Ab morgen: DORA muss von Finanzunternehmen eingehalten werden

Ab dem 17. Januar 2025 findet DORA Anwendung – ein wichtiger Termin für die betroffenen Organisationen. Viele haben hart daran gearbeitet, ihre Cyberresilienz bis zum Stichtag zu stärken. Aber das Schöne an der Verordnung ist, dass sie es Organisationen ermöglicht, zu priorisieren. Organisationen müssen nicht alle Kontrollen eingerichtet haben oder alle Risiken beseitigen, um DORA einzuhalten. Die EU will Fortschritt, nicht Perfektion, und sie will sehen, dass Schritte in Richtung Resilienz unternommen werden.

Es wird interessant sein zu sehen, wie Organisationen die Verordnung interpretieren und ihre Maßnahmen gegenüber den Aufsichtsbehörden rechtfertigen. Der risikobasierte Ansatz von DORA ist seine Stärke, aber auch eine Herausforderung, da er viele Fragen für Organisationen offen lässt. Wir konnten feststellen, dass einige einfach nur das Nötigste tun. Wenn DORA jedoch richtig umgesetzt wird, hat die Verordnung das Potenzial, die Cybersicherheit und die betriebliche Widerstandsfähigkeit erheblich zu verbessern.

Um dem hohen Risiko entgegenzuwirken, dem Finanzinstitute durch Cyberkriminalität ausgesetzt sind, hat die Europäische Union eine Gesetzesverschärfung beschlossen und im Januar 2023 den Digital Operational Resilience Act (DORA) erlassen. Die EU verfolgt mit dieser Verordnung das Ziel, die Cyberresilienz aller innerhalb der Union regulierten Finanzunternehmen zu stärken.

Mit DORA leitet die EU einen Wendepunkt im Sektor ein, denn sie schafft damit in ihrem Geltungsbereich einen detaillierten, umfassenden und einheitlichen Aufsichtsrahmen für die Sicherheitsanforderungen an die Netzwerk- und Informationssysteme aller EU-Finanzunternehmen. DORA fasst als „lex specialis“ alle Regulierungsanforderungen zur IT für den Finanzsektor endgültig zusammen. Die Harmonisierung des Flickenteppichs von Standards und Regeln soll einen robusten und kohärenten Rahmen schaffen, der die effektive Umsetzung und Einhaltung der Richtlinien ermöglicht und gleichzeitig das Risiko von Geschäftsausfällen minimiert.

Durch die Einhaltung der hohen EU-weiten Sicherheitsstandards und deren kontinuierlichen Nachweis sowie harmonisierte Tests und einheitliche Meldestrukturen soll die Widerstandsfähigkeit von Finanzunternehmen in der EU verbessert werden.