MLS
Wire MLS: Jetzt verfügbar für alle Nutzer
Die neueste Wire-Version bringt standardmäßig MLS-Sicherheit für alle Funktionen – von Messaging über Anrufe und Video bis zu Dateiaustausch,...
Was DORA verlangt und wie Sie mit den 5 Säulen IT-Risiken minimieren, Vorfälle melden und Resilienz sicherstellen – inkl. Whitepaper von Wire & Reuschlaw.
Der Digital Operational Resilience Act (DORA) verändert das regulatorische Umfeld in Europa grundlegend: Finanzunternehmen müssen digitale Resilienz künftig genauso ernst nehmen wie Kredit- oder Liquiditätsrisiken. Für Unternehmen, die sich in der digitalen Transformation befinden, ist das Verständnis der fünf zentralen Säulen von DORA entscheidend – für sichere interne Kommunikation, Geschäftskontinuität und regulatorische Compliance.
Erfahren Sie, wie Wire Finanzinstitutionen mit sicheren, konformen Kommunikationstools bei der Einhaltung der DORA-Vorgaben unterstützt. Um Unternehmen die Navigation durch die Komplexität zu erleichtern, hat Wire gemeinsam mit Reuschlaw ein neues Whitepaper entwickelt, das alle wichtigen Aspekte aufschlüsselt.
Was ist DORA?
Der „Digital Operational Resilience Act“ – kurz DORA – ist eine Verordnung der Europäischen Union (EU), die darauf abzielt, die digitale operationelle Resilienz im Finanzsektor zu vereinheitlichen und zu stärken. Die Verordnung (EU) 2022/2554 trat im Januar 2023 in Kraft und ist ab dem 17. Januar 2025 vollständig anwendbar.
Besonders an DORA ist der technologieneutrale Ansatz in Kombination mit der verbindlichen Rechtswirksamkeit in allen EU-Mitgliedstaaten. Da es sich um eine Verordnung handelt – und nicht um eine Richtlinie –, gilt DORA unmittelbar und ohne nationale Umsetzung, was Konsistenz und sofortige Gültigkeit sicherstellt.
Doch das Verständnis der Verordnung ist nur der erste Schritt.
In unserem aktuellen Artikel werfen wir einen genaueren Blick auf zwei zentrale Herausforderungen, die die DORA-Compliance besonders komplex machen – und wie Unternehmen diese rechtzeitig adressieren können, bevor sie zu echten Risiken werden.
Was sind die fünf Säulen von DORA?
1) IKT-Risikomanagement
Was verlangt wird:
Alle Finanzinstitute müssen ein internes Governance-Rahmenwerk zur Steuerung von IKT-Risiken aufbauen.
Dazu gehören u. a. die Erfassung digitaler Assets, Risikoklassifizierung sowie die Entwicklung von Notfall- und Wiederherstellungsplänen.
Kernmaßnahmen:
- Definition geschäftskritischer Dienstleistungen und ihrer IKT-Abhängigkeiten
- Führung eines aktuellen Verzeichnisses aller IKT-Vermögenswerte
- Einführung von Zugriffskontrollen, Patch-Management und Änderungsprozessen
- Förderung des Cybersecurity-Bewusstseins in allen Abteilungen
2) Vorfallmanagement & -meldung
Was verlangt wird:
Organisationen müssen größere IKT-bezogene Vorfälle klassifizieren, dokumentieren und melden – optional auch relevante Cyberbedrohungen.
Meldepflichten umfassen:
- Benachrichtigung des Top-Managements und der zuständigen Behörden bei schwerwiegenden Vorfällen
- Berichterstattung über standardisierte Meldeformulare, mit Schwellenwerten und Fristen, definiert durch die europäischen Aufsichtsbehörden (ESAs)
- Führung von Audit-Trails und Kommunikationsprotokollen
- Unverzügliche Information betroffener Kunden, sofern deren finanzielle Interessen tangiert sind
3) Testung der digitalen Resilienz
Was verlangt wird:
Regelmäßige Tests zur Prävention, Erkennung, Reaktion und Wiederherstellung bei IKT-Störungen.
Testverfahren umfassen:
- Jährliche Schwachstellenanalysen
- Penetrationstests unter realen Bedingungen (TLPT) alle drei Jahre für systemrelevante Einrichtungen
- Red-Teaming, Stresstests und Simulationen
- Unabhängige Validierung und Dokumentation der Testergebnisse
4) Kontrolle von Drittparteirisiken
Was verlangt wird:
Finanzinstitute müssen alle IKT-Dienstleister erfassen, Risiko-Konzentrationen bewerten und vertragliche Kontrollmechanismen verankern.
DORA fordert:
- Mindestanforderungen für Auslagerungsverträge (z. B. Datenstandort, Zugriffskontrollen)
- Kontinuierliche Überwachung ausgelagerter Funktionen
- Notfallplanung und Exit-Strategien
- Klare Rollenverteilung – die Verantwortung bleibt beim Finanzinstitut
5) Austausch von Cyber-Bedrohungsinformationen
Was verlangt wird:
Die Teilnahme an Informationsaustausch-Initiativen ist zwar freiwillig, wird jedoch ausdrücklich empfohlen.
Empfohlene Maßnahmen:
- Teilnahme an ISACs (Information Sharing and Analysis Centers) auf nationaler oder sektorspezifischer Ebene
- Abschluss formeller Vereinbarungen zum Bedrohungsaustausch
- Meldung der Teilnahme an Austauschsystemen gegenüber Aufsichtsbehörden
- Nutzung der Erkenntnisse zur Optimierung interner Risiko- und Reaktionsprozesse
Mit Wire einen Schritt voraus
Wire unterstützt regulierte Unternehmen bei der Einhaltung der DORA-Anforderungen an Kommunikation – mit sicheren, resilienten und konformen Tools für die interne Zusammenarbeit, die Ihre Teams auch in Krisensituationen verbunden hält.
- Verschlüsselte Fallback-Kommunikation für Vorfallsreaktionen
- Unterstützung bei Krisensimulationen
Bereit, Ihre Kommunikation DORA-konform zu gestalten?
