KONTAKT
Zurück zum Hauptmenü
Dienstleistungen
Branchen
Kompetenzen
Technologien
Über uns
Blog

Verständnis des EU-Digital Operational Resilience Act (DORA)

Anastasia TimoshenkoAnastasia Timoshenko
Anastasia Timoshenko
Senior IT consultant
September 24, 2025
FinTech

Jedes Finanzdienstleistungsunternehmen ist in irgendeiner Form dabei, neue Technologien zu übernehmen. Ob Cloud- und Edge-Computing, KI oder Next-Gen-Datenanalyse – die heutigen und morgigen Technologien sind eng mit Sicherheitsrisiken und Schwachstellen verbunden.

Das Digital Operational Resilience Act (DORA) – die EU-Antwort auf die steigende Welle von Cyberangriffen, die technologische Fortschritte begleiten – zielt darauf ab, ein einheitliches Niveau der digitalen operativen Resilienz bei Finanzinstituten zu etablieren, die in der EU tätig sind oder mit ihr Geschäfte machen.

Dora: Zeitplan und Meilensteine

Was ist DORA?

Das 2022 verabschiedete Digital Operational Resilience Act etabliert einen verbindlichen und umfassenden Rahmen für IKT-Risikomanagement für den EU-Finanzsektor. Die DORA-Anforderungen für Netzwerk- und Informationssystemsicherheit erstrecken sich über Finanzunternehmen hinaus auf wichtige Drittanbieter, die die Finanzbranche mit IKT-Dienstleistungen wie Cloud-Computing, Datenanalyse usw. unterstützen.

IKT-Risikomanagement

Von der Implementierung eines dokumentierten IKT-Risikomanagement-Rahmens über die Durchführung jährlicher Risikobewertungen, die Meldung größerer IKT-Vorfälle an Regulierungsbehörden innerhalb festgelegter Fristen und mehr – die DORA-Anforderungen verpflichten Finanzdienstleistungsunternehmen zur Etablierung robuster IKT-Risikokontrollen.

Vorfallmeldung

Finanzinstitute müssen Systeme für die frühe Vorfallerkennung etablieren, dokumentierte Vorfälle (einschließlich ihrer Grundursachen, Auswirkungen und Abhilfemaßnahmen) innerhalb festgelegter Zeitrahmen an Regulierungsbehörden melden und die Nachwirkungen von Vorfällen untersuchen, um ihre Reaktionsstrategien zu verbessern.

Tests der digitalen operativen Resilienz

Um DORA-Compliance sicherzustellen, müssen EU-Finanzdienstleistungsunternehmen kritische Systeme jährlich (unter Beteiligung kritischer Dritt-IKT-Anbieter) mit realistischen Störungsszenarien testen. Die Ergebnisse helfen dabei, die Reaktions- und Wiederherstellungsfähigkeiten eines Unternehmens genau zu bewerten.

IKT-Drittanbieter-Risikomanagement

DORA verlangt strenges Drittanbieter-Risikomanagement für Finanzunternehmen, die kritische Dienstleistungen auslagern. Wichtige Schritte umfassen die Identifizierung von Hochrisiko-Anbietern, die Durchführung gründlicher Risikobewertungen und die Durchsetzung von Resilienz-Klauseln in Verträgen.

Informationsaustausch

Unter DORA-Compliance müssen Finanzinstitute Systeme und Prozesse entwickeln, die den sicheren Austausch von IKT-risikobezogenen Informationen zwischen diesen Finanzinstituten, IKT-Anbietern, Aufsichtsbehörden und anderen Stakeholdern ermöglichen.

Die 5 Säulen von Dora

Für wen gilt DORA?

Als Ergänzung zur Network and Information Security 2 (NIS2) Richtlinie und der EU-Datenschutz-Grundverordnung (DSGVO) gilt DORA für ein breites Spektrum von Finanzinstituten und verlangt Compliance nicht nur von EU-Finanzdienstleistungsunternehmen, sondern auch von ihren Drittanbietern und Subunternehmern, selbst wenn diese außerhalb Europas ihren Hauptsitz haben.

Die Reichweite des Digital Operational Resilience Act erstreckt sich auf praktisch jeden Technologiedienstleister und jedes Finanzdienstleistungsunternehmen, einschließlich (aber nicht beschränkt auf):

  • Banken und Kreditinstitute
  • Versicherungs- und Rückversicherungsunternehmen
  • Wertpapierfirmen
  • Zahlungsinstitute und E-Geld-Institute
  • Krypto-Asset-Dienstleister
  • Zentralverwahrer (CSDs)
  • Zentrale Gegenparteien (CCPs)
  • Handelsplätze und Trade Repositories
  • Ratingagenturen
  • Verwaltungsgesellschaften und Alternative Investment Fund Manager (AIFMs)
  • Crowdfunding-Dienstleister
  • Datenberichterstattungsdienstleister

Elinext: Expertenebene in der Entwicklung von Finanzsoftware

Als Experte für die Entwicklung von Finanzsoftware mit über 27 Jahren Erfahrung in Cybersicherheits- und Compliance-Beratung bietet Elinext seine umfangreiche Expertise Finanzinstituten an, die vollständige Compliance mit allen fünf DORA-Säulen erreichen möchten.

Mit über 160 abgeschlossenen Fintech-Projekten weiß Elinext besser als jeder andere, wie wichtig es ist, heute die DORA-Regulierung einzuhalten und wie überwältigend diese Aufgabe sein kann. Von umfassender DORA-Compliance-Bewertung über strategische Roadmap-Entwicklung, Etablierung aller notwendigen Richtlinien, Verfahren und technischen Kontrollen bis hin zu kontinuierlicher Überwachung und Updates – unsere zertifizierten Compliance- und Sicherheitsexperten bieten End-to-End-Unterstützung, um sicherzustellen, dass Kunden die Einhaltung der DORA-Anforderungen (sowie anderer Finanzsoftware-Standards wie PCI SSF, DSGVO, PSD2 usw.) erreichen und aufrechterhalten. – Anastasia Timoshenko

Möchten Sie die Einhaltung der DORA-Regulierung sicherstellen? Ein international anerkannter Marktführer in der Entwicklung von Bankensoftware, Elinext, ist bereit, Ihr idealer Partner zu sein.

Lösen Sie mein Geschäftsproblem

Fazit

Da immer mehr Branchen stark technologieabhängig werden, ist starke operative Resilienz heute wichtiger denn je. Die Bedrohung ist jedoch besonders bedeutsam in der Finanzbranche, die für das Funktionieren von Volkswirtschaften und der Gesellschaft insgesamt wesentlich ist. Die DORA-Richtlinie, die darauf ausgelegt ist, technologische Risiken für Banken und Kreditinstitute, Wertpapierfirmen, Versicherungs- und Rückversicherungsunternehmen sowie andere Finanzinstitute im Finanznetzwerk zu mindern, verlangt strenges IKT-Risikomanagement, Vorfallmeldung und Drittanbieter-Überwachung für Finanzunternehmen und ihre Drittanbieter und Subunternehmer und harmonisiert so die digitale Resilienz in der Europäischen Union.

FAQ

Was ist DORA?

Das Digital Operational Resilience Act ist eine Regulierung zur Stärkung der Cyber-Resilienz von Finanzdienstleistungsunternehmen in der EU. Das Hauptziel ist sicherzustellen, dass Unternehmen der Finanzbranche resilient gegen Cyber-Vorfälle und operative Störungen sind und sich davon erholen können.

Gilt DORA für Unternehmen außerhalb der EU?

Sie müssen nicht unbedingt in Europa ansässig sein, um die DORA-Regulierung einzuhalten. Wenn Sie ein IKT-Anbieter für eine EU-Finanzinstitution sind, kann Compliance erforderlich sein, unabhängig davon, wo sich Ihr Unternehmenssitz befindet.

Welche Schritte sollten Unternehmen jetzt zur Vorbereitung unternehmen?

Sie können Elinexts Experten für Cybersicherheit, operative Resilienz und regulatorische Compliance beauftragen, Ihre aktuelle DORA-Position zu bewerten. Falls Anpassungen zur Sicherstellung der DORA-Compliance erforderlich sind, stehen wir bereit zu helfen.

Wie verhält sich DORA zu anderen Regulierungen?

Mit Fokus auf digitale operative Resilienz im Finanzwesen ergänzt DORA bestehende Regulierungen wie die Network and Information Security Directive 2 (NIS2), die Datenschutz-Grundverordnung (DSGVO), Service Organization Control 2 (SOC2) und die überarbeitete Zahlungsdiensterichtlinie (PSD2).

Was sind die Hauptanforderungen von DORA?

Die Einhaltung der DORA-Richtlinie erfordert vollständige Befolgung von fünf kritischen Schwerpunktbereichen der Regulierung: IKT-Risikomanagement, Meldung größerer IKT-bezogener Vorfälle, Tests der digitalen operativen Resilienz, Informations- und Geheimdienstaustauch sowie Management von IKT-Drittanbieter-Risiken.

Wann tritt DORA in Kraft?

Das Digital Operational Resilience Act wurde 2020 eingeführt und später 2022 verabschiedet. Es etabliert verbindliche IKT-Standards für Finanzinstitute und ihre kritischen Dritt-Technologiedienstleister, wobei Compliance bis zum 17. Januar 2025 erforderlich ist.

Kontakt
Kontakt



    Insert math as
    Block
    Inline
    Additional settings
    Formula color
    Text color
    #333333
    Type math using LaTeX
    Preview
    \({}\)
    Nothing to preview
    Insert