Thought Leadership
Die Digital Operational Resilience Act (DORA) ist eine EU-Verordnung zur Stärkung der digitalen und operativen Widerstandsfähigkeit des Finanzsektors.
Sie verpflichtet Finanzinstitute – darunter Banken, Versicherungen, Wertpapierfirmen und Zahlungsdienstleister – sowie deren kritische IT- und Cloud-Dienstleister, Risiken im Zusammenhang mit Informations- und Kommunikationstechnologien systematisch zu managen.
Dazu zählen unter anderem Vorgaben zu IT-Risikomanagement, Incident Reporting, Resilienztests, Notfall- und Wiederherstellungsplänen sowie zur Steuerung von Drittparteirisiken. Seit Januar 2025 ist DORA verbindlich anzuwenden; der 17. Januar 2026 markiert einen zentralen Meilenstein, ab dem Aufsichtsbehörden die Einhaltung verstärkt prüfen und sanktionieren.
Julien Mousqueton, Field Chief Information Security Officer for EMEA bei Cohesity, fasst zusammen, wie die Bilanz nach einem Jahr DORA ausfällt und was Unternehmen bei der Umsetzung beachten sollten:
„Nachdem DORA nun seit einem Jahr in Kraft ist, haben Finanzdienstleistungsunternehmen und ihre wichtigen IT-Lieferanten die Vorbereitungsphase endgültig hinter sich gelassen und befinden sich nun in einer Phase der sorgfältigen Prüfung und Erprobung. Beim Thema Compliance geht es nicht mehr nur um schriftliche Richtlinien, sondern darum, in der Praxis die Fähigkeit unter Beweis zu stellen, Störungen zu widerstehen, Vorfälle zu isolieren, saubere Daten zu schützen und kritische Dienste unter realen Bedingungen wiederherzustellen.
Gleichzeitig kämpfen viele Unternehmen weiterhin mit einer Lücke zwischen Anspruch und tatsächlichen Fähigkeiten. Aktuelle Studien von Cohesity zur Cyber-Resilienz zeigen: Zwar gehen die meisten Unternehmen davon aus, dass Cyberbedrohungen weiter zunehmen werden, doch nur zwei Prozent sind zuversichtlich, nach einem schweren Sicherheitsvorfall innerhalb von 24 Stunden wieder auf kritische Daten zugreifen und den Betrieb aufnehmen zu können. In vielen Fällen dauert die Wiederherstellung mehrere Tage oder länger – ein deutlicher Widerspruch zu den strengen Melde-, Reaktions- und Resilienzanforderungen von DORA.
DORA zwingt Unternehmen zwar dazu, sich mit diesen Lücken auseinanderzusetzen, bietet aber auch einen klaren und strukturierten Rahmen für die Verbesserung der operativen Widerstandsfähigkeit, des Risikomanagements bei Dritten und der Fähigkeit zur Wiederherstellung. Dieser Rahmen wird durch erhebliche Konsequenzen bei Nichteinhaltung untermauert, darunter umsatzabhängige Geldstrafen und die persönliche Haftung von Führungskräften.
Nach einem Jahr ist eines klar: Resilienz ist nicht mehr nur eine theoretische Angelegenheit. Die Aufsichtsbehörden erwarten von Unternehmen, dass sie nachweisen können, dass sie bei Störungen saubere Daten wiederherstellen und Dienste schnell wieder aufnehmen können. Das macht Cyber- und operative Resilienz zu einer klaren Aufgabe auf Vorstandsebene und zu einem integralen Bestandteil der gesamten Organisation. Unternehmen, die dazu nicht in der Lage sind, werden mit zunehmenden regulatorischen und Reputationsrisiken konfrontiert sein.“
(pd/Cohesity)
