DORA
Digital Operational Resilience Act
Mit dem Digital Operational Resilience Act (kurz: DORA) legt die EU einen besonderen Fokus auf digitale Resilienz. Diese soll durch die Umsetzung verschiedener Anforderungen an die Stabilität digitaler Systeme des Finanzsektors erlangt werden.
In einem vernetzen Europa, in dem internationale Kooperationen zwischen Finanzunternehmen weit verbreitet sind und digitalisierungsbezogene Risiken potenziell grenzüberschreitende Auswirkungen haben, soll DORA auf EU-Ebene einen ergänzenden gemeinsamen Rechtsrahmen bieten.
Die EU-Verordnung wurde am 17. Januar 2025 in vollem Umfang gültig. Ihre Anforderungen gelten für verschiedene Arten von Finanzunternehmen ebenso wie für kritische IKT-Drittanbieter von Finanzunternehmen.
Harmonisierung mit DORA: Wie gehen wir vor?
Vor-Analyse
In einem vorbereitenden Workshop bauen wir internes Wissen bei allen Stakeholdern auf. Der Workshop vermittelt die allgemeinen Anforderungen von DORA sowie bekannte Risiken, Herausforderungen und Best Practices aus ähnlichen regulatorisch getriebenen Projekten.
Wir übertragen die Definition von "kritischen und wichtigen Funktionen" nach DORA auf die Funktionen Ihres Unternehmens und ermitteln, welche anderen Sicherheitsstandards und nationalen Vorschriften Sie betreffen könnten. In den meisten Fällen können die Systeme und Prozesse, die zur Einhaltung der ISO 27001 oder der BaFin-Rundschreiben implementiert wurden, als Grundlage verwendet werden.
Gap-Analyse
Die Anforderungen beeinflussen die Institute ganzheitlich. Daher ist eine reine Dokumentenprüfung nicht ausreichend, um den Umsetzungsstand der DORA-Anforderungen zu erheben. Wir empfehlen daher eine Kombination aus:
- Dokumentenprüfung
- Befragung von Schlüsselpersonal
- Prüfung der Umsetzung
Ergebnis der Gap-Analyse ist ein gutes Bild des zu erwartenden Aufwands. Sie liefert Umsetzungsoptionen, mithilfe derer auf höchster Managementebene die Richtung für die Umsetzung festgelegt werden kann (Action Plan).
Harmonisierungsprojekt
Durchführung der Harmonisierung mit dem DORA in einem umfangreichen, auf das Institut ausgerichteten Harmonisierungsprojekt. Wir unterstützen Sie hier auf allen Ebenen, von der Definition der Strategie über die Formulierung von Richtlinien bis zur operativen Umsetzung der Anforderungen in der Organisation.
Dabei gehen wir individuell auf die im Rahmen Ihrer Gap-Analyse identifizierten Schwerpunkte ein und begleiten Sie neben der Umsetzung der einzelnen Anforderungen auch beim Changemanagement und der Kommunikation innerhalb des Instituts. Wir unterstützen Finanzinstitute im Rahmen solcher Harmonisierungsprojekte beispielsweise bei:
- Aufbau bzw. Anpassung der IT-Governance
- Planung und Implementierung eines geeigneten Risikomanagements
- Aufbau bzw. Optimierung des Dienstleistermanagement unter Einhaltung der zutreffenden aufsichtsrechtlichen Anforderungen
- Erforderliche Sicherheitsüberprüfungen, wie beispielsweise Red Team Assessments
Kunden, die uns bereits vertrauen
„Für ein Finanzdienstleistungsinstitut wie die DAL stellt die Umsetzung der DORA-Vorgaben eine bedeutende Herausforderung dar: Es gilt, erhöhte Cybersicherheitsresilienz mit den operativen Anforderungen des Tagesgeschäfts in Einklang zu bringen. Dafür ist ein durchdachter Projektaufsatz unerlässlich. Umso mehr freuen wir uns, gemeinsam mit unserem Umsetzungspartner usd AG in einem kollaborativen Workshop die zentralen Herausforderungen zu beleuchten und die Grundlagen für die Umsetzung des Projekts zu schaffen. Wir blicken gespannt auf eine partnerschaftliche Zusammenarbeit und pragmatische Umsetzung.“
Kimberley Wilberscheid
DAL Deutsche Anlagen-Leasing GmbH & Co. KG
Mehr Informationen zum Digital Operational Resilience Act
DORA Deep Dive: Threat-Led Penetration Testing (TLPT)
5 Tipps für Ihren Einstieg in die Vorbereitung auf DORA
Ihre DORA-Vorbereitung in 3 Schritten
NIS-2 und DORA: Warum zwei EU-Rechtsvorschriften für Cybersicherheit?
7 Fragen zu DORA
