DORA: Fünf Gelegenheiten, um Cybersicherheit und Resilienz zu erhöhen
Der Digital Operational Resilience Act (DORA) gilt seit dem 17. Januar 2025 und betrifft nicht nur Finanzdienstleister, sondern auch deren IT-Partner. Für viele überraschend: Auch indirekte Anbieter wie IT-Sicherheitsplattformen sind betroffen. DORA ist Chance und Pflicht zugleich, um Cyberresilienz zu stärken.
DORA verfolgt das Ziel, die digitale Betriebsstabilität im Finanzsektor europaweit zu harmonisieren. Bei Verstößen drohen Strafen von bis zu zwei Prozent des weltweiten Umsatzes. Wichtig ist aber: Sanktionen sollen nur als letztes Mittel eingesetzt werden. Im Vordergrund steht die Erwartung, dass Organisationen konkrete Schritte unternehmen, um ihre Resilienz zu verbessern.
Die Herausforderungen für Finanzakteure und IT-Dienstleister sind dabei vielfältig – und bieten zugleich fünf zentrale Chancen, um Sicherheit und Widerstandskraft spürbar zu steigern.
1. Abhängigkeiten verstehen – Risiken beherrschen
Die Finanzbranche ist hochgradig digitalisiert und stark vernetzt. Unterbrechungen in IT-Systemen wirken sich schnell auf andere Sektoren aus – vom Zahlungsverkehr bis zur Energieversorgung. Dabei sind viele Prozesse von Drittparteien abhängig: Cloud-Anbieter, Plattformdienste, Softwarelieferanten oder Telekommunikationsunternehmen.
DORA verlangt, dass Organisationen ihre IT-Risiken systematisch erfassen, klassifizieren und steuern. Nur wer seine digitalen Assets kennt, kann Schwachstellen erkennen und absichern. Dafür braucht es eine fundierte Risikobewertung, technische Schutzmaßnahmen und kontinuierliches Monitoring.
2. Drittparteien im Griff behalten
Ein zentrales Element der DORA-Vorgaben ist das Management von Abhängigkeiten zu externen Dienstleistern. Denn jeder Zulieferer kann zur Schwachstelle werden – sei es durch Sicherheitslücken, mangelhafte Verträge oder fehlende Kontrollmechanismen.
Organisationen müssen deshalb genau dokumentieren, mit welchen Drittparteien sie zusammenarbeiten, welche Leistungen erbracht werden, wie Risiken bewertet werden und welche Schutzmaßnahmen bestehen. Diese Informationen werden in einem „Register of Information“ gebündelt – als Basis für Audits, interne Prüfungen und Notfallmanagement.
3. Reaktionsfähigkeit stärken
Auch bei bester Vorbereitung lassen sich Vorfälle nicht immer verhindern. Umso wichtiger ist ein durchdachtes Incident Management. DORA fordert hierfür klar definierte Abläufe zur Erkennung, Klassifizierung, Eskalation und Meldung von Sicherheitsvorfällen.
Tabletop-Übungen und Simulationsszenarien helfen dabei, alle Beteiligten auf den Ernstfall vorzubereiten. So wird sichergestellt, dass technische, organisatorische und kommunikative Prozesse reibungslos ineinandergreifen – und Vorfälle schnell eingedämmt werden können.
4. Veränderungen kontrolliert umsetzen
In dynamischen IT-Umgebungen gehören Updates, neue Softwarelösungen oder Infrastrukturänderungen zum Alltag. Doch jede Veränderung birgt neue Risiken.
DORA verpflichtet Unternehmen dazu, ein strukturiertes Change Management einzuführen. Vor jeder Änderung müssen Auswirkungen analysiert, Genehmigungen eingeholt und Schutzmaßnahmen geplant werden. Auch Tests vor und nach der Einführung sind Pflicht. Nur so lassen sich Sicherheitslücken im Wandel zuverlässig vermeiden.
5. Transparenz durch systematische Dokumentation
Ein zentraler Aspekt der DORA-Compliance ist die Nachvollziehbarkeit. Sicherheitsmaßnahmen, Risikobewertungen, Dienstleisterinformationen und Vorfallsberichte müssen vollständig, konsistent und regelmäßig aktualisiert dokumentiert werden.
Das „Register of Information“ bildet dabei das Rückgrat aller Nachweise: Es zeigt, wie Risiken identifiziert, bewertet und reduziert werden – und liefert Prüfern wie auch internen Auditoren den nötigen Überblick. Auch beim Personalwechsel ist eine solide Dokumentation Gold wert, um Wissen im Unternehmen zu halten.
Fazit: Compliance als strategische Chance
DORA ist mehr als eine Regulierungsmaßnahme – es ist ein Rahmen für mehr digitale Sicherheit und unternehmerische Stabilität. Wer die neuen Vorgaben proaktiv nutzt, stärkt nicht nur seine Abwehr gegen Cyberangriffe, sondern verbessert auch Transparenz, Reaktionsfähigkeit und Vertrauen bei Kunden und Partnern.
Gerade in einem hochgradig vernetzten Sektor wie dem Finanzwesen kann DORA damit zum Katalysator für eine nachhaltige Sicherheitsstrategie werden – über gesetzliche Mindestanforderungen hinaus.
Nicholas Jackson, Director of Cyber Security Services, Bitdefender
Newsletter Abonnieren
Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.
