Was ist DORA?

Der Digital Operational Resilience Act (DORA) trat am 17. Januar 2025 in Kraft und stellt die bedeutendste regulatorische Überarbeitung der Finanztechnologie-Infrastruktur seit einem Jahrzehnt dar. Diese EU-Verordnung schafft einen einheitlichen Rahmen für das IKT-Risikomanagement im gesamten Finanzsektor.

DORA schließt eine kritische Lücke: Während sich frühere Regulierungen auf Kapitaladäquanz und finanzielle Stabilität konzentrierten, behandelten sie die zunehmende Abhängigkeit von digitaler Infrastruktur nicht angemessen. Mit 65% der Finanzinstitute, die 2024 Ransomware-Angriffe meldeten, und Datenschutzverletzungen, die durchschnittlich 5,9 Millionen Dollar pro Vorfall kosten, ist der Zeitpunkt kritisch.

Sophos State of Ransomware in Financial Services 2024IBM Cost of a Data Breach Report 2024 - Financial Industry

DORA in Zahlen

Der Anwendungsbereich der Verordnung ist umfangreich und deckt praktisch das gesamte EU-Finanzökosystem ab:

22.000+
Betroffene Unternehmen

Finanzinstitute und IKT-Anbieter betroffen

PwC DORA-Analyse
20
Unternehmenstypen

Verschiedene Kategorien von Banken bis zu Krypto-Anbietern

ESMA DORA
4 Stunden
Erstmeldung

Zeit zur Benachrichtigung der Behörden bei schwerwiegenden Vorfällen

EUR-Lex DORA-Verordnung
2%
Maximales Bußgeld

Des weltweiten Jahresumsatzes bei Nichteinhaltung

EUR-Lex DORA-Verordnung
Für wen gilt DORA?

DORA gilt für Banken, Versicherungsunternehmen, Wertpapierfirmen, Zahlungsinstitute, Krypto-Asset-Dienstleister, Handelsplätze und deren kritische IKT-Drittdienstleister. Laut EIOPA umfasst dies auch Unternehmen, die bisher keiner umfassenden IKT-Sicherheitsregulierung unterlagen.

EIOPA - Digital Operational Resilience Act (DORA)

Die fünf Säulen von DORA

DORA definiert fünf Kernbereiche, die Finanzunternehmen für die Compliance adressieren müssen:

IKT-Risikomanagement

Umfassendes Framework zur Identifizierung, zum Schutz vor, zur Erkennung von, zur Reaktion auf und zur Erholung von IKT-Risiken. Die Geschäftsleitung trägt die letztendliche Verantwortung.

Incident-Reporting

Standardisierte Klassifizierung und Meldung schwerwiegender IKT-bezogener Vorfälle. Erstbenachrichtigung innerhalb von 4 Stunden, Zwischenbericht in 72 Stunden, Abschlussbericht in 1 Monat.

Resilienz-Testing

Regelmäßige Tests einschließlich Schwachstellenbewertungen und Threat-Led Penetration Testing (TLPT) für bedeutende Unternehmen alle 3 Jahre.

Drittanbieter-Risiko

Management und Überwachung von IKT-Anbietern, einschließlich der Pflege eines Informationsregisters (RoI), das bis zum 30. April 2025 bei den ESAs einzureichen ist.

Incident-Reporting-Zeitplan

Die Incident-Reporting-Anforderungen von DORA gehören zu den operativ anspruchsvollsten Aspekten. Die Fristen sind mit der NIS2-Richtlinie abgestimmt:

1

Erkennung (T+0)

Vorfall wird durch Überwachungssysteme erkannt. Klassifizierungsprozess beginnt sofort.

2

Erstbenachrichtigung (4-24 Stunden)

Erster Bericht innerhalb von 4 Stunden nach Klassifizierung oder 24 Stunden nach Erkennung—je nachdem, was zuerst eintritt.

3

Zwischenbericht (72 Stunden)

Detaillierter Bericht über Vorfallumfang, Auswirkungsbewertung und erste Abhilfemaßnahmen.

4

Abschlussbericht (1 Monat)

Umfassende Analyse einschließlich Ursachenanalyse, Gesamtauswirkung und umgesetzter Präventivmaßnahmen.

Strafen bei Nichteinhaltung

Finanzunternehmen riskieren Bußgelder von bis zu 2% des weltweiten Jahresumsatzes oder 10 Millionen Euro. Kritische Drittanbieter können mit Bußgeldern von bis zu 1% des durchschnittlichen täglichen globalen Umsatzes pro Tag belegt werden—für bis zu sechs Monate. Einzelne Führungskräfte können Strafen von bis zu 1 Million Euro erhalten. Behörden können Verstöße auch öffentlich bekanntgeben, was zu erheblichem Reputationsschaden führt.

Die Rolle der Edge-Architektur

Edge-Sicherheitsinfrastruktur spielt eine entscheidende Rolle bei der DORA-Compliance. Als erste Verteidigungslinie verarbeiten Edge-Plattformen Traffic-Management, Sicherheitsdurchsetzung und Verfügbarkeit—alles Bereiche, die direkt von DORA-Anforderungen adressiert werden.

Eine gut konzipierte Edge-Schicht bietet die Sichtbarkeits-, Kontroll- und Resilienzfähigkeiten, die die Grundlage der Betriebsresilienz bilden. Entscheidend ist, dass sie die Echtzeit-Überwachung und Protokollierung ermöglicht, die zur Einhaltung der aggressiven Incident-Reporting-Fristen von DORA erforderlich sind.

DORA-Anforderungen und Edge-Fähigkeiten

DORA-AnforderungEdge-FähigkeitImplementierung
Erkennung anomaler Aktivitäten (Art. 10)WAF + Echtzeit-AnalyticsTraffic-Analyse, Bedrohungserkennung, Verhaltensüberwachung
Sicherstellung der Servicekontinuität (Art. 11)Load Balancer + GTMHochverfügbarkeit, automatisches Failover, geografische Redundanz
Zugangskontrollmechanismen (Art. 9)Access Gateway (AGS)MFA, SSO, bedingter Zugang, Session-Management
Incident-Erkennung & Protokollierung (Art. 17)Zentralisierte ProtokollierungEchtzeit-Warnungen, Audit-Trails, SIEM-Integration
Resilienz-Testing (Art. 24-27)Health MonitoringAutomatisierte Health-Checks, synthetisches Monitoring, Failover-Tests

Drittanbieter-Risikomanagement

DORA legt erheblichen Wert auf das Management von IKT-Drittanbieterrisiken. Bis zum 30. April 2025 müssen Finanzunternehmen ihr Informationsregister (RoI), das alle Beziehungen zu IKT-Dienstleistern dokumentiert, bei den europäischen Aufsichtsbehörden einreichen.

Die ESAs haben bereits Kritische IKT-Drittanbieter (CTPPs) benannt, die einer direkten Aufsicht unterliegen. Bei der Auswahl von Edge-Sicherheitsanbietern sollten Sie sicherstellen, dass diese Folgendes bieten können: detaillierte SLAs mit Verfügbarkeitszusagen, Sicherheitszertifizierungen (ISO 27001, SOC 2), Incident-Benachrichtigungsverfahren, Prüfungsrechte und Exit-Strategie-Bestimmungen.

Branchenkontext

Laut einer PwC-Umfrage äußerten 70% der Finanzunternehmen Bedenken, die DORA-Anforderungen rechtzeitig zu erfüllen. Branchenschätzungen gehen davon aus, dass die Compliance-Kosten im Durchschnitt 181 Milliarden Dollar jährlich für den gesamten Sektor betragen könnten. Die Investition ist erheblich, aber gerechtfertigt: ENISA berichtet, dass das Finanzwesen der am dritthäufigsten angegriffene Sektor ist und 9% der beobachteten Cyber-Vorfälle ausmacht.

Best Practices für die Implementierung

Basierend auf Leitlinien der Europäischen Bankenaufsichtsbehörde und Branchenerfahrung:

01

Beginnen Sie mit der Asset-Inventarisierung

Dokumentieren Sie alle IKT-Assets, ihre Kritikalität und Abhängigkeiten. DORA verlangt das Verständnis der gesamten IKT-Landschaft, die Geschäftsfunktionen unterstützt.

02

Zentralisieren Sie die Überwachung

Einheitliche Sichtbarkeit über alle Traffic-Flüsse ist unerlässlich, um die 4-Stunden-Meldefristen einzuhalten. Erwägen Sie integrierte Plattformen, die Sicherheit und Bereitstellung konsolidieren.

03

Automatisieren Sie wo möglich

Manuelle Prozesse können die DORA-Fristen nicht einhalten. Automatisieren Sie Incident-Erkennung, Klassifizierung und erste Benachrichtigungs-Workflows.

04

Testen Sie Ihre Reaktion

Führen Sie Planspiele für Incident-Szenarien durch. Überprüfen Sie, ob Ihr Team innerhalb der erforderlichen Zeitrahmen klassifizieren, melden und reagieren kann.

05

Dokumentieren Sie alles

DORA verlangt Nachweise der Compliance. Pflegen Sie umfassende Protokolle, Richtlinien und Testaufzeichnungen für die regulatorische Prüfung.

Häufig gestellte Fragen

Ja, wenn sie kritische IKT-Dienste für EU-Finanzunternehmen erbringen. DORA kann von kritischen Nicht-EU-Drittanbietern verlangen, EU-Tochtergesellschaften zu gründen, um unter die Regulierungsaufsicht zu fallen.

DORA ist sektorspezifische Gesetzgebung für Finanzdienstleistungen, während NIS2 breiter gefasst ist. Die Incident-Reporting-Fristen von DORA sind mit NIS2 abgestimmt. Finanzunternehmen folgen primär DORA, können aber auch NIS2-Verpflichtungen für bestimmte Aktivitäten haben.

TLPT ist fortgeschrittenes Red-Team-Testing, das für bedeutende Finanzunternehmen alle 3 Jahre erforderlich ist. Es simuliert realistische Angriffsszenarien auf Basis aktueller Bedrohungsintelligenz und geht über Standard-Penetrationstests hinaus.

Finanzunternehmen müssen ihr Informationsregister, das IKT-Drittanbieterbeziehungen dokumentiert, zur Einreichung bei den zuständigen Behörden bereithalten. Die ESAs erwarten, diese Register bis zum 30. April 2025 zu sammeln.

DORA-bereite Infrastruktur

Die einheitliche Plattform von TR7 bietet die Sichtbarkeits-, Kontroll- und Resilienzfähigkeiten, die für die DORA-Compliance erforderlich sind. WAF, Zugangsverwaltung, Hochverfügbarkeit und umfassende Protokollierung—alles von einer einzigen Plattform mit zentralisierter Überwachung.

Finanzdienstleistungslösungen erkunden