Sie sind hier: Home » Markt » Hinweise & Tipps

Die Uhr für DORA-Compliance tickt


Dora: Banken sollten sich selbst und ihre Dienstleister kritisch prüfen
Der Verordnungstext DORA lässt sich grob in fünf Säulen zusammenfassen



Von Markus Koerner, Deutschlandchef von Kyndryl

Ab dem 17. Januar 2025, gilt der Digital Operational Resilience Act (DORA) EU-weit für Finanzunternehmen und ihre IT-Partner. Da es sich um eine Verordnung der europäischen Union handelt, findet die Umsetzung in nationales Recht nicht statt. Die Zeit für betroffene Unternehmen wird also knapp. Je nachdem, welche Maßnahmen sie noch implementieren müssen, könnte die fristgerechte Umsetzung für einige Institute zu einem Problem werden. In der systemkritischen und hochregulierten Branche ist mit ernsten Folgen zu rechnen, sollte dies nicht gelingen.

Ziel der EU-Gesetzgebung ist es, die Resilienz von europäischen Finanzunternehmen zu stärken. Die Forderung nach mehr Cyberresilienz drückt sich nicht nur in Form von DORA aus, sondern zusätzlich auch durch den Cyber Resilience Act (CRA) und die Network and Information Security (NIS) Direktive II. Für den Finanzsektor ist DORA die wichtigste Legislation.

Anfälligkeiten für Cyberbedrohungen sollen im Rahmen der neuen Verordnung nicht nur bei Banken und anderen Finanzdienstleistern selbst, sondern entlang der gesamten Wertschöpfungskette des Sektors reduziert werden. Deutsche Institute, die bereits durch die BaFin und/oder das BSI reguliert werden, sehen Ähnlichkeiten mit bestehenden Vorgaben, da DORA ganz bewusst auf solchen nationalen Elementen aufbaut. Diese sollen nun für die gesamte EU vereinheitlicht und auf rechtlicher Ebene verankert werden, statt wie bislang vielfach nur Verwaltungsvorschriften darzustellen. Es besteht also Handlungsbedarf, da sonst auch mit Sanktionen zu rechnen ist.

Finanzunternehmen und ihre Dienstleister müssen gleich mehrere Punkte beachten. Der Verordnungstext DORA lässt sich grob in fünf Säulen zusammenfassen:
1. Informations- und Kommunikationstechnologie (IKT)-Risikomanagement
2. IKT-bezogenes Incident Management, Klassifizierung und Berichterstattung
3. Testen der digitalen Ausfallsicherheit (Digital Operational Resilience)
4. Management von IKT-Drittparteirisiken
5. Informationsaustausch

Die ersten beiden Punkte setzen europäische Banken praktisch schon seit Jahrzehnten um. Hier ist nicht mit besonderen Herausforderungen zu rechnen. Anders sieht es hingegen bei Punkt drei aus: Zeitgemäße Back-up-Technologien und automatisierte Wiederherstellungspläne sind noch nicht überall Standard. Auf den eventuell positiv ausfallenden Ergebnissen des EZB-Stresstests hinsichtlich Resilienz dürfen sich Banken ebenfalls nicht ausruhen. Ging es dort "lediglich" darum, theoretisch eine Art Case Study durchzuspielen, fordert DORA technische Tests der Systeme. Dies sollte natürlich auch nicht zum ersten Mal aufgrund der Verordnung erfolgen, sondern bereits vorher erprobt werden.

Haben Unternehmen noch gar nicht mit der Einführung konkreter Resilienz Maßnahmen begonnen, läuft ihnen die Zeit davon. Entsprechenden Lösungen innerhalb eines Jahres zu planen, budgetieren, freigeben zu lassen, zu implementiert und in den Betrieb zu überführen, ist gelinde gesagt sehr sportlich.

Der vierte Punkt, das Management von Drittparteirisiken, könnte für Geldinstitute, Versicherer und andere Finanzdienstleister ebenfalls zu einer Herausforderung werden. Der Sektor verfügt bisher kaum über ein Bewusstsein für die Auswirkungen von Ausfällen bei Dienstleistern, geschweige denn über konkrete Pläne für diesen Fall. Das muss sich ändern: Finanzunternehmen sollten auf Risikodiversifikation setzen und Infrastrukturen auf verschiedene kleinere Anbieter verteilen. Die Alternative dazu ist, auf die überlegenen Ressourcen der wenigen großen Dienstleister zu setzen. Fakt ist nun einmal, dass diese im Rennen mit immer innovativeren Kriminellen wesentlich besser mithalten oder sogar einen Schritt voraus sein können. Vollkommene Sicherheit gibt es allerdings auch dort nicht und somit auch keinen Königsweg zwischen Konzentration und Diversifikation.

Insgesamt wird es für viele Institute herausfordernd werden, die DORA-Compliance zum Stichtag zu erreichen. Nur wenn alle beteiligten Stakeholder, verschiedene interne Abteilungen und Dienstleister konstruktiv zusammenarbeiten, kann diese Herkulesaufgabe bewältigen werden. (Kyndryl: ra)

eingetragen: 22.02.24
Newsletterlauf: 10.05.24


Kyndryl: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Investitionen in nachhaltige Rechenzentren

    Digitale Technologien spielen eine wesentliche Rolle, um schädliche Emissionen zu reduzieren und die Klimaziele in Deutschland zu erreichen. So ergab eine aktuelle Bitkom-Studie zum Einsatz von digitaler Lösungen in Sektoren wie Energie, Industrie und Verkehr, dass die CO2-Emissionen im Klimaziel-Stichjahr 2030 jährlich um 73 Millionen Tonnen reduziert werden könnten.

  • NIS-2-Umsetzung in Deutschland

    Mit dem neuen für NIS-2-Gesetz kommen auf viele Unternehmen strengere Cybersicherheitsanforderungen zu - doch es gibt noch offene Fragen und neue Entwicklungen, die bisher wenig Beachtung gefunden haben. Jetzt ist die Zeit zum Handeln. Seit der Verabschiedung der NIS-2-Richtlinie durch die EU im Jahr 2022 war die Umsetzung in den Mitgliedstaaten ein komplexer Prozess.

  • Dem Fiskus drei Schritte voraus

    Teure Materialien sowie steigende Energie- und Transportpreise sind nur zwei Gründe, warum in zahlreichen Unternehmen der Sparzwang wächst. "Unvorhergesehene und potenziell kostspielige Steuernachzahlungen können in einer ohnehin angespannten Situation den Druck auf die finanziellen Ressourcen empfindlich erhöhen", weiß Prof. Dr. Christoph Juhn, Professor für Steuerrecht an der FOM Hochschule und geschäftsführender Partner der Kanzlei Juhn Partner.

  • Prüfungsangst kommt nicht von ungefähr

    Stehen die Prüfer des Fiskus vor der Tür, steigt in fast jedem Unternehmen das Nervositätslevel. Die Besucher kündigen sich zwar rechtzeitig an, stellen ihren Gastgebern aber ausführliche Detailfragen und schauen sich interne Unterlagen genau an, was nicht nur Zeit und Nerven kostet, sondern manchmal auch sehr viel Geld.

  • Gesetze über Gesetze

    Der Countdown läuft: Die NIS2-Richtlinie steht praktisch schon vor der Tür und Betreiber kritischer Infrastrukturen (KRITIS) arbeiten auf Hochtouren daran, bis Oktober alle notwendigen Maßnahmen zu treffen.

Chaos bei der Umsetzung von NIS-2 droht NIS-2-Umsetzungsgesetz (NIS2UmsuCG)

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen