Die Einschätzung der Cyber Academy
DORA ist die EU-Verordnung, die Finanzunternehmen und ihren kritischen IKT-Drittanbietern einen einheitlichen Resilienzrahmen vorschreibt. Fünf Säulen: IKT-Risikomanagement, Incident Reporting, Resilienztests einschließlich TLPT, IKT-Drittparteienrisiko, Informationsaustausch. Anwendbar seit dem 17. Januar 2025. Im IKT-Bereich greift DORA schärfer als NIS 2, und als lex specialis hat es für Finanzunternehmen Vorrang.
Warum DORA existiert und wen es bindet
Vor DORA war die digitale operationale Resilienz für Finanzunternehmen in der EU ein Flickenteppich. Banken unterlagen einem Satz aufsichtlicher Erwartungen, Versicherer einem anderen, und die Regeln zu IKT-Vorfällen, Auslagerung und Tests unterschieden sich je nach Sektor und nach Mitgliedstaat. DORA ersetzt diese Zersplitterung durch eine einzige Verordnung, die unionsweit unmittelbar gilt, ohne dass eine nationale Umsetzung erforderlich ist. Ihr Anwendungsbereich ist bewusst weit gefasst: Banken, Versicherer, Wertpapierfirmen, Zahlungs- und E-Geld-Institute, Anbieter von Krypto-Dienstleistungen, Handelsplätze und viele mehr, dazu die kritischen IKT-Drittdienstleister, von denen diese Unternehmen abhängen.
Genau dieser letzte Punkt unterscheidet DORA von einer gewöhnlichen Finanzregel. Es reguliert nicht nur die beaufsichtigten Unternehmen; es greift in deren Lieferkette ein. Cloud-Anbieter, Rechenzentrumsbetreiber und Softwareanbieter, die als kritisch für das Finanzsystem gelten, können auf EU-Ebene unter direkte Aufsicht gestellt werden. Für einen Praktiker ist die praktische Folge, dass Resilienz nicht länger etwas ist, das man vollständig auslagern und vergessen kann. Sie bleiben für das IKT-Risiko verantwortlich, das Ihre Dienstleister tragen, und Sie müssen es nachweisen.
Die fünf Säulen in der Praxis
DORA beruht auf fünf Säulen, und jede davon übersetzt sich in konkrete Programmarbeit statt in Papierkram:
- IKT-Risikomanagement. Ein Governance-Rahmen, der dem Leitungsorgan obliegt und Identifizierung, Schutz, Erkennung, Reaktion und Wiederherstellung für IKT-Assets abdeckt. Dies ist das Rückgrat, an dem die anderen vier Säulen hängen.
- Behandlung und Meldung von Vorfällen. IKT-bezogene Vorfälle nach Schweregrad klassifizieren und die schwerwiegenden der zuständigen Behörde innerhalb eines festgelegten Zeitrahmens melden. Der Schwerpunkt liegt auf einer harmonisierten Taxonomie, damit Aufseher in der gesamten EU vergleichbare Daten sehen.
- Testen der digitalen operationalen Resilienz. Ein regelmäßiges Testprogramm, das von Schwachstellenbewertungen bis hin zu bedrohungsorientierten Penetrationstests (TLPT) für die bedeutendsten Unternehmen reicht und sich am realen Angreiferverhalten orientiert.
- Management des IKT-Drittparteienrisikos. Vertragliche Schutzvorkehrungen, Informationsregister über alle IKT-Vereinbarungen, Ausstiegsstrategien und das Überwachungsregime für kritische Drittdienstleister.
- Informationsaustausch. Freiwilliger Austausch von Bedrohungsinformationen zwischen Finanzunternehmen, gefördert statt vorgeschrieben, um die kollektive Verteidigung zu stärken.
DORA neben NIS 2
Die Frage, die Praktiker am häufigsten stellen, ist, wie sich DORA zu NIS 2 verhält, da beide EU-Instrumente sind, die die Cybersicherheit berühren, und beide ungefähr dieselbe Reifelatte ansetzen. Die kurze Antwort lautet lex specialis: Wo DORA und NIS 2 beide auf ein Finanzunternehmen im IKT-Aspekt anwendbar wären, geht DORA vor, weil es die speziellere Regel ist. NIS 2 setzt eine breite Cybersicherheits-Grundlinie über viele Sektoren hinweg; DORA geht bei der IKT-Resilienz des Finanzsektors tiefer und fügt das Drittparteien-Überwachungsregime hinzu, das NIS 2 nicht hat.
| Dimension | DORA | NIS 2 |
|---|---|---|
| Art des Instruments | Verordnung, unmittelbar anwendbar | Richtlinie, von den Mitgliedstaaten umgesetzt |
| Hauptanwendungsbereich | Finanzunternehmen und ihre kritischen IKT-Dienstleister | Wesentliche und wichtige Einrichtungen in vielen Sektoren |
| Schwerpunkt | Digitale operationale Resilienz des Finanzsystems | Allgemeines Cybersicherheits-Risikomanagement und -Meldewesen |
| Drittparteienaufsicht | Direkte EU-Aufsicht über kritische IKT-Dienstleister | Lieferkettensicherheit erwartet, kein direktes Aufsichtsregime |
| Vorrang für den Finanzbereich | Setzt sich als lex specialis im IKT-Aspekt durch | Tritt hinter DORA zurück, wo beide anwendbar wären |
Im Tagesgeschäft kann eine Bank sich nicht eines aussuchen. Sie ordnet ihre Pflichten zu und stellt fest, dass für IKT-Risiko, Vorfallmeldung und Resilienztests DORA der maßgebliche Text ist, während NIS 2 weiterhin für Teile der Gruppe relevant sein kann, die außerhalb des Finanz-Anwendungsbereichs von DORA liegen. Der saubere Weg, dies zu handhaben, ist ein einziges Kontrollrahmenwerk, oft verankert in ISO 27001 und ISO 22301, das beide Regime erfüllt und es Ihnen erlaubt, die Konformität nur einmal nachzuweisen.
Frequently asked questions
01Seit wann ist DORA anwendbar?
DORA gilt seit dem 17. Januar 2025. Als EU-Verordnung trat es unmittelbar in Kraft, ohne dass eine nationale Umsetzung erforderlich war, sodass das Datum in allen Mitgliedstaaten dasselbe ist.
02Gilt DORA für meinen Cloud-Anbieter?
Es kann. IKT-Drittdienstleister, die als kritisch für das Finanzsystem eingestuft werden, können benannt und unter direkte EU-Aufsicht gestellt werden. Selbst wenn ein Anbieter nicht benannt ist, bleibt das Finanzunternehmen, das ihn nutzt, nach der Drittparteien-Säule von DORA für das IKT-Risiko verantwortlich.
03Wie unterscheidet sich DORA von NIS 2?
NIS 2 ist eine breite Cybersicherheitsrichtlinie über viele Sektoren hinweg, national umgesetzt. DORA ist eine unmittelbar anwendbare Verordnung speziell für Finanzunternehmen, tiefergehend bei IKT-Resilienz und Drittparteienaufsicht. Für Finanzunternehmen setzt sich DORA im IKT-Aspekt als lex specialis durch.
04Was ist TLPT nach DORA?
Bedrohungsorientierte Penetrationstests sind fortgeschrittene, nachrichtendienstlich gesteuerte Tests, die reale Angreifertaktiken gegen Produktivsysteme nachahmen. DORA verlangt sie periodisch für die bedeutendsten Finanzunternehmen als oberste Stufe seiner Säule für Resilienztests.
05Ersetzt DORA die Arbeit zur Betriebskontinuität?
Nein, es stärkt sie. Der Fokus von DORA auf das Betriebsfähigbleiben unter Belastung, mit Wiederherstellung und Kontinuität für kritische Funktionen, fügt sich natürlich neben das Betriebskontinuitätsmanagement und die Norm ISO 22301 ein, statt sie zu ersetzen.