Alles, was Sie über DORA wissen müssen

Die Abhängigkeit des Finanzsektors von digitaler Infrastruktur war noch nie so groß – und zugleich so risikobehaftet. Von Ransomware-Angriffen bis hin zu Ausfällen in Echtzeit nehmen Bedrohungen sowohl in Häufigkeit als auch in Schwere zu. Aus diesem Grund hat die Europäische Union die Verordnung über digitale operationelle Resilienz (DORA) eingeführt – eine Regulierung, die Finanzunternehmen verpflichtet, IKT-Störungen proaktiv zu managen und ihnen standzuhalten.

Gehört Ihr Unternehmen zum Finanzökosystem der EU oder unterstützt es eines? Dann ist jetzt der richtige Zeitpunkt, sich mit DORA vertraut zu machen. Um Organisationen bei der Orientierung zu unterstützen, hat Wire gemeinsam mit Reuschlaw ein neues Whitepaper entwickelt, das die wichtigsten Punkte verständlich aufbereitet.

Whitepaper herunterladen

Was ist DORA?

Die Verordnung über digitale operationelle Resilienz (DORA) ist die EU-Verordnung 2022/2554. Sie ist ab dem 17. Januar 2025 vollständig anwendbar. Anders als frühere Regelwerke bietet DORA einen einheitlichen Rechtsrahmen für das Management von IKT-Risiken im gesamten Finanzsektor – einschließlich Banken, Versicherern, Krypto-Dienstleistern und deren IKT-Partnern.

Man kann DORA als das „GDPR der operationellen Resilienz“ betrachten: technologieneutral, in allen EU-Mitgliedstaaten unmittelbar anwendbar und mit voller Rechtskraft ausgestattet. Das Ziel: Finanzdienstleistungen müssen auch während Cyberangriffen oder Systemausfällen zuverlässig funktionieren.

Doch die Umsetzung von DORA bringt erhebliche Herausforderungen mit sich – etwa die vertragliche Absicherung komplexer IKT-Lieferketten oder den Aufbau robuster interner Melde- und Reaktionsstrukturen. Viele Unternehmen müssen überdenken, wie sie digitale Risiken managen, in Krisensituationen kommunizieren und die Geschäftskontinuität aufrechterhalten.

Warum DORA wichtig ist

DORA markiert einen grundlegenden Wandel im Bereich der Cybersecurity- und Compliance-Vorgaben der EU. Aus folgenden Gründen ist das relevant:

• Schließt kritische Lücken im operationellen Risikomanagement, die zuvor nur durch nationale Regelungen oder Kapitalpuffer adressiert wurden
• Reagiert auf aktuelle Bedrohungen wie hochentwickelte Ransomware oder Schwachstellen in Drittanbieter-Software (z. B. SolarWinds)
• Stärkt die digitale Souveränität, indem sie den Einsatz konformer – oft EU-basierter – Anbieter fordert und Offshore-Lösungen mit niedrigeren Standards ausschließt

Kurz gesagt: DORA ist ein völlig neuer Denkansatz, wie wir Finanzsysteme in einer hochvernetzten Welt absichern.

Für wen ist DORA relevant?

DORA gilt für mehr als 20 Kategorien von Finanzunternehmen, darunter:

• Banken und Kreditinstitute
• Wertpapierfirmen und Zahlungsdienstleister
• Versicherungs- und Rückversicherungsunternehmen
• Krypto-Dienstleister (im Rahmen von MiCA)
• Pensionsfonds und Crowdfunding-Plattformen
• Marktinfrastrukturbetreiber (z. B. CCPs, Handelsplätze)

Doch damit endet es nicht.
IKT-Drittanbieter – etwa Cloud-Plattformen, Software- und Hardwareanbieter oder auch interne IT-Abteilungen – unterliegen ebenfalls den Vorgaben, sofern sie Finanzunternehmen unterstützen. Für diese Anbieter entsteht damit eine doppelte Compliance-Herausforderung, insbesondere in Kombination mit NIS2-Anforderungen.

Zum NIS2-Whitepaper

Die fünf Säulen der DORA-Compliance (auf einen Blick)

Um digitale operationelle Resilienz zu erreichen, definiert DORA fünf zentrale Compliance-Bereiche:

1. IKT-Risikomanagement
   Jede Organisation muss ein belastbares Governance-Framework für IKT-Risiken etablieren – inklusive Asset-Inventar, Zugriffskontrollen und Notfallplanung.
2. Vorfallmeldung
   Größere Vorfälle müssen identifiziert, klassifiziert und innerhalb enger Fristen an die Aufsichtsbehörden gemeldet werden.
3. Resilienz-Tests
   Regelmäßige Simulationen realer Cyberangriffe sind vorgeschrieben – z. B. durch TLPTs, Red Teaming und Planspiele.
4. Drittparteirisikomanagement
   Alle IKT-Verträge müssen konkrete Anforderungen zu Zugriff, Datenstandort, Überwachung und Notfallmaßnahmen enthalten – insbesondere bei kritischen Drittanbietern (CTPPs).
5. Austausch von Bedrohungsinformationen
   Organisationen werden ermutigt, an Netzwerken für den Austausch von Cyberbedrohungen teilzunehmen, um Risiken frühzeitig zu erkennen und koordiniert zu reagieren.

Mit Wire einen Schritt voraus

Wire unterstützt regulierte Organisationen dabei, die Kommunikationsanforderungen von DORA zu erfüllen – mit sicheren, resilienten und konformen Tools für die interne Zusammenarbeit, die Ihre Teams auch in Krisensituationen verbunden hält.

• Verschlüsselte Fallback-Kommunikation für den Notfall
• Unterstützung bei Krisensimulationen

Bereit, Ihre Kommunikation DORA-konform zu gestalten?