DORA: Warum Europas neue Cybersicherheits-Verordnung nicht nur den Finanzsektor vor Herausforderungen stellt

Die Regeln, die mit dem im Jahr 2020 eingeführten und 2023 in Kraft getretenen Digital Operational Resilience Act (DORA) europaweit greifen, sind eigentlich hinlänglich bekannt. Und doch stellt die neue Verordnung, die nun am 17. Januar 2025 verpflichtend wurde, viele Unternehmen vor große Herausforderungen. DORA markiert einen Wendepunkt für die digitale Sicherheit im europäischen Finanzsektor. Denn die EU-Verordnung zielt in erster Linie darauf ab, die Widerstandsfähigkeit von Finanzinstituten gegenüber IT-Risiken und Cyberbedrohungen deutlich zu stärken. Allerdings betrifft sie nicht nur Banken, Versicherungen und Wertpapierfirmen, sondern auch Zahlungs- und IT-Dienstleister. Selbst Unternehmen außerhalb der EU fallen unter DORA, wenn sie Dienstleistungen für EU-Finanzunternehmen erbringen.

DORA greift sofort

Die Herausforderungen sind beachtlich – und dies nicht nur, weil die Schonfrist für die Einhaltung von DORA nun abgelaufen ist: Unternehmen, die im Finanzdienstleistungssektor tätigt sind oder ITK-Dienstleistungen für diese Branche erbringen, sind verpflichtet, sich an die Anforderungen der Verordnung zu halten. Sie müssen ein umfangreiches IT-Risikomanagement etablieren, strenge Meldepflichten für IT-Vorfälle einführen und regelmäßige Resilienztests durchführen.

Um einiges komplexer gestaltet sich das Management von Drittanbietern: Unternehmen müssen bis zum 30. April 2025 ein vollständiges Register aller vertraglichen Vereinbarungen mit ihren IT-Dienstleistern erstellen. Kritische Drittanbieter unterliegen dabei einer direkten Aufsicht durch europäische Behörden und haben zusätzliche Sicherheits- und Berichtsstandards zu erfüllen. Weigern sie sich, sind allein die finanziellen Folgen beträchtlich: Bußgelder können bis zu zwei Prozent des weltweiten Jahresumsatzes eines Finanzunternehmens oder bis zu zehn Millionen Euro betragen. Diese Strafen drohen, wenn größere ITK-bezogene Vorfälle oder Bedrohungen nicht gemeldet werden. Haftbar sind bei Nichteinhaltung der Vorschriften außerdem auch Drittanbieter von ITK-Diensten. Hier können Geldbußen von bis zu einem Prozent des durchschnittlichen täglichen weltweiten Umsatzes für jeden einzelnen Tag der Nichteinhaltung verhängt werden.

Bedeutet in der Praxis: hohe Investitionen in IT-Infrastruktur bei komplexen rechtlichen Anforderungen – und einem Mangel an qualifiziertem Personal. Die operativen und finanziellen Herausforderungen dürften insbesondere kleine Unternehmen auf die Probe stellen. Denn die Nichteinhaltung kann nicht nur finanzielle Folgen haben: Neben hohen Geldstrafen drohen Reputationsschäden, eingeschränkte Marktchancen und verstärkte regulatorische Überwachung. Auch erhöhe Versicherungskosten und rechtliche Konsequenzen sind möglich.

Spezifische Herausforderungen ergeben sich dabei für IT-Dienstleister: Sie müssen nicht nur ihre eigenen Systeme DORA-konform gestalten, sondern auch ihre Dienste an die strengen Anforderungen ihrer Kunden aus dem Finanzsektor anpassen. Dies betrifft insbesondere Cloud-Provider, Rechenzentren und Managed Service Provider.

DORA als Chance zur Transformation

Trotz aller Herausforderungen sollte DORA nicht nur als regulatorische Pflicht betrachtet werden, sondern als Chance, die digitale Transformation durch eine bessere IT-Sicherheitsstrategie zu beschleunigen und das Vertrauen der Kunden zu stärken. Wird diesem Projekt ein ganzheitlicher Ansatz zugrunde gelegt, ermöglicht DORA die Modernisierung von Systemen und Prozessen, was zu einer höheren Effizienz und besserer Skalierbarkeit führt. Werden automatisierte Workflows und digitale Abläufe implementiert, können proaktive Strategien zur Schadensbegrenzung zum Einsatz kommen. Als strategische Partner können Value-Add-Distributoren in den Bereichen Digital Operation Resilience Testing, Third-Party Risk Management sowie Training und Awareness unterstützen – etwa durch Lösungen zur Automatisierung regelmäßiger Tests, zur Bereitstellung einer 360°-Sichtbarkeit der Umgebungen, zur Implementierung von Mikrosegmentierung und API-Schutz für ihre Systeme sowie zur Durchführung umfassender Schulungen in den Bereichen Security-Awareness und Compliance.

Dean Watson, Lead Solutions Expert Secure Networking bei Infinigate

Bild/Quelle: https://depositphotos.com/de/home.html