{"id":28562,"date":"2025-02-26T06:40:00","date_gmt":"2025-02-26T05:40:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=28562"},"modified":"2025-03-17T12:42:58","modified_gmt":"2025-03-17T11:42:58","slug":"im-fokus-digital-operational-resilience-act-dora","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=28562","title":{"rendered":"Im Fokus: Digital Operational Resilience Act (DORA)"},"content":{"rendered":"\n

Autor\/Redakteurin: Gereon Tillenburg, CEO der TWINSOFT GmbH & Co. KG\/dcg

Der DORA (Digital Operational Resilience Act) stellt eine von der EU erlassene Verordnung dar, die die operationale Resilienz und die Cybersicherheit des Finanzsektors in Europa st\u00e4rken soll. Sie trat am 16. Januar 2023 in Kraft und wird seit dem 17. Januar dieses Jahres angewendet. Sie soll sicherstellen, dass Finanzunternehmen in der Lage sind, effektiv auf Cyberbedrohungen und andere operationelle Risiken im digitalen Bereich zu reagieren. Einer der Gr\u00fcnde f\u00fcr den Erlass von DORA sind die zunehmenden Bedrohungen durch Cyberangriffe. Betroffen von DORA sind Unternehmen unter EZB-Aufsicht, also unter anderem Banken und Versicherungen, Zahlungsinstitute und Investmentunternehmen. Dazu kommen Anbieter, die Krypto-Dienstleistungen im Portfolio haben, sowie Zulieferer und Dienstleister.<\/p>\n\n\n\n

\"\"
Gereon Tillenburg, CEO der Twinsoft GmbH & Co. KG – Quelle: Twinsoft<\/figcaption><\/figure>\n\n\n\n



Die DORA-Vorgaben entfalten sofortige rechtliche Wirkung und gelten ab dem Zeitpunkt ihres Inkrafttretens direkt in allen Mitgliedstaaten. Zudem haben sie Vorrang vor nationalem Recht. Die unmittelbare Geltung von DORA stellt sicher, dass Unternehmen keine \u00dcbergangsfristen aufgrund nationaler Gesetzgebungsverfahren abwarten, sondern sofort rechtskonform handeln m\u00fcssen, sobald die Verordnung anwendbar ist.
DORA-spezifische Anforderungen<\/p>\n\n\n\n

DORA f\u00fchrt ein starkes Cybersicherheitsmandat f\u00fcr europ\u00e4ische Finanzunternehmen und bestimmte Dienstleister ein, die diese Unternehmen unterst\u00fctzen.<\/p>\n\n\n\n

    \n
  1. Das Risikomanagement im ITK-Bereich: Es wird den Unternehmen vorgeschrieben, ein umfangreiches Risikomanagement-Framewort zu implementieren. Das dazu erforderliche Vorgehen wird in DORA granular beschrieben. Bei den meisten gro\u00dfen Unternehmen sollte ein solches Framework bereits in Betrieb sein, bei den Zulieferern und kleineren Einrichtungen d\u00fcrfte in Bezug darauf vielerorts noch Bedarf bestehen. F\u00fchrungskr\u00e4fte m\u00fcssen genehmigte Risikomanagementstrategien definieren und deren Umsetzung unterst\u00fctzen. Die Organisationen m\u00fcssen ihre ITK-Systeme kartieren, kritische Verm\u00f6genswerte und Funktionen identifizieren und klassifizieren sowie Abh\u00e4ngigkeiten zwischen Verm\u00f6genswerten, Systemen, Prozessen und Anbietern dokumentieren. Sie m\u00fcssen zudem kontinuierliche Risikobewertungen ihrer ITK-Systeme durchf\u00fchren, Cyber-Bedrohungen dokumentieren und klassifizieren und ihre Schritte zur Risikominderung dokumentieren.<\/li>\n\n\n\n
  2. Vorfallreaktion und -meldung: Organisationen m\u00fcssen ein System zur \u00dcberwachung, Verwaltung, Protokollierung, Klassifizierung und Meldung von ITK-bezogenen Vorf\u00e4llen einrichten. Je nach Vorfall m\u00fcssen sie Berichte f\u00fcr Regulierungsbeh\u00f6rden und betroffene Parteien erstellen. DORA schreibt also vor, dass eindeutige Prozesse zum Melden relevanter Vorf\u00e4lle vorhanden sind.<\/li>\n\n\n\n
  3. Testen der digitalen Betriebsresilienz: Die Unternehmen m\u00fcssen j\u00e4hrlich Schwachstellenbewertungen und Szenario-basierte Tests durchf\u00fchren. Kritische Organisationen werden zudem alle drei Jahre einem bedrohungsgeleiteten Penetrationstest unterzogen.<\/li>\n\n\n\n
  4. Aktive Verwaltung der Risiken durch externe Dienstleister und Lieferanten: Das stellt den wohl gr\u00f6\u00dften Knackpunkt von DORA dar, da dadurch Unternehmen in den Fokus der Verordnung gelangen, denen das teilweise noch \u00fcberhaupt nicht klar ist.<\/li>\n\n\n\n
  5. Freiwilliger Informationsaustausch: Dieser Austausch soll zwischen den einzelnen Unternehmen in Bezug auf Vorf\u00e4lle und Bedrohungen stattfinden. Das ist im KRITIS-Bereich nichts Ungew\u00f6hnliches, bei den neu hinzukommenden Unternehmen k\u00f6nnten aber deswegen Fragen auftauchen.<\/li>\n<\/ol>\n\n\n\n

    Ziele von DORA<\/strong><\/p>\n\n\n\n

    Zu den wichtigsten Zielen von DORA geh\u00f6rt zun\u00e4chst einmal die Verbesserung der Cybersicherheit durch ein umf\u00e4ngliches Verstehen der IT-Infrastrukturen der Finanzinstitute durch die Institute selbst und ein damit einhergehendes Identifizieren der vorhandenen Schwachstellen. Das f\u00fchrt dazu, dass die betroffenen Organisationen dazu gezwungen sind, IT-Security-Produkte einzusetzen, die ihnen dabei helfen. Dazu geh\u00f6ren Monitoring-L\u00f6sungen, SIEM- (Security Information and Event Management) sowie Asset-Management-Systeme und \u00c4hnliches, die allerdings bei den meisten gro\u00dfen Unternehmen dieser Art bereits in Betrieb sein sollten.<\/p>\n\n\n\n

    Das zweite Ziel ist die Regelharmonisierung, das hei\u00dft, DORA soll einheitliche Anforderungen schaffen, die europ\u00e4ische und nationale Standards vereinheitlichen und f\u00fcr die unterschiedlichen Finanzinstitute und deren Dienstleister gelten. Das bedeutet, es sind auch Zulieferer aller Gr\u00f6\u00dfen davon betroffen, die davon teilweise derzeit noch gar nichts ahnen. Bei diesen Unternehmen herrscht gro\u00dfer Beratungsbedarf und gerade bei den kleineren sind L\u00f6sungen gefragt, die sich mit verh\u00e4ltnism\u00e4\u00dfig geringem Aufwand und bei akzeptablen Hardwareanforderungen implementieren und nutzen lassen. Es gilt bei der Implementierung auch das Prinzip der Verh\u00e4ltnism\u00e4\u00dfigkeit, das bedeutet, bei der Umsetzung m\u00fcssen Unterschiede wie Gesch\u00e4ftsmodell, Gr\u00f6\u00dfe und Risikoprofil ber\u00fccksichtigt werden.<\/p>\n\n\n\n

    Dar\u00fcber hinaus soll DORA auch f\u00fcr eine verbesserte Reaktionsf\u00e4higkeit sorgen. Das bedeutet, die betroffenen Organisationen sind verpflichtet, Strategien zum Identifizieren und Reagieren auf Vorf\u00e4lle zu entwickeln, die robust sind und ihre Verfahren immer weiterzuentwickeln. Auch hier wird \u2013 vor allem bei mittleren und kleineren Unternehmen \u2013 ein langfristiger und gro\u00dfer Beratungsbedarf bestehen.<\/p>\n\n\n\n

    Wichtigste Regelungen<\/strong><\/p>\n\n\n\n

    Werden in den betroffenen Organisationen bereits BSI-Standards umgesetzt, so bleiben die vorzunehmenden Ver\u00e4nderungen recht klein. Die Anforderungen an das ITK-Risikomanagement und die Tests ergeben, sollten sich in vielen F\u00e4llen durch die Erweiterung bestehender Software-L\u00f6sungen erg\u00e4nzend einf\u00fcgen lassen.
    Was das Management des Risikos durch Drittanbieter betrifft, so sind umfassende Erweiterungen erforderlich, da der Aufwand, der durch die Datenerfassung entsteht, deutlich h\u00f6her wird. Au\u00dferdem ist es neu, dass die Weiterverlagerungskette auch bei unterschiedlichen Dienstleistern nachvollziehbar sein muss. DORA betrifft direkt folgende ITK-Dienstleister: Software-Anbieter, Managed IT Services, Hardware-as-a-Service Anbieter, Cloud-Computing Dienstleister und Rechenzentren.<\/p>\n\n\n\n

    Der Aufwand, der in Zusammenhang mit dem Reporting entsteht, ist am gr\u00f6\u00dften. Es gibt hier ein \u201eRegister of Information\u201c, das aus 15 Tabellen besteht und ein komplexes Datenschema mitbringt. Hier reicht die Implementierung einer einzelnen Software derzeit nicht aus, es sind Neuentwicklungen erforderlich. Auch in Bezug auf das Vertragsmanagement.<\/p>\n\n\n\n

    Dar\u00fcber hinaus reicht es nicht mehr, eine Dienstleistung (auch als Auslagerungsgegenstand bezeichnet) mit einem Prozess zu verkn\u00fcpfen und auszuweisen, welche Dienstleistungen zu welchen Prozessen geh\u00f6ren und umgekehrt. Stattdessen m\u00fcssen unter DORA zu den Auslagerungsgegenst\u00e4nden die ausgelagerten Funktionen zu den Unternehmensfunktionen ausgewiesen werden (Capability Map). Hier gibt es detaillierte Vorgaben, die v\u00f6llig neu sind.<\/p>\n\n\n\n

    Implementierung<\/strong><\/p>\n\n\n\n

    Um DORA zu implementieren, ist es erforderlich, zun\u00e4chst einmal zu analysieren, was in der betroffenen Organisation vorhanden ist, und was ben\u00f6tigt wird. Im n\u00e4chsten Schritt muss die Erweiterbarkeit \u00fcberpr\u00fcft werden. Dabei m\u00fcssen die Verantwortlichen die Frage beantworten, wie sich bereits vorhandene Assets ausbauen lassen. Die Implementierung der erforderlichen neuen Komponenten sollte dann nach dem Motto \u201eerg\u00e4nzen und nicht ersetzen\u201c erfolgen, um den Aufwand m\u00f6glichst gering zu halten.<\/p>\n\n\n\n

    Fazit<\/strong><\/p>\n\n\n\n

    Wegen des gro\u00dfen Umfangs (viele Themen gehen \u00fcber den IT-Bereich hinaus) ist der Einstieg in DORA nicht einfach. Gleichzeitig haben viele die H\u00fcrden bei der DORA-Implementierung untersch\u00e4tzt, so dass davon auszugehen ist, dass h\u00e4ufig keine vollst\u00e4ndige Umsetzung erreicht worden ist. Deswegen sollten betroffene Einrichtungen jetzt eine weitere Planung erstellen und sich dazu Hilfe von qualifizierten Beratungsunternehmen wie TWINSOFT holen.<\/p>\n\n\n\n

    Ebenfalls relevant k\u00f6nnte in diesem Zusammenhang auch Beratung in Bezug auf Cloud-Sicherheit sein. Hier gilt ja das \u201eShared Responsibility\u201c-Prinzip, das vielen Cloud-Anwendern nicht pr\u00e4sent ist und bei dem viele auch Probleme haben, wenn es um die praktische Implementierung geht.<\/p>\n\n\n\n

    Direkter Link zu: TWINSOFT<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

    Der DORA (Digital Operational Resilience Act) stellt eine von der EU erlassene Verordnung dar, die die operationale Resilienz und die Cybersicherheit des Finanzsektors in Europa st\u00e4rken soll. Sie trat am 16. Januar 2023 in Kraft und wird seit dem 17. Januar dieses Jahres angewendet. Sie soll sicherstellen, dass Finanzunternehmen in der Lage sind, effektiv auf Cyberbedrohungen und andere operationelle Risiken im digitalen Bereich zu reagieren. Einer der Gr\u00fcnde f\u00fcr den Erlass von DORA sind die zunehmenden Bedrohungen durch Cyberangriffe. Betroffen von DORA sind Unternehmen unter EZB-Aufsicht, also unter anderem Banken und Versicherungen, Zahlungsinstitute und Investmentunternehmen. Dazu kommen Anbieter, die Krypto-Dienstleistungen im Portfolio haben, sowie Zulieferer und Dienstleister.
    \nMehr auf: www.sysbus.eu\/Autor\/Redakteurin: Gereon Tillenburg, CEO der TWINSOFT GmbH & Co. KG<\/p>\n","protected":false},"author":81,"featured_media":28590,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,10140],"tags":[16530,20448,20447],"class_list":["post-28562","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-compliance","tag-dora","tag-gereon-tillenburg","tag-twinsoft"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/28562","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/81"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=28562"}],"version-history":[{"count":6,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/28562\/revisions"}],"predecessor-version":[{"id":28872,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/28562\/revisions\/28872"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/28590"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=28562"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=28562"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=28562"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}