Was der Beschluss der DORA-Verordnung bedeutet
Die DORA-Verordnung (Digital Operational Resilience Act) ist eine EU-weite Regelung, die darauf abzielt, die digitale operationelle Resilienz von Finanzunternehmen zu stärken. Sie wurde am 14. Dezember 2022 verabschiedet und ist im Januar 2023 in Kraft getreten. Unternehmen sind verpflichtet, die Anforderungen der Verordnung ab Januar 2025 umzusetzen.
Die Einhaltung der DORA ist ein entscheidender Schritt für Finanzinstitute, um Compliance sicherzustellen und Cyberrisiken langfristig zu minimieren.
Wer von der DORA-Richtlinie betroffen ist
Die DORA-Verordnung betrifft alle Finanzunternehmen im Europäischen Wirtschaftsraum. Dazu zählen unter anderem:
- Kredit- und Zahlungsinstitute,
- Versicherungsunternehmen und -vermittler,
- Wertpapierfirmen,
- Kontoinformationsdienstleister,
- E-Geld-Institute,
- Anbieter von Krypto-Dienstleistungen,
- Verwaltungsgesellschaften,
- Ratingagenturen,
- Verbriefungsregister,
- Einrichtungen der betrieblichen Altersversorgung
- und viele weitere Unternehmen.
In Teilen sind auch die IT-Dienstleister (z. B. Clouddienstleister) dieser Unternehmen von der DORA-Verordnung betroffen. EU-weit gelten die Anforderungen von DORA für mehr als 22.000 Organisationen.
Die fünf Säulen von DORA
1) DORA ICT/IKT-Risikomanagement
DORA schreibt den Aufbau eines zentralen Steuerungssystems zur Identifizierung, Bewertung und Minderung von IKT-bezogenen Risiken vor.
Mit Athereon GRC erfassen und bewerten Sie Risiken gemäß einem standardisierten Risikomanagementprozess. Sie erstellen Verknüpfungen mit Assets, Schwachstellen und Maßnahmen über ein zentrales Steuerungssystem.
2) Meldung von IKT-Vorfällen
Unter DORA herrscht die Pflicht zur Überwachung und Meldung relevanter IT-Störungen oder Cyberangriffe an die zuständigen Behörden.
Athereon GRC unterstützt Sie bei der Dokumentation, Klassifikation und Bearbeitung von Sicherheitsvorfällen inkl. Eskalationsmechanismen, Ursachenanalyse und Reportingfunktionen.
3) Resilienz- und Kontinuitätsmanagement
Ebenfalls verpflichtet DORA zu regelmäßigen Tests wie Szenario- und Penetrationstests, um die Stabilität von IT-Systemen sicherzustellen.
Athereon GRC erstellt für Sie anschauliche Abbildungen von BCM-Prozessen zur Sicherstellung kritischer Geschäftsprozesse und Notfallverfahren gemäß ISO 22301.
4) IKT-Drittparteienrisiken
Unter DORA ist die Steuerung von Risiken durch Drittanbieter mit Due-Diligence-Prüfungen, Verträgen und Exit-Strategien vorgeschrieben.
Mit Athereon GRC gelingt Ihnen die Integration von Dienstleistern in das Risiko- und Kontrollsystem inklusive Bewertung und Überwachung ausgelagerter IKT-Dienstleistungen.
5) Informationsaustausch
DORA zielt außerdem auf die Förderung der Zusammenarbeit und des Austauschs über Cyberbedrohungen zur Stärkung der kollektiven Resilienz ab.
Die Optimierung der Prüfbarkeit und Governance gelingt mit Athereon GRC dank der revisionssicheren Dokumentation, Reporting auf Managementebene, Audit-Trails sowie Unterstützung bei der Erstellung von DORA-konformen Berichten für Aufsichtsbehörden.
Stichtag für die Umsetzung
Unternehmen wurden nach Verabschiedung der Richtlinie aufgefordert, die Anforderungen der DORA-Verordnung bis spätestens 17. Januar 2025 vollständig umzusetzen. Die verlängerte Frist für die Einreichung der Informationsregister bei der BaFin lief am 28. April 2025 ab.
Im Dezember 2024 wurde durch ein weiteres Gesetz außerdem beschlossen, dass der Anwendungsbereich von DORA erweitert wird. Die Institute und Organisationen, die in diesem Rahmen der DORA-Richtlinie hinzugefügt wurden, haben bis zum 1. Januar 2027 Zeit, die Anforderungen umzusetzen. Bis dahin gelten für sie die auslaufenden Anforderungen der BAIT.
Konsequenzen bei versäumter Umsetzung der DORA-Verordnung
Finanzielle Strafen
Aufsichtsbehörden wie die BaFin können Bußgelder verhängen, deren Höhe je nach Schwere des Verstoßes variiert. Die genauen Sanktionen sind in den jeweiligen nationalen Rechtsvorschriften geregelt und können bis zu 10 % des gesamten jährlichen Umsatzes des Unternehmens betragen.
Einschränkungen des Geschäftsbetriebs
Bei gravierenden oder anhaltenden Verstößen können Regulierungsbehörden den Betrieb des betroffenen Unternehmens einschränken oder die Nutzung bestimmter IT-Systeme untersagen.
Reputationsschäden
Nicht-Compliance kann das Vertrauen von Kunden, Partnern und Investoren schädigen und langfristige Auswirkungen auf die Marktposition eines Unternehmens haben.
Erhöhtes Cyberrisiko
Ohne die DORA-konformen Schutzmaßnahmen sind Unternehmen anfälliger für Cyberangriffe und IT-Störungen, die zu Datenverlust, finanziellen Verlusten und weiteren regulatorischen Konsequenzen führen können.
Fazit
Die DORA-Richtlinie ist eine EU-weite Verordnung, die die digitale operationelle Resilienz des gesamten Finanzsektor stärken soll und damit mehr als 22.000 Organisationen betrifft. Die Umsetzung im Jahr 2025, spätestens aber bis 2027, birgt große Herausforderungen, aber auch die Chance auf verbesserte Compliance der gesamten Finanzbranche in einer Welt mit zunehmend komplexen Cyberrisiken.
Athereon GRC bietet umfassende Lösungen, um Unternehmen bei der Umsetzung und Einhaltung der DORA-Verordnung zu unterstützen. Durch maßgeschneiderte Beratung und bewährte Strategien ermöglicht Athereon GRC es Organisationen, ihre digitale operationelle Resilienz nachhaltig zu stärken.
Buchen Sie noch heute einen unverbindlichen Beratungstermin.
