DORA — EU-Verordnung zur digitalen operationellen Resilienz im Finanzsektor

Am 17. Januar 2025 tritt die DORA-Verordnung (Digital Operational Resilience Act) in Kraft — und Finanzinstitute in der EU haben weniger als ein Jahr zur Vorbereitung. DORA harmonisiert erstmals die Anforderungen an ICT-Risikomanagement, Incident Reporting, Resilienztests und das Management von Drittanbietern im gesamten Finanzsektor. Ignorieren ist keine Option — es drohen Sanktionen von bis zu 1 % des durchschnittlichen täglichen weltweiten Umsatzes.

Was ist DORA und wen betrifft es¶

DORA (EU-Verordnung 2022/2554) ist ein direkt anwendbarer Rechtsakt — er bedarf keiner Umsetzung in nationales Recht. Er gilt für praktisch den gesamten Finanzsektor: Banken, Versicherer, Wertpapierfirmen, Zahlungsinstitute, Crypto-Asset-Provider sowie kritische ICT-Dienstleister dieser Institutionen (Cloud-Provider, Outsourcing-Partner, SaaS-Anbieter).

Dies ist der entscheidende Unterschied zu früheren Regulierungen: DORA führt erstmals eine direkte Aufsicht über ICT-Drittanbieter ein. Wenn Sie IT-Dienstleistungen an Banken liefern, betrifft DORA auch Sie.

Fünf Säulen von DORA¶

Die Verordnung stützt sich auf fünf Kernbereiche:

• ICT-Risikomanagement: Ein verpflichtendes umfassendes Framework für das Management von ICT-Risiken. Identifikation, Schutz, Erkennung, Reaktion, Wiederherstellung. Verantwortlichkeit auf Vorstandsebene.
• ICT Incident Reporting: Ein standardisierter Prozess zur Meldung schwerwiegender ICT-Vorfälle. Erstbenachrichtigung innerhalb von 4 Stunden nach Klassifizierung, Zwischenbericht innerhalb von 72 Stunden, Abschlussbericht innerhalb eines Monats.
• Digital Operational Resilience Testing: Regelmäßige Tests — Vulnerability Assessments, Penetrationstests. Für systemrelevante Institutionen verpflichtendes TLPT (Threat-Led Penetration Testing) alle 3 Jahre.
• ICT Third-Party Risk Management: Due Diligence bei Anbietern, vertragliche Anforderungen (Exit-Strategien, Prüfungsrechte, Datenlokation), ein Register aller ICT-Outsourcing-Vereinbarungen.
• Information Sharing: Freiwilliger Austausch von Threat Intelligence zwischen Finanzinstituten. Ein Framework für den sicheren Austausch von IoCs (Indicators of Compromise).

ICT-Risikomanagement-Framework¶

DORA verlangt von Finanzinstituten ein dokumentiertes ICT-Risikomanagement-Framework, das vom Top-Management genehmigt ist. Dies ist nicht nur eine Papierübung — das Framework muss umfassen:

• Asset Management — ein Inventar aller ICT-Assets, Abhängigkeiten und Datenflüsse
• Schutzmaßnahmen — Verschlüsselung, Zugriffskontrolle, Patch Management
• Erkennungsmechanismen — Monitoring, Anomalieerkennung, SIEM
• Business-Continuity-Pläne — RTO/RPO für kritische Funktionen, getestete Szenarien
• Kommunikationspläne — intern und extern (Regulierer, Kunden, Medien)

Der Vorstand trägt die direkte Verantwortung für Genehmigung und Aufsicht. Er muss Schulungen zu ICT-Risiken absolvieren. Keine Delegation an die IT-Abteilung.

Incident Reporting — Neue Pflichten¶

DORA führt ein einheitliches Klassifizierungssystem für ICT-Vorfälle ein. Kriterien umfassen die Anzahl betroffener Kunden, Dauer, geografische Auswirkung, Datenverluste und Auswirkung auf kritische Funktionen. Ein „schwerwiegender Vorfall” muss dem Regulierer in drei Phasen gemeldet werden.

Für tschechische Finanzinstitute bedeutet dies die Meldung an die Tschechische Nationalbank (CNB), die als Kontaktstelle fungiert. Formate und Vorlagen werden durch Regulierungstechnische Standards (RTS) definiert, die von den Europäischen Aufsichtsbehörden (ESAs) im Januar 2024 finalisiert wurden.

TLPT — Threat-Led Penetration Testing¶

Für systemrelevante Finanzinstitute (SIFIs) und weitere vom Regulierer bestimmte Einheiten schreibt DORA TLPT mindestens alle 3 Jahre vor. TLPT wird nach dem TIBER-EU-Framework durchgeführt — simulierte Cyberangriffe durch ein Red Team auf Basis realistischer Threat-Intelligence-Szenarien.

Tests müssen kritische Funktionen und Systeme in der Produktionsumgebung abdecken. Sie dürfen nur von qualifizierten externen Testern durchgeführt werden (mit Ausnahmen für interne Kapazitäten unter bestimmten Bedingungen). Die Ergebnisse werden mit dem Regulierer geteilt.

Vendor Management — Schluss mit Black Boxes¶

DORA verlangt ein vollständiges Register aller ICT-Outsourcing-Vereinbarungen, einschließlich Sub-Outsourcing. Verträge müssen klare Bestimmungen enthalten zu: SLAs und Metriken, Prüfungsrechten (auch für den Regulierer), Exit-Strategien mit definierten Übergangsfristen, Datenlokation und -verarbeitung sowie Incident-Meldepflichten des Anbieters.

Für „kritische ICT-Dienstleister” (typischerweise große Cloud-Provider wie AWS, Azure, Google Cloud) führt DORA eine direkte Aufsicht durch europäische Aufsichtsbehörden ein — einschließlich des Rechts auf Inspektionen und Sanktionen.

Wie man sich vorbereitet — ein praktischer Fahrplan¶

1. Gap-Analyse — vergleichen Sie Ihren aktuellen Stand mit den DORA-Anforderungen. Identifizieren Sie Lücken im ICT-Risiko-Framework, Incident Reporting, Testing und Vendor Management.
2. Asset-Inventar — kartieren Sie alle ICT-Assets, Abhängigkeiten und Datenflüsse. Vielen Institutionen fehlt ein vollständiger Überblick.