erfüllen kann. Unabhängig davon, ob Sie eine Bank, ein Versicherungsunternehmen, ein Technologieanbieter oder eine Aufsichtsbehörde sind, wird in diesem Leitfaden erläutert, was DORA für Sie bedeutet und wie Sie sich vorbereiten können. Am Ende haben Sie ein klares Verständnis des Geltungsbereichs und eine Checkliste zur Einhaltung der Vorschriften - von der Risikobewertung bis zur laufenden Überwachung. Lassen Sie uns eintauchen und die Einhaltung der Vorschriften vereinfachen.

DORA Verstehen

Was ist die DORA Verordnung?

‍

Der Digital Operational Resilience Act (DORA) ist eine neue EU-Verordnung (Verordnung (EU) 2022/2554), die den Finanzsektor vor digitalen Störungen schützen soll. Sie trat im Januar 2023 in Kraft und wird ab dem 17. Januar 2025 in vollem Umfang anwendbar sein, so dass die Unternehmen nur eine begrenzte Zeit haben, sich vorzubereiten. DORA stellt sicher, dass Banken, Wertpapierfirmen, Versicherer, Zahlungsdienstleister und andere Finanzunternehmen ihren Betrieb auch bei größeren IT-Störungen aufrechterhalten können. Durch die Einführung eines einheitlichen Regelwerks in allen EU-Mitgliedstaaten verlagert sich der Schwerpunkt von der reinen Finanzstabilität auf die Gewährleistung der betrieblichen Widerstandsfähigkeit in einer zunehmend digitalen Welt.

Wer ist betroffen?

DORA hat eine weitreichende Wirkung und erfasst etwa 22.000 Unternehmen aus dem Finanz- und Technologiesektor.

Finanzielle Einheiten im Anwendungsbereich

• Banken (Kreditinstitute)
• Versicherungs- und Rückversicherungsunternehmen
• Fondsmanager (AIFMs, OGAW-Verwaltungsgesellschaften)
• Anbieter von Krypto-Vermögensdienstleistungen
• Zahlungsabwickler und E-Geld-Institute
• Handelsplätze und Marktbetreiber
• Zentrale Wertpapierverwahrer (CSDs) und zentrale Gegenparteien (CCPs)
• Wertpapierfirmen und Finanzintermediäre
• Pensionsfonds und Kreditratingagenturen
• Crowdfunding-Dienstleister

IKT-Diensteanbieter

• Cloud-Computing-Unternehmen
• Anbieter von Kernbanken- und Finanzsoftware
• Anbieter von Datenanalysen und Cybersicherheit
• Hosting-Dienste und Rechenzentren
• Andere Technologieanbieter, die Finanzinstitute unterstützen

Regulatorische Aufsicht

• DORA schafft einen EU-weiten Aufsichtsrahmen für von den Regulierungsbehörden benannte "kritische" IKT-Drittanbieter.
• Regulierungs- und Aufsichtsbehörden (z. B. EBA, ESMA, EIOPA, nationale Regulierungsbehörden) werden die Einhaltung der Vorschriften durchsetzen und kritische Technologielieferanten überwachen.

Warum ist die Einhaltung der Vorschriften wichtig?

Die Einhaltung der DORA-Bestimmungen ist aus drei Gründen unerlässlich: aus rechtlichen und betrieblichen Gründen sowie aus Gründen des guten Rufs.

• Rechtliche Verpflichtung
  
  • DORA ist in der gesamten EU rechtsverbindlich.
  • Bei schwerwiegenden Verstößen können Geldstrafen von bis zu 2 % des weltweiten Jahresumsatzes verhängt werden.
    

• Stärkere Operationen
  
  • Hilft bei der Vermeidung von Cyberangriffen, IT-Ausfällen und Serviceunterbrechungen.
  • Erfordert kontinuierliche Risikoüberwachung, Planung der Reaktion auf Zwischenfälle und Belastbarkeitstests, um die Systeme sicher zu halten.
    

• Schutz von Reputation und Vertrauen
  
  • Zeigt Kunden und Aufsichtsbehörden, dass Sie Sicherheit und Stabilität ernst nehmen.
  • Vermeidung von Rufschädigung durch Nichteinhaltung von Vorschriften oder größere IT-Vorfälle.
  • Schafft Vertrauen in einer Zeit, in der digitale Zuverlässigkeit entscheidend ist.

Schlüsselbegriffe in DORA

Um die DORA-Checkliste zu befolgen, ist es wichtig, diese Schlüsselbegriffe zu verstehen:

• IKT-Risiko: Dies bezieht sich auf jede technologiebezogene Bedrohung, die Ihren Geschäftsbetrieb beeinträchtigen könnte. Dazu gehören Cyberangriffe, Systemausfälle und Datenschutzverletzungen - im Grunde alles, was die Sicherheit oder Verfügbarkeit Ihrer IT-Systeme und Daten gefährden könnte.
  
• Kritische oder wichtige Funktionen/Dienstleistungen: Die DORA hebt bestimmte Geschäftstätigkeiten hervor, die für die Stabilität eines Finanzunternehmens wesentlich sind. Wenn diese Funktionen unterbrochen werden, könnte dies erhebliche Auswirkungen auf den Betrieb oder die Kunden haben. Zum Beispiel Online-Banking für eine Bank oder Transaktionsverarbeitung für ein Zahlungsunternehmen. Diese kritischen Dienste müssen besonders geschützt werden, und die Aufsichtsbehörden werden sie genau überwachen.
  
• Größere ICT-bezogene Vorfälle und Berichterstattung: DORA hat strenge Regeln für die Meldung größerer IT-Störungen. Wenn ein Cyberangriff oder ein Systemausfall erhebliche Auswirkungen auf kritische Abläufe hat, müssen Unternehmen dies schnell melden - manchmal innerhalb von Stunden. Folgeberichte sind in der Regel innerhalb von drei Tagen und ein Abschlussbericht innerhalb eines Monats erforderlich. Um diese Anforderungen zu erfüllen, benötigen Unternehmen einen klaren Prozess, um Vorfälle rechtzeitig zu erkennen, zu bewerten und zu melden.

Eine Checkliste zur DORA-Einhaltung: Schritt für Schritt

Die Einhaltung der DORA-Vorschriften kann sich entmutigend anfühlen, aber die Unterteilung in überschaubare Schritte macht den Prozess klar und umsetzbar. Im Folgenden finden Sie eine siebenstufige Checkliste zur Einhaltung der DORA-Vorschriften, die Ihre Organisation bei der Vorbereitung, Umsetzung und laufenden Einhaltung der Vorschriften unterstützt.

1. Bewerten Sie Ihren aktuellen Compliance-Status
   Beginnen Sie damit, Ihren derzeitigen Zustand anhand der wichtigsten Anforderungen von DORA zu bewerten.
   
   Zusammenstellung eines funktionsübergreifenden Teams (IT, Cybersicherheit, Compliance, Betrieb) zur Durchführung einer Lückenanalyse und zur Ermittlung verbesserungswürdiger Bereiche.
   
   Prüfen Sie zum Beispiel, ob Sie Folgendes haben:
   ✅ eine solide Bestandsaufnahme der kritischen Geschäftsdienste
   ✅ klar dokumentierte Verfahren zur Eskalation von Vorfällen
   
   Überprüfen Sie Ihre bestehenden Sicherheitskontrollen, Prüfungsergebnisse und informelle Prozesse, die möglicherweise mehr Struktur benötigen.
   
   Diese gründliche Bewertung wird dazu beitragen, risikoreiche Lücken zu ermitteln, die sofortiger Aufmerksamkeit bedürfen.

2. Regulatorische Anforderungen abbilden
   Sobald Sie Ihre Ausgangsbasis festgelegt haben, übersetzen Sie die DORA-Vorschriften in spezifische Verpflichtungen für Ihre Einrichtung.
   Überprüfen Sie jeden Bereich:
   • IKT-Risikomanagement
   • Berichterstattung über Vorfälle
   • Belastbarkeitstests
   • Risiko für Dritte
   • Austausch von Informationen
   Skizzieren Sie die erforderlichen Compliance-Praktiken. Wenn möglich, integrieren Sie diese in bestehende Rahmenwerke wie ISO/IEC 27001, PSD2 und EBA-Leitlinien.
   
   Wenn Sie beispielsweise bereits über eine Richtlinie zur Reaktion auf Vorfälle verfügen, stellen Sie sicher, dass diese auch die von DORA vorgeschriebenen externen Meldepflichten und Fristen enthält.
   
   Indem Sie den Text der Vorschriften mit Ihren internen Kontrollen abgleichen, schaffen Sie einen klaren Fahrplan für die Schließung von Compliance-Lücken.

3. Entwicklung eines umfassenden Rahmens für das Risikomanagement
   Verbessern Sie jetzt Ihr IKT-Risikomanagement, damit es den DORA-Standards entspricht.
   
   ✅ Identifizierung der Hauptrisiken - Cyberangriffe, Technologieausfälle und Schwachstellen bei Dritten
   ✅ Bewertung ihrer Auswirkungen auf kritische Dienste
   ✅ Festlegung von Strategien zur Risikominderung, wie z. B.:
   • Zugangskontrollen
   • Überwachung des Netzes
   • Spielbücher für Vorfälle
   Stellen Sie sicher, dass Ihr Rahmenwerk das Risiko von Drittanbietern berücksichtigt, indem Sie die Widerstandsfähigkeit von Anbietern bewerten und in Verträgen die Meldung von Vorfällen vorschreiben. Verankern Sie diese Praktiken in der Risikosteuerung des Unternehmens, wobei die Geschäftsleitung die Aufsicht hat.

4. Umsetzung von Resilienz- und Wiederherstellungsstrategien
   Ein solider Plan muss praktische Resilienzmaßnahmen enthalten.
   DORA schreibt gründliche Tests vor, die Folgendes umfassen:
   • Schwachstellenanalysen
   • Penetrationstests
   • Szenariobasierte Übungen zur Notfallwiederherstellung
   Überprüfen Sie regelmäßig die Backups, um die von Ihnen festgelegten Wiederherstellungszeitziele zu erreichen.
   
   Schließen Sie einzelne Fehlerquellen aus, indem Sie mehrere Rechenzentren oder redundante Netzwerkanbieter verwenden.
   
   Verfeinern Sie Ihre Ausfallsicherheitsstrategien kontinuierlich auf der Grundlage von Tests und realen Vorfällen, um eine schnelle Wiederherstellung bei Störungen zu gewährleisten.

5. Laufende Überwachung und Berichterstattung einrichten
   Die Einhaltung von Vorschriften ist keine einmalige Aufgabe, sondern erfordert eine kontinuierliche Überwachung.
   
   Richten Sie Echtzeit-Risikoerkennungs-Tools wie SIEM-Lösungen ein, um Anomalien frühzeitig zu erkennen.
   
   Verfolgen Sie wichtige Leistungsindikatoren (KPIs) wie z. B.:
   📌 Häufigkeit von Vorfällen
   📌 Reaktionszeiten
   📌 SLA-Leistung des Anbieters
   
   Planen Sie regelmäßige interne Audits, um die Einhaltung der Vorschriften zu gewährleisten.
   
   Informieren Sie die Unternehmensleitung und die Aufsichtsbehörden mit präzisen, aber gründlichen Berichten. Ziehen Sie auch die Teilnahme an Gruppen zum Informationsaustausch in der Branche in Betracht, um neuen Bedrohungen immer einen Schritt voraus zu sein.

6. Sicherstellung einer wirksamen Governance und Aufsicht
   DORA legt die Verantwortlichkeit auf die höchste Ebene Ihrer Organisation.
   
   Die Geschäftsleitung und der Vorstand müssen:
   ✔ den Rahmen für das IKT-Risikomanagement formell genehmigen
   ✔ Regelmäßige Überprüfung der operativen Belastbarkeitsmetriken
   ✔ über kritische Vorfälle informiert bleiben
   
   Vergeben Sie klare Rollen und Verantwortlichkeiten für:
   • Risikobewertungen
   • Eskalation von Vorfällen
   • Verwaltung der Lieferanten
   Stellen Sie sicher, dass der Aufsicht über Dritte angemessene Aufmerksamkeit gewidmet wird, da DORA eine strenge Prüfung kritischer IKT-Anbieter verlangt. Eine spezielle Compliance-Gruppe kann dabei helfen, diese Bemühungen zu koordinieren und die Führungskräfte auf dem Laufenden zu halten

7. Prozesse dokumentieren und auf Audits vorbereiten
   Führen Sie detaillierte Aufzeichnungen, um die Einhaltung der DORA-Vorschriften nachzuweisen.
   
   Alles dokumentieren:
   ✅ Richtlinien und Risikobewertungen
   ✅ Testergebnisse und Ereignisprotokolle
   ✅ Sitzungsprotokolle mit wichtigen Entscheidungen zur Einhaltung der Vorschriften
   
   Vergewissern Sie sich regelmäßig, dass Nachweise - wie z. B. Backup-Übungen und Zugriffsüberprüfungen - sicher aufbewahrt werden und für Audits leicht abrufbar sind.
   
   Führen Sie Scheininspektionen durch, um Ihre Auditbereitschaft zu testen.
   
   Eine ordnungsgemäße Dokumentation ist der beste Beweis dafür, dass Sie sich für die digitale Ausfallsicherheit einsetzen.

Bewährte Praktiken zur Aufrechterhaltung der DORA-Konformität

Die Einhaltung der Vorschriften bis zum Stichtag zu erreichen, ist nur die halbe Miete; die Aufrechterhaltung der Vorschriften bei sich verändernden Bedrohungen und geschäftlichen Veränderungen ist die nächste Herausforderung. Im Folgenden finden Sie einige bewährte Verfahren, mit denen Sie sicherstellen können, dass Ihr DORA-Konformitätsprogramm langfristig wirksam und aktuell bleibt:

1. Richtlinien und Pläne auf dem neuesten Stand halten
   Ihre IKT-Risikorichtlinien, Notfallpläne und Kontinuitätspläne sollten regelmäßig überprüft und aktualisiert werden - mindestens einmal im Jahr oder immer dann, wenn es in Ihrer IT-Umgebung eine größere Veränderung gibt. Zum Beispiel:
   • Wenn Sie einen neuen Cloud-Dienst einführen, aktualisieren Sie Ihre Risikorichtlinien für Dritte, um ihn einzubeziehen.
   • Wenn die Aufsichtsbehörden eine DORA-Richtlinie klarstellen, sollten Sie diese Änderung in Ihren internen Verfahren berücksichtigen.
   • Planen Sie Sitzungen zur Überprüfung der Richtlinien (alle 6-12 Monate), um sicherzustellen, dass Ihre Maßnahmen zur Einhaltung der Vorschriften aktuell bleiben.
   
   

2. Kontinuierliche Schulung und Sensibilisierung
   Ihre Mitarbeiter spielen eine entscheidende Rolle bei der Aufrechterhaltung der Resilienz. Damit sie DORA und ihre Verantwortung verstehen:
   • Bieten Sie allgemeine Sensibilisierungsschulungen für alle Mitarbeiter an, damit sie IT-Risiken erkennen und melden können.
   • Durchführung spezieller Workshops für IT-Teams über die Meldung von Zwischenfällen und bewährte Verfahren der Cybersicherheit.
   • Aufnahme von Compliance-Schulungen in den Einführungsprozess für neue Mitarbeiter.
   • Führen Sie regelmäßig Schulungen und Übungen zur Reaktion auf Zwischenfälle durch, um das Gelernte zu festigen.
   Wenn Führungskräfte und Vorstandsmitglieder über neue IKT-Risiken auf dem Laufenden gehalten werden, trägt dies auch dazu bei, dass die Bemühungen um die Einhaltung der Vorschriften auf höchster Ebene unterstützt werden.

3. Technologie für Compliance nutzen
   Da die Anforderungen an die Einhaltung von Vorschriften zunehmen, kann die Technologie den Prozess vereinfachen:
   • Systeme zur Verwaltung von Zwischenfällen erstellen automatisch Berichte und benachrichtigen die Aufsichtsbehörden, wenn ein größerer Zwischenfall eintritt.
   • Tools zur Risikobewertung suchen kontinuierlich nach Schwachstellen und ordnen sie den Compliance-Anforderungen zu.
   • Risikomanagement-Plattformen von Drittanbietern überwachen die Sicherheitspraktiken der Anbieter und automatisieren die Überprüfung der Einhaltung der Vorschriften.
   • Dashboards zur Einhaltung von Vorschriften bieten Echtzeiteinblicke in Ihre Ausfallsicherheit.
   • Dokumentenmanagementsysteme helfen bei der Verfolgung von Richtlinien, Versionskontrolle und Schulungsunterlagen.
   • Tools für die Vertragsverwaltung optimieren die Einhaltung von Vorschriften, indem sie Vereinbarungen zentralisieren, Verlängerungen automatisieren und Verpflichtungen verfolgen.
   Investitionen in die richtigen Werkzeuge können die Einhaltung von Vorschriften optimieren und gleichzeitig die Sicherheit und die betriebliche Widerstandsfähigkeit stärken.

4. Bleiben Sie auf dem Laufenden über regulatorische Updates
   Die DORA-Vorschriften werden sich im Laufe der Zeit weiterentwickeln, da die europäischen Regulierungsbehörden neue Leitlinien und technische Standards einführen. Um einen Schritt voraus zu sein:
   • Verfolgen Sie die Ankündigungen und Aktualisierungen von Vorschriften.
   • Abonnieren Sie Newsletter zur Einhaltung von Vorschriften und besuchen Sie Webinare der Branche.
   • Treten Sie Verbänden oder Arbeitsgruppen bei, die sich mit operativer Resilienz befassen.
   Ein proaktives statt reaktives Vorgehen trägt dazu bei, dass Ihr Compliance-Programm effektiv bleibt.

5. Zusammenarbeiten und Informationen austauschen
   DORA ermutigt Finanzinstitute zum Austausch von Informationen über Cyber-Bedrohungen und bewährte Verfahren. Die Zusammenarbeit mit anderen Organisationen kann dabei helfen:
   • Lernen Sie von den Erfahrungen anderer und vermeiden Sie häufige Fallstricke.
   • Verbessern Sie Ihre Verteidigungsmaßnahmen auf der Grundlage realer Vorfälle.
   • Teilnahme an branchenweiten Cybersimulationen, um die Bereitschaft zu testen.
   Der Aufbau eines starken Netzwerks der Zusammenarbeit stärkt die Widerstandsfähigkeit der gesamten Branche.

6. Regelmäßige Neubewertung der Einhaltung der Vorschriften
   Überprüfen Sie Ihre Compliance-Checkliste regelmäßig - jährlich oder nach größeren geschäftlichen Veränderungen. Führen Sie kleine Lückenanalysen durch, um sicherzustellen, dass Sie nicht von der Compliance abgewichen sind. Da sich Unternehmen weiterentwickeln und Cyber-Bedrohungen sich ständig ändern, sollten Sie die Einhaltung der Vorschriften als einen kontinuierlichen Zyklus betrachten:
   Bewerten → Umsetzen → Überwachen → Erneut bewerten.

Compliance als Wettbewerbsvorteil

Auch wenn die Einhaltung von Vorschriften nur wie eine weitere Vorschrift erscheinen mag, profitieren Unternehmen, die sie ernst nehmen, oft in mehrfacher Hinsicht:

• Höhere Effizienz durch klarere Prozesse und modernere Technologie.
• Stärkeres Vertrauen von Kunden und Aufsichtsbehörden.
• Mehr Innovation durch Freisetzung von Ressourcen, die zuvor für das Krisenmanagement aufgewendet wurden.

Durch die Einführung dieser bewährten Praktiken kann die Einhaltung der DORA-Vorschriften zu einer Triebfeder für die Widerstandsfähigkeit und das Wachstum des Unternehmens werden und nicht nur zu einer Belastung durch Vorschriften.