DORA Beratung

Der Digital Operational Resilience Act (EU 2022/2554) gilt seit dem 17. Januar 2025 verbindlich für den gesamten EU-Finanzsektor. Betroffen sind Banken, Versicherungen, Wertpapierfirmen, Zahlungsdienstleister, Kreditinstitute, Investmentfonds, Ratingagenturen und zentrale Gegenparteien. Neu und besonders weitreichend: DORA gilt auch für kritische IKT-Drittanbieter – also Cloud-Anbieter, Rechenzentren und Managed Service Provider, die für den Finanzsektor tätig sind.

Im Kern zwingt DORA Finanzunternehmen dazu, ihre operationale Resilienz gegenüber IKT-Risiken systematisch zu managen. Das klingt nach einer Fortschreibung bekannter IT-Sicherheitspflichten – ist es aber nicht vollständig. DORA schafft einheitliche, verbindliche Anforderungen auf EU-Ebene, die über das hinausgehen, was bestehende nationale Regelungen (z.B. MaRisk oder BAIT in Deutschland) bislang gefordert haben. Bestehende Compliance mit nationalen Vorgaben ist kein Garant für DORA-Konformität.

Die fünf Säulen von DORA sind: IKT-Risikomanagement, Incident-Meldung und -Klassifizierung, digitale operative Resilienztests, Drittanbieter-Management und Informationsaustausch. Jede dieser Säulen ist durch Regulatory Technical Standards (RTS) und Implementing Technical Standards (ITS) untermauert, die detaillierte Umsetzungsanforderungen vorgeben.

DORA verlangt einen vollständigen IKT-Risikomanagementrahmen mit klarer Verantwortung auf Leitungsebene. Die Geschäftsführung trägt die Gesamtverantwortung für IKT-Risiken und muss aktiv in deren Steuerung eingebunden sein – nicht nur durch formelle Genehmigungen, sondern durch ein nachweisbares Verständnis der wesentlichen Risiken. Schulungen und regelmäßige Lageberichte für die Führungsebene sind keine Option, sondern Pflicht.

Der Risikomanagementrahmen muss alle Phasen des IKT-Lebenszyklus abdecken: Identifizierung von Abhängigkeiten und kritischen Systemen, Schutzmaßnahmen und Härtung, Erkennung von Anomalien, Reaktion auf Vorfälle und Wiederherstellung. Dabei sind die Kommunikationspläne für Krisen (intern und extern) ebenso verbindlich wie die technischen Gegenmaßnahmen.

Ein oft unterschätztes Element ist die Business-Impact-Analyse: DORA fordert, dass Finanzunternehmen ihre Geschäftsprozesse nach Kritikalität einstufen und für kritische Prozesse spezifische Recovery Time Objectives (RTO) und Recovery Point Objectives (RPO) definieren. Diese Werte müssen regelmäßig getestet und aktualisiert werden.

Threat-Led Penetration Testing (TLPT) ist die anspruchsvollste Anforderung von DORA. Bedeutende Finanzinstitute müssen mindestens alle drei Jahre einen TLPT durchführen – einen realitätsnahen Angriffssimulation, die sich an aktuellen Bedrohungsszenarien orientiert, die speziell auf den Finanzsektor zugeschnitten sind. DORA orientiert sich dabei am TIBER-EU-Framework (Threat Intelligence-Based Ethical Red Teaming), das von der EZB entwickelt wurde.

Ein TLPT ist kein regulärer Penetrationstest. Er beginnt mit einer spezifischen Threat-Intelligence-Phase: Externe Anbieter analysieren, welche Angreifergruppen das Institut realistischerweise ins Visier nehmen könnten und welche Taktiken, Techniken und Prozeduren (TTPs) diese Gruppen einsetzen. Auf dieser Basis werden Angriffsszenarien entwickelt, die das Red Team im Test nachbildet. Das Ergebnis ist kein Standard-Vulnerability-Report, sondern ein tiefes Verständnis der realen Angriffsfläche.

Wir koordinieren TLPT-Programme end-to-end: von der Scope-Definition und Abstimmung mit der zuständigen Behörde über die Auswahl qualifizierter Threat-Intelligence- und Red-Team-Anbieter bis zur Nachbereitung und Behebung identifizierter Schwachstellen. Für Unternehmen, die TLPT zum ersten Mal durchführen, ist diese Koordinationsleistung ebenso wichtig wie die technische Durchführung.

DORA legt besonderes Gewicht auf das Management von IKT-Drittanbietern – und das aus gutem Grund: Die meisten schwerwiegenden Ausfälle im Finanzsektor haben ihren Ursprung nicht im eigenen Rechenzentrum, sondern bei externen Dienstleistern. DORA verpflichtet Finanzunternehmen dazu, ein vollständiges Register aller IKT-Drittanbieter zu führen, kritische Abhängigkeiten zu identifizieren und das Risikoniveau jedes Anbieters zu bewerten.

Verträge mit kritischen IKT-Drittanbietern müssen DORA-spezifische Klauseln enthalten: Ausstiegsstrategien, Auditrechte, Meldepflichten bei eigenen Sicherheitsvorfällen, Business-Continuity-Anforderungen und Regelungen zur Sub-Outsourcing-Kette. Viele bestehende IT-Verträge genügen diesen Anforderungen nicht – ein sorgfältiges Contract Review und, wo nötig, Nachverhandlungen sind erforderlich.

Für kritische IKT-Drittanbieter schafft DORA zudem eine direkte Aufsicht durch die europäischen Finanzaufsichtsbehörden (EBA, EIOPA, ESMA). Anbieter wie große Cloud-Plattformen, die für den europäischen Finanzsektor systemrelevant sind, können direkt reguliert werden. Das verändert das Machtgefüge in Verhandlungen – und gibt Finanzunternehmen stärkere Argumente für vertragliche Anforderungen.