DORA verpflichtet Finanzunternehmen zu hoher IT-Sicherheit
Cyberkriminalität stellt insbesondere für den Finanzsektor eine erhebliche Bedrohung dar, da dort hochsensible und wertvolle Daten verarbeitet werden. Bislang existierte kein einheitlicher Standard für den Schutz dieser Daten.
Mit der Einführung der EU-Verordnung zur digitalen operationalen Resilienz (DORA) im Januar 2025 wird sich dies ändern. Ziel der Verordnung ist es, die IT-Sicherheit im Finanzsektor auf ein neues Niveau zu heben und die Funktionsfähigkeit von Unternehmen auch bei schwerwiegenden Cybervorfällen sicherzustellen.
DORA betrifft nahezu alle Finanzunternehmen sowie deren IT-Dienstleister, darunter Rechenzentren und Cloud-Anbieter. Die Verordnung schreibt ein umfassendes Risikomanagement, strenge Meldepflichten und eine regelmäßige Überwachung von Drittanbieterrisiken vor.
Unternehmen müssen Strategien für IT-Sicherheit entwickeln, klare Verantwortlichkeiten definieren und Notfallpläne erstellen. Besonders herausfordernd ist die Überwachung von Risiken durch Drittanbieter, für die die Unternehmen letztlich haften. Schwerwiegende Vorfälle müssen innerhalb von 24 Stunden an die zuständigen Aufsichtsbehörden gemeldet werden.
Zusätzlich fordert DORA regelmäßige Tests der digitalen Resilienz, wie Penetrationstests, um Schwachstellen zu identifizieren und zu beheben. Die Harmonisierung der Anforderungen innerhalb der EU soll zudem eine einheitliche Cybersicherheitsstrategie gewährleisten.
Die Verordnung betrifft nicht nur klassische Banken und Versicherungen, sondern auch Zahlungsdienstleister, Wertpapierfirmen, Vermögensverwalter sowie Krypto-Dienstleister – insgesamt mehrere Tausend Organisationen in der EU. Auch FinTechs und kleinere Anbieter sind nicht ausgenommen, was bei vielen Unternehmen derzeit zu einem hohen Anpassungsdruck führt. Besonders IT-abhängige Geschäftsmodelle stehen nun vor der Herausforderung, komplexe Prozesse innerhalb kurzer Zeit in Einklang mit DORA zu bringen.
Ein zentrales Element ist die Einführung eines sogenannten IKT-Risikomanagement-Frameworks (IKT = Informations- und Kommunikationstechnologie). Dieses umfasst die Identifikation, Klassifikation und Bewertung von IT-Risiken sowie deren kontinuierliche Überwachung und Steuerung. Dabei ist ein besonderes Augenmerk auf kritische Funktionen zu legen, die bei Ausfällen den Geschäftsbetrieb massiv beeinträchtigen könnten. Unternehmen müssen diese Funktionen priorisieren und deren Schutzmaßnahmen regelmäßig evaluieren.
Hinzu kommen umfangreiche Anforderungen an das Incident Reporting: Neben der 24-Stunden-Regelung zur Erstmeldung verlangt DORA auch eine detaillierte Nachanalyse, bei der Ursachen und Auswirkungen systematisch aufgearbeitet werden müssen. Das Ziel: eine kontinuierliche Verbesserung der Abwehrmechanismen und eine rasche Wiederherstellung der Betriebsfähigkeit im Ernstfall.
Für IT-Dienstleister und Cloud-Anbieter bedeutet DORA ebenfalls eine stärkere Regulierung. Sie unterliegen künftig der direkten Aufsicht durch europäische Behörden wie der Europäischen Bankenaufsichtsbehörde (EBA) oder der Europäischen Wertpapier- und Marktaufsichtsbehörde (ESMA). Dabei müssen sie unter anderem ihre eigenen Schutzmaßnahmen offenlegen, Sicherheitsvorfälle unverzüglich melden und sich regelmäßigen Prüfungen unterziehen.
Ein weiteres Schlüsselelement von DORA ist die Etablierung einer organisationsübergreifenden Krisenreaktion. Unternehmen müssen nicht nur intern klare Zuständigkeiten festlegen, sondern auch mit anderen Marktteilnehmern und Behörden zusammenarbeiten können – etwa im Rahmen sektorweiter Krisensimulationen oder länderübergreifender Notfallprotokolle.
Nicht zuletzt enthält DORA auch Vorgaben für die Schulung und Sensibilisierung der Mitarbeitenden. Sicherheitskultur und Bewusstsein für Cyberrisiken sollen auf allen Ebenen gestärkt werden, da menschliches Fehlverhalten nach wie vor eine der Hauptursachen für Sicherheitslücken ist.
Die Umsetzungsfrist bis Januar 2025 gilt bereits als ambitioniert – insbesondere für kleinere Marktteilnehmer. Dennoch wird DORA als ein entscheidender Schritt gesehen, um den Finanzsektor krisenfester, sicherer und zukunftsfähiger zu machen. Die Verordnung schließt damit eine bedeutende regulatorische Lücke und schafft erstmals ein konsistentes, europaweites Rahmenwerk für die digitale Resilienz im Finanzwesen.
_______________________
Hinweis: Dieser Artikel dient lediglich illustrativen Zwecken und ersetzt keine professionelle Beratung. Es wird empfohlen, individuelle Versicherungsbedürfnisse mit einem qualifizierten Versicherungsberater oder Versicherungsmakler wie z.B. „AMB Allfinanz Makler“ zu besprechen.
Verwendung von Cookies
Wir nutzen Cookies auf unserer Website. Einige von ihnen sind notwendig während andere uns helfen, diese Website und Ihre Erfahrung zu verbessern. Sie akzeptieren unsere Cookies, wenn Sie fortfahren diese Webseite zu nutzen.
Cookie-Einstellungen
Hier finden Sie eine Übersicht über alle verwendeten Cookies und Skripte. Sie haben die Möglichkeit folgende Kategorien zu akzeptieren oder zu blockieren.
Immer akzeptieren
Notwendige Cookies sind für die ordnungsgemäße Funktion der Website erforderlich. Diese Kategorie enthält nur Cookies, die grundlegende Funktionen und Sicherheitsmerkmale der Website gewährleisten. Diese Cookies speichern keine persönlichen Informationen.
Name
Beschreibung
bypass
Dieses Cookie wird für den Wartungsmodus verwendet.
Anbieter-TypCookieLaufzeit1 Jahr
PHPSESSID
Dieses Cookie ist für PHP-Anwendungen. Das Cookie wird verwendet um die eindeutige Session-ID eines Benutzers zu speichern und zu identifizieren um die Benutzersitzung auf der Website zu verwalten. Das Cookie ist ein Session-Cookie und wird gelöscht, wenn alle Browser-Fenster geschlossen werden.
Anbieter-TypCookieLaufzeitSession
Analytische Cookies werden verwendet, um zu verstehen, wie Besucher mit der Website interagieren. Diese Cookies helfen bei der Bereitstellung von Informationen zu Metriken wie Besucherzahl, Absprungrate, Ursprung oder ähnlichem.
Name
Beschreibung
Performance Cookies sammeln Informationen darüber, wie Besucher eine Webseite nutzen. Beispielsweise welche Seiten Besucher wie häufig und wie lange besuchen, die Ladezeit der Website oder ob der Besucher Fehlermeldungen angezeigt bekommen. Alle Informationen, die diese Cookies sammeln, sind zusammengefasst und anonym - sie können keinen Besucher identifizieren.
Name
Beschreibung
_ga
Dieses Cookie wird von Google Analytics installiert. Dieses Cookie wird verwendet um Besucher-, Sitzungs- und Kampagnendaten zu berechnen und die Nutzung der Website für einen Analysebericht zu erfassen. Die Cookies speichern diese Informationen anonym und weisen eine zufällig generierte Nummer Besuchern zu um sie eindeutig zu identifizieren.
AnbieterGoogle Inc.TypCookieLaufzeit2 Jahre
_gid
Dieses Cookie wird von Google Analytics installiert. Das Cookie wird verwendet, um Informationen darüber zu speichern, wie Besucher eine Website nutzen und hilft bei der Erstellung eines Analyseberichts über den Zustand der Website. Die gesammelten Daten umfassen in anonymisierter Form die Anzahl der Besucher, die Website von der sie gekommen sind und die besuchten Seiten.
AnbieterGoogle Inc.TypCookieLaufzeit24 Stunden
Marketing Cookies werden für Werbung verwendet, um Besuchern relevante Anzeigen und Marketingkampagnen bereitzustellen. Diese Cookies verfolgen Besucher auf verschiedenen Websites und sammeln Informationen, um angepasste Anzeigen bereitzustellen.
Name
Beschreibung
NID
Google verwendet Cookies wie das NID-Cookie, um Werbung in Google-Produkten wie der Google-Suche individuell anzupassen.
AnbieterGoogle Inc.TypCookieLaufzeit24 Stunden
SID
Google verwendet Cookies wie das SID-Cookie, um Werbung in Google-Produkten wie der Google-Suche individuell anzupassen.
AnbieterGoogle Inc.TypCookieLaufzeit24 Stunden
Sonstige Cookies müssen noch analysiert werden und wurden noch in keiner Kategorie eingestuft.
