DORA Verordnung - Digital Operational Resilience Act

DORA ist eine regulatorische Initiative der Europäischen Union, um die digitale, betriebliche Resilienz von Finanzunternehmen zu stärken.

Der Digital Operational Resilience Act (DORA) stellt für den europäischen Finanzsektor eine bedeutende Herausforderung dar, da er umfassende Anforderungen an die digitale Resilienz formuliert. Die Verordnung der Europäischen Kommission tritt am 17. Januar 2025 vollständig in Kraft und verlangt von Finanzinstituten sowie IKT-Dienstleistern, ihre Prozesse schnellstmöglich an die neuen Vorgaben anzupassen. Wichtige Aspekte wie Business Continuity Management, Threat-Led Penetration Testing und Third Party Risk Management werden dabei vertieft behandelt. Die EU Verordnung zielt darauf ab, für den Finanzsektor die Widerstandsfähigkeit gegen Cyberangriffe zu erhöhen und das Vertrauen der Verbraucher und Investoren in digitale Finanzdienstleistungen zu stärken.

  1. Finanzinstitute müssen wirksame IKT-Risikomanagement-Rahmenregelungen, -Richtlinien und -Verfahren einführen und aufrechterhalten, um IKT-bezogene Risiken zu erkennen, zu bewerten, zu steuern und zu mindern.
  1. Die Institute sind verpflichtet, wesentliche IKT-bezogene Vorfälle unverzüglich an die zuständigen Behörden zu melden, um eine koordinierte Reaktion und eine Analyse potenzieller Systemrisiken zu ermöglichen.
    • Eine starke interne Governance-Struktur ist erforderlich, um sicherzustellen, dass IT-Risiken effektiv verwaltet werden und die Einhaltung der Vorschriften gewährleistet ist.
  1. Regelmäßige Tests und Bewertungen der Betriebsstabilität der Institute sind obligatorisch, um sicherzustellen, dass sie IKT-bezogene Vorfälle wirksam erkennen, eindämmen, wiederherstellen und beheben können.
  1. Die Finanzinstitute müssen die mit Drittanbietern, beispielsweise Cloud-Anbietern, verbundenen Risiken überwachen und steuern und sicherstellen, dass deren Maßnahmen zur digitalen Widerstandsfähigkeit ebenfalls mit den Anforderungen der DORA übereinstimmen.

  1. Das Testen als ein Instrument für Finanzunternehmen (und die Aufsicht) um zu überprüfen, ob das Ziel der digitalen operationalen Resilienz erreicht wird, fordert auch gezielte, regelmäßige Pentests.

DORA verpflichtet unter anderem zu Pentests

Finanzunternehmen haben ein Programm für Tests der digitalen operationalen Resilienz zu etablieren und zu pflegen.

  • Das Testprogramm ist integraler Bestandteil des Risikomanagementrahmens für Informations-und Kommunikationstechnologien (IKT) (Art. 6(5) DORA)
  • Das Testprogramm hat das Ziel IKT-Systeme, -Prozesse und Mitarbeitende auf die Effizienz der Fähigkeiten für Prävention, Erkennung, Reaktion und Wiederherstellung zu testen, um potenzielle Schwachstellen aufzudecken und zu beseitigen

Das Testprogramm umfasst eine breite Palette von Instrumenten und Maßnahmen:

  • von grundlegenden Tests von Schwachstellenbewertung und -scans, bis Penetrationstests für alle Finanzunternehmen (Art. 25 DORA)
  • bis zu erweiterten Tests wie TLPT -nur für Finanzunternehmen, die aus IKT-Perspektive ausgereift genug und von gewisser systemischer Relevanz sind (Art. 26 DORA)

DORA-Compliance für Unternehmen

Regulatorische Pflichten erfüllen & gleichzeitig die Informationssicherheitsstrategie optimieren.

  • ISO 27001: Ein international anerkannter Standard für Informationssicherheits-Managementsysteme, der besonders für global tätige Unternehmen relevant ist.
  • BSI IT-Grundschutz: Ein umfassender Rahmen, der speziell auf die Anforderungen deutscher Unternehmen und Institutionen zugeschnitten ist.

Ob Sie sich für die Implementierung nach der internationalen Norm ISO 27001 oder BSI IT-Grundschutz entscheiden – unsere Beratung ist flexibel und richtet sich nach den individuellen Anforderungen Ihres Unternehmens. Unsere erfahrenen Berater nutzen Mapping-Tabellen, um die Anforderungen der DORA mit bewährten Sicherheitsstandards zu verknüpfen.

Dora Audit | aktuellen Reifegrad bestimmen

Wir bestimmen mit Ihnen den Reifegrad der DORA-Anforderungen um die Informationssicherheit in Ihrer Organisation zu verbessern und erste Schritte zur Umsetzung der regulatorischen Pflichten zu ermöglichen. Darüber hinaus priorisieren wir die Maßnahmen, die für eine konforme Umsetzung relevant sind.

  • Risikomanagement
  • IT-Vorfälle und Meldepflichten
  • Tests und Notfallpläne
  • Governance und Kontrolle
  • Drittanbieter-Risiko
  • Bessere Vorbereitung des Projekts durch Statusanalyse
  • Auditbericht und Abschlussbericht
  • Differenziertes Vorgehen auf Basis der Ergebnisse
  • genauere Kalkulation des Projekts anhand der erhobenen Daten

DORA Audit

2.990
  • Kick Off
  • Analyse
  • Ergebnis
direkt buchen/anfragen
alle Preise zzgl. der ges. MwSt.
Festpreis

DORA-Pentests | TLPT im Rahmen von DORA

„Bedrohungsorientierte Penetrationstests (TLPT Threat Led Penetration Testing) beschreibt einen Rahmen, der Taktik, Techniken und Verfahren realer Angreifer, die als echte Cyberbedrohung empfunden werden, nachbildet und einen kontrollierten, maßgeschneiderten, erkenntnisgestützten Red Team Test der kritischen Live Produktionssysteme des Finanzunternehmens ermöglicht“. 

Quelle: DORA, Art. 3 (17) Definitionen

TLPT

Threat Led Penetration Testing
  • Kick Off zum Testumfang
  • Red Team Test
  • Ergebnisbericht
direkt anfragen
Pentest

Ihr Ansprechpartner

Alexander Nolte

kostenloses Expertengespräch

DORA Geltungsbereich

Finanzunternehmen Art. 2 (1 2) und IKT Drittdienstleister Art. 2 (1u)

DORA reguliert zwei Arten von Unternehmen in der EU: Finanzunternehmen (financial entities), die direkt betroffen sind, und indirekt IKT-Drittdienstleister (ICT third-party service providers).

  1. Kreditinstitute
  2. Zahlungsinstitute, einschließlich Zahlungsinstitute, die gemäß der Richtlinie (EU) 2015/2366 ausgenommen sind
  3. Anbieter von Kontoinformationsdiensten
  4. E-Geld-Institute, einschließlich E-Geld-Institute, die gemäß der Richtlinie 2009/110/EG ausgenommen sind
  5. Wertpapierfirmen
  6. Krypto-Vermögenswert-Dienstleister und Emittenten von vermögenswertbezogenen Token
  7. zentrale Wertpapierverwahrer
  8. zentrale Gegenparteien
  9. Handelsplätze
  10. Transaktionsregister
  11. Verwalter von alternativen Investmentfonds
  12. Verwaltungsgesellschaften
  13. Anbieter von Datenübermittlungsdiensten
  14. Versicherungs- und Rückversicherungsunternehmen
  15. Versicherungsvermittler, Rückversicherungsvermittler und Vermittler von Versicherungsnebenleistungen
  16. Einrichtungen der betrieblichen Altersversorgung
  17. Kredit-Rating-Agenturen
  18. Verwalter von kritischen Benchmarks
  19. Anbieter von Crowdfunding-Dienstleistungen
  20. Verwahrstellen für Verbriefungen
  21. IKT-Drittdienstleister
  1. Unternehmen, die IKT-Dienstleistungen bereitstellen: Art. 3 Nr. 19
    Digitale Dienste und Datendienste, die über IKT-Systeme internen oder externen Nutzern bereitgestellt werden, einschließlich Hardware und technischer Unterstützung durch Hardwareanbieter und Software- oder Firmware-Aktualisierungen Art. 3 Nr. 21
    • Verwalter alternativer Investmentfonds Art. 3 (2) Richtlinie 2011/61/EU
    • Versicherungs- und Rückversicherungsunternehmen Art. 4 Richtlinie 2009/138/EU
    • Einrichtungen der betrieblichen Alterversorgung mit weniger als 15 Versorgungsanwärtern
    • Art. 2, 3 Richtlinie 2014/65/EU ausgenommene natürliche oder juristische Personen
    • Versicherungsvermittler, wenn Kleinst- oder kleine/mittlere Unternehmen
    • Postgiroämter Art. 2 (5) 3. Richtlinie 2013/36/EU

IT-Sicherheitsbeauftragter

Mehr Sicherheit durch einen ISB "as a Service" oder Co-Berater für Ihren ISB.
Mehr erfahren

auch interessant

NIS2
M365 Sicherheit
BCM