Wire Blog - Europas sicherste Kommunikationsplattform

DORA erklärt: Die 5 Säulen digitaler Resilienz

Geschrieben von Wire | 15.05.2025 14:00:08

Der Digital Operational Resilience Act (DORA) verändert das regulatorische Umfeld in Europa grundlegend: Finanzunternehmen müssen digitale Resilienz künftig genauso ernst nehmen wie Kredit- oder Liquiditätsrisiken. Für Unternehmen, die sich in der digitalen Transformation befinden, ist das Verständnis der fünf zentralen Säulen von DORA entscheidend – für sichere interne Kommunikation, Geschäftskontinuität und regulatorische Compliance.

Erfahren Sie, wie Wire Finanzinstitutionen mit sicheren, konformen Kommunikationstools bei der Einhaltung der DORA-Vorgaben unterstützt. Um Unternehmen die Navigation durch die Komplexität zu erleichtern, hat Wire gemeinsam mit Reuschlaw ein neues Whitepaper entwickelt, das alle wichtigen Aspekte aufschlüsselt.

Mehr erfahren ->

Was ist DORA?

Der „Digital Operational Resilience Act“ – kurz DORA – ist eine Verordnung der Europäischen Union (EU), die darauf abzielt, die digitale operationelle Resilienz im Finanzsektor zu vereinheitlichen und zu stärken. Die Verordnung (EU) 2022/2554 trat im Januar 2023 in Kraft und ist ab dem 17. Januar 2025 vollständig anwendbar.

Besonders an DORA ist der technologieneutrale Ansatz in Kombination mit der verbindlichen Rechtswirksamkeit in allen EU-Mitgliedstaaten. Da es sich um eine Verordnung handelt – und nicht um eine Richtlinie –, gilt DORA unmittelbar und ohne nationale Umsetzung, was Konsistenz und sofortige Gültigkeit sicherstellt.

Doch das Verständnis der Verordnung ist nur der erste Schritt.
In unserem aktuellen Artikel werfen wir einen genaueren Blick auf zwei zentrale Herausforderungen, die die DORA-Compliance besonders komplex machen – und wie Unternehmen diese rechtzeitig adressieren können, bevor sie zu echten Risiken werden.

Was sind die fünf Säulen von DORA?

1) IKT-Risikomanagement

Was verlangt wird:
Alle Finanzinstitute müssen ein internes Governance-Rahmenwerk zur Steuerung von IKT-Risiken aufbauen.
Dazu gehören u. a. die Erfassung digitaler Assets, Risikoklassifizierung sowie die Entwicklung von Notfall- und Wiederherstellungsplänen.

Kernmaßnahmen:

  • Definition geschäftskritischer Dienstleistungen und ihrer IKT-Abhängigkeiten
  • Führung eines aktuellen Verzeichnisses aller IKT-Vermögenswerte
  • Einführung von Zugriffskontrollen, Patch-Management und Änderungsprozessen
  • Förderung des Cybersecurity-Bewusstseins in allen Abteilungen

2) Vorfallmanagement & -meldung

Was verlangt wird:
Organisationen müssen größere IKT-bezogene Vorfälle klassifizieren, dokumentieren und melden – optional auch relevante Cyberbedrohungen.

Meldepflichten umfassen:

  • Benachrichtigung des Top-Managements und der zuständigen Behörden bei schwerwiegenden Vorfällen
  • Berichterstattung über standardisierte Meldeformulare, mit Schwellenwerten und Fristen, definiert durch die europäischen Aufsichtsbehörden (ESAs)
  • Führung von Audit-Trails und Kommunikationsprotokollen
  • Unverzügliche Information betroffener Kunden, sofern deren finanzielle Interessen tangiert sind

3) Testung der digitalen Resilienz

Was verlangt wird:
Regelmäßige Tests zur Prävention, Erkennung, Reaktion und Wiederherstellung bei IKT-Störungen.

Testverfahren umfassen:

  • Jährliche Schwachstellenanalysen
  • Penetrationstests unter realen Bedingungen (TLPT) alle drei Jahre für systemrelevante Einrichtungen
  • Red-Teaming, Stresstests und Simulationen
  • Unabhängige Validierung und Dokumentation der Testergebnisse

4) Kontrolle von Drittparteirisiken

Was verlangt wird:
Finanzinstitute müssen alle IKT-Dienstleister erfassen, Risiko-Konzentrationen bewerten und vertragliche Kontrollmechanismen verankern.

DORA fordert:

  • Mindestanforderungen für Auslagerungsverträge (z. B. Datenstandort, Zugriffskontrollen)
  • Kontinuierliche Überwachung ausgelagerter Funktionen
  • Notfallplanung und Exit-Strategien
  • Klare Rollenverteilung – die Verantwortung bleibt beim Finanzinstitut

5) Austausch von Cyber-Bedrohungsinformationen

Was verlangt wird:
Die Teilnahme an Informationsaustausch-Initiativen ist zwar freiwillig, wird jedoch ausdrücklich empfohlen.

Empfohlene Maßnahmen:

  • Teilnahme an ISACs (Information Sharing and Analysis Centers) auf nationaler oder sektorspezifischer Ebene
  • Abschluss formeller Vereinbarungen zum Bedrohungsaustausch
  • Meldung der Teilnahme an Austauschsystemen gegenüber Aufsichtsbehörden
  • Nutzung der Erkenntnisse zur Optimierung interner Risiko- und Reaktionsprozesse

Mit Wire einen Schritt voraus

Wire unterstützt regulierte Unternehmen bei der Einhaltung der DORA-Anforderungen an Kommunikation – mit sicheren, resilienten und konformen Tools für die interne Zusammenarbeit, die Ihre Teams auch in Krisensituationen verbunden hält.

  • Verschlüsselte Fallback-Kommunikation für Vorfallsreaktionen
  • Unterstützung bei Krisensimulationen

Bereit, Ihre Kommunikation DORA-konform zu gestalten?
Vollständigen Beitrag anzeigen