Thought Leadership
Als die EU den Digital Operational Resilience Act (DORA) einführte, sollte damit die Grundlage für moderne Cybersicherheit im Finanzsektor geschaffen werden. Neun Monate später stellt sich die Frage, wie weit die Finanzinstitute mit der Umsetzung sind.
Erste Anzeichen sind vielversprechend, die angestrebten Resilienz-Ziele zu erreichen.
DORA soll die operative Resilienz im gesamten Sektor erhöhen, indem systemische Risiken – insbesondere von IKT-Drittanbietern – adressiert werden. Dazu werden Organisationen an gemeinsame Standards in fünf Bereichen gebunden rund um Risikomanagement, Meldung von Vorfällen oder auch Tests der operativen Resilienz.
Wo DORA Wirkung zeigt
Die Sorgfaltspflicht und Aufsicht gegenüber Dritten sind Bereiche, in denen DORA erste Erfolge liefert. Die Verordnung hat Maßnahmen im Ökosystem der Finanzdienstleistungen formalisiert, die seit Jahren bekannt sind. DORA fördert Lieferantenregister, durchsetzbare Prüfungsrechte und einen risikobasierten Ansatz für die Integration von IKT-Lieferanten.
Dabei handelt es sich um Maßnahmen zur Stärkung der Abwehr, die dazu beitragen, die Transparenz zu verbessern und potenzielle Risiken zu identifizieren. Gerade Vorfälle in der Lieferkette zeigen, wie sich eine Schwachstelle auf den gesamten Sektor auswirken kann und unterstreichen die Notwendigkeit eines durchgängigen Einblicks in Datenströme, robuster Tests sowie konsistenter Berichterstattung. Die Schaffung dieser gemeinsamen Grundlage ist unerlässlich, um sicherzustellen, dass das Finanzwesen auch bei größeren Störungen effektiv funktioniert.
Cloud Sicherheit als Meilenstein für DORA
Eine der bedeutendsten Erkenntnisse von DORA ist die Notwendigkeit, das Fachwissen und Verständnis im Bereich Cloud zu vertiefen. Funktionsübergreifende Schulungen und eine engere Zusammenarbeit zwischen Rechts-, Beschaffungs- und Technikteams helfen dabei die richtigen Fragestellungen anzugehen. Externe Perspektiven bestätigen, dass Verantwortlichkeit, Governance und klare Berichtsmechanismen funktionsübergreifend vernetzt sein müssen.
Eine der bedeutendsten Erkenntnisse von DORA ist die Notwendigkeit, das Fachwissen und Verständnis im Bereich Cloud zu vertiefen.
James Tucker, Zscaler
Nachdem der Rechtsrahmen im Wesentlichen fertiggestellt ist – einschließlich der im Juli 2025 finalisierten Verordnung über die Vergabe von IKT-Dienstleistungen an Subunternehmer –, wenden sich die Regulierungsbehörden nun der Kontrolle und Durchsetzung zu. Die nächste Phase wird sich auf die Klassifizierung von Vorfällen, zeitnahe Benachrichtigungen und die Prüfung technischer und verfahrenstechnischer Kontrollen in kontrollierten Szenarien konzentrieren. Die Effizienz dieser vorbereitenden Maßnahmen wird sich erst in realen Vorfällen zeigen, die schnelles und entschlossenes Handeln erfordern. Dann wird sich zeigen, ob die Dokumentation mit der operativen Leistungsfähigkeit übereinstimmt.
Harmonisierungsbemühungen der EU
DORA ist Teil einer umfangreicheren Initiative, zu der auch NIS2, der EU AI Act und das neue europäische Cybersicherheits-Zertifizierungssystem für Cloud-Dienste (EUCS) gehören. Diese Rahmenwerke haben gemeinsame Merkmale wie die Rechenschaftspflicht, Überwachung durch Dritte und die Meldung von Vorfällen, vervielfachen aber den Aufwand für Organisationen.
Die Europäische Kommission hat diese Herausforderung erkannt und bemüht sich um eine Vereinfachung und Harmonisierung dieser Vorschriften durch ihr bevorstehendes Digital Omnibus-Paket. Diese Initiative zielt darauf ab, den Verwaltungsaufwand und die Compliance Kosten – insbesondere im Bereich der Berichterstattung – zu reduzieren und gleichzeitig hohe Standards für Sicherheit, Fairness und Datenschutz aufrechtzuerhalten.
