Unter dem Begriff DORA versteht man die Gesamtheit an Richtlinien für die operative IT-Sicherheit von Unternehmen aus dem Finanzsektor. Das Regelwerk der EU richtet sich in erster Linie an Banken, Finanzinstitute, Zahlungsdienstleister und institutionelle Investoren. Jener ‚Digital Operational Resilience Act‘ soll sicherstellen, dass besagte Branchen ihre digitalen Prozesse – sowie explizit auch die deren externer Dienstleister – widerstandsfähig gegen Störungen und Angriffe machen. Unser Artikel bietet einen klaren, praxisnahen Überblick über die wesentlichen Schritte und Chancen, die sich aus DORA für betroffene Entscheider ergeben. Sie sollen in die Lage versetzt werden, Herausforderungen in Lösungen und gegebenenfalls Business-Chancen zu verwandeln.
Der Artikel entstand inhaltlich unter dem Mentoring der auf Wirtschaftsrecht spezialisierten Münchner Anwalts-Sozietät drrp Rechtsanwälte PartmbB.
DORA tritt am 17. Januar 2025 in Kraft – Was Entscheider jetzt tun solltenDie Umsetzung von DORA ist kein Sprint, sondern ein Marathon. Mit einem strukturierten Ansatz und klaren Prioritäten lässt sich die Verordnung auch jetzt noch Step by step erfüllen und als strategische Chance nutzen. Beginnen Sie zeitnah mit einer gründlichen Bestandsaufnahme. Differenzieren Sie dabei zwischen kritischen und nicht kritischen Funktionen, und gehen Sie die Anpassungen Ihrer Verträge gezielt an. Ein gut gepflegtes Informationsregister ist dabei Ihr Schlüssel zum Erfolg – es bietet Ihnen nicht nur Übersicht, sondern auch die Sicherheit, auf alle Fragen vorbereitet zu sein. Nutzen Sie externe Unterstützung, wo nötig, und sehen Sie DORA nicht nur als Regulierungsanforderung, sondern als Möglichkeit, Ihr Unternehmen widerstandsfähiger und zukunftssicherer zu machen. Am Ende steht ein Unternehmen, das nicht nur den Anforderungen gerecht wird, sondern sich auch als Vorreiter in Sachen Sicherheit und Resilienz positioniert. Das macht DORA nicht nur zu einer Pflicht, sondern zu einer echten Chance für Ihre digitale Zukunft. |
Der Digital Operational Resilience Act (DORA) ist, aus smarter Perspektive betrachtet, eine Pflicht, die zur Chance werden kann. Die Finanzbranche ist heute in höchstem Maße angewiesen auf leistungsfähige Technologien und digitale Dienstleistungen. Mit dieser Abhängigkeit gehen signifikante Risiken einher: Cyberangriffe, Systemausfälle oder Datenverluste können die Geschäftsfähigkeit bedrohen. Darüber hinaus gibt es die immanente Gefahr, Vertrauen von Kunden und Investoren nachhaltig zu erschüttern.
Neben Notwendigkeiten zur Regulierung und Aufsicht wurde DORA geschaffen, um diese Risiken zu minimieren.
Klare Regeln, wie Banken und Finanzdienstleister ihre digitalen Prozesse sichern – was bedeutet das in der Praxis? DORA geht hier weit über reine IT-Sicherheitsanforderungen hinaus. Im Fokus steht, die gesamte digitale Widerstandsfähigkeit von Unternehmen zu stärken. Das betrifft sowohl die internen Strukturen als auch die Zusammenarbeit mit externen Dienstleistern. Gerade hier liegt eine der größten Herausforderungen. Viele Unternehmen haben hier keine echte Transparenz bzw. Gesamt-Übersicht darüber, welche digitalen Dienstleistungen überhaupt wie genutzt werden.
Oder noch bedenklicher: wie ‚kritisch‘ diese für das eigene Geschäftsmodell sind.
Den Überblick gewinnen: Welche Dienstleistungen fallen unter DORA?
Der erste Schritt zur Umsetzung von DORA ist eine Bestandsaufnahme. Doch bevor Sie loslegen, sollten Sie die grundlegende Frage klären: Was macht eine Dienstleistung eigentlich zu einer DORA-relevanten Leistung?
„Die Antwort ist komplexer, als es auf den ersten Blick scheint. Nicht jede digitale Dienstleistung fällt automatisch unter die Verordnung.“ sagt Dr. Philipp Hendel, Rechtsanwalt und Partner der Kanzlei drrp Rechtsanwälte in München.
Und sein Kanzlei-Kollege Urs Böckelmann ergänzt: „Entscheidend ist, ob es sich um eine sogenannte IKT-Dienstleistung handelt, die für den Geschäftsbetrieb essenziell ist.“
Dazu gehört die Abgrenzung:
- Handelt es sich um eine digitale Dienstleistung?
- Wird diese über IKT-Systeme bereitgestellt?
- Ist die Dienstleistung für Ihre Geschäftstätigkeit notwendig und wird sie von einem externen Anbieter bereitgestellt?
- Wird die Dienstleistung dauerhaft oder regelmäßig bereitgestellt?
- Erfüllt die Dienstleistung die DORA Sicherheits- oder Compliance-Kriterien?
Zum Beispiel fallen Dienste wie Cloud-Plattformen, Datenzentren oder spezialisierte IT-Lösungen oft unter diese Definition. Schwieriger wird es bei Leistungen, die weniger offensichtlich ‚digital‘ sind, aber dennoch indirekt auf IKT-Systeme angewiesen sind. Systematisches, strukturiertes Vorgehen ist hier Pflicht.
Dokumentieren Sie systematisch alle digitalen Dienstleistungen und Anbieter, die in Ihrem Unternehmen im Einsatz sind. Selbst Leistungen, die zunächst unbedeutend wirken, können im Rahmen von DORA relevant werden, insbesondere wenn sie kritische Prozesse unterstützen. Diese Übersicht bildet die Grundlage für alle weiteren Schritte – und sie schützt Sie davor, wichtige Aspekte zu übersehen.
Unser Tipp: Externes Mentoring beschleunigt und optimiert diese Prozesse nicht nur. Wer professionelle Dritte beauftragt und einbindet, sichert sich häufig bereits immanent juristisch ab.
Kritische und nicht kritische Funktionen
DORA macht betroffenen Unternehmen eine klare, aber auch auslegbare Vorgabe, was unter ‚kritischen Funktionen‘ zu verstehen ist. Entscheider in der Finanzbranche stehen vor einer Abgrenzung, die im Kern dann doch offen anmutet:
Besonders schützenswert sind Dienstleistungen, die kritische oder wichtige Funktionen Ihres Unternehmens unterstützen
Doch wie lässt sich das in der Praxis bewerten? Per Definition ist eine kritische Funktion eine, deren Ausfall ‚unmittelbare‘ und ‚gravierende‘ Auswirkungen auf einen Geschäftsbetrieb hätte. Offensichtliche Beispiele im Branchenkontext sind Zahlungssysteme, Kundendatenbanken oder Infrastrukturen, die für den täglichen Betrieb unverzichtbar sind.
Die Herausforderung liegt hier aber nicht nur in der Einordnung, sondern auch in der Begründung. Eine transparente und nachvollziehbare Dokumentation ist daher unerlässlich, um die Einteilung vor internen wie externen Prüfern zu rechtfertigen.
Dabei gilt: Lieber zu viele als zu wenige Informationen bereitstellen. „Jede getroffene Entscheidung – wie zum Beispiel die Einordnung als ‚kritisch‘ oder ’nicht kritisch‘ – sollte fundiert und nachvollziehbar sein.“, empfehlen die Rechtsanwälte Dr. Hendel und Böckelmann.
Vertragliche Anpassungen – der Stolperstein der Praxis
Ein zentraler Bestandteil von DORA ist die Überprüfung und Anpassung der vertraglichen Beziehungen mit Dienstleistern. Für Entscheider kann dies schnell zu einer Belastung werden, da viele große Anbieter wie AWS oder Microsoft standardisierte Verträge anbieten, die nur begrenzt verhandelbar sind.
Trotzdem müssen Sie sicherstellen, dass die vertraglichen Vereinbarungen die DORA-Anforderungen erfüllen.
Zu den zentralen Punkten gehören Sicherheitsmaßnahmen, regelmäßige Prüfberichte und klare Vereinbarungen über Notfallpläne und Wiederherstellungszeiten. Große Anbieter bringen hier oft Standardlösungen mit, die in der Regel DORA-konform sind, jedoch selten auf Ihre spezifischen Bedürfnisse zugeschnitten sind. Kleine und mittelständische Dienstleister bieten hingegen oft die Möglichkeit, individuellere Vereinbarungen zu treffen. Die Verhandlungsphase ist der Punkt, an dem viele Unternehmen externe Unterstützung suchen – etwa durch spezialisierte Kanzleien oder Berater.
Das kann sich lohnen, um sowohl juristische als auch technische Fallstricke zu vermeiden und eine Compliance zu gewährleisten, die vor Prüfungen standhält.
Regelmäßige DORA-Pflicht: Valide Resilienz-Tests
Ein weiterer zentraler Bestandteil von DORA ist die Verpflichtung zu regelmäßigen Resilienz-Tests. So wird die Belastbarkeit der IT-Systeme und Prozesse überprüft. Ziel ist es, potenzielle Schwachstellen zu bewältigen und die Geschäftskontinuität auch in Krisensituationen aufrechtzuerhalten. Dabei werden zentrale Aspekte wie Prävention, Erkennung, Reaktion und Wiederherstellungsfähigkeit der Systeme untersucht.
Für größere Finanzinstitute kommt eine zusätzliche Anforderung hinzu: die Durchführung sog. bedrohungsgesteuerter Penetrationstests (Threat-Led Penetration Testing, TLPT).
Diese Tests simulieren gezielt Angriffe, um die Resilienz unter realistischen Bedingungen zu prüfen. DORA betont außerdem die Bedeutung von Verschlüsselungs- und Sicherheitsstandards sowie eines effektiven Berechtigungsmanagements, um Datenintegrität und Schutz zu gewährleisten. Es ist absehbar, dass der Fokus auf TLPT erhebliche Mehraufwände mit sich bringen wird. Es geht hier immerhin um die Einbindung von zuständigen Behörden zur Validierung sowie die vertragliche Verpflichtung von IKT-Drittdienstleistern zu diesen Tests. Für Unternehmen bedeutet dies technische, aber auch organisatorische Herausforderungen, die rechtzeitig zu adressieren sind.
Das Informationsregister: Mehr als nur Dokumentation
Ein weiteres Kernstück von DORA ist die Pflicht zur Einrichtung eines Informationsregisters. Auf den ersten Blick wirkt dies wie ein bürokratischer Zusatzaufwand, doch in Wahrheit ist es ein mächtiges Instrument. Das Register dient nicht nur als Nachweis für Aufsichtsbehörden, sondern auch als strategisches Steuerungswerkzeug.
Es gibt Ihnen einen Überblick darüber, welche Dienstleistungen im Einsatz sind, wie diese eingestuft wurden und welche Verträge zu welchen Bedingungen geschlossen wurden. Ein gut gepflegtes Register ist mehr als ein Pflichtdokument – es ist ein Kontrollinstrument, das Ihnen hilft, Ihre digitalen Strukturen besser zu verstehen und effizienter zu steuern. Zudem erleichtert es die Vorbereitung auf Prüfungen erheblich, da alle relevanten Informationen zentral verfügbar sind.
Von der Pflicht zur Kür: Warum DORA auch Chance ist
DORA mag auf den ersten Blick wie eine zusätzliche regulatorische Last erscheinen. Doch bei genauerem Hinsehen offenbaren sich enorme Chancen für Unternehmen, die sich aktiv mit den Vorgaben auseinandersetzen. Die systematische Analyse Ihrer Dienstleister und digitalen Prozesse deckt oft Schwachstellen auf, die bisher übersehen wurden. Diese zu beheben, verbessert nicht nur die Compliance, sondern stärkt auch die Resilienz Ihres Unternehmens. Darüber hinaus schafft eine starke digitale Widerstandsfähigkeit Vertrauen – bei Investoren, Kunden und Partnern.
In einer Welt, in der Cyberangriffe und Systemausfälle zur Realität gehören, wird ein widerstandsfähiger Betrieb zu einem echten Wettbewerbsvorteil. Wer zeigt, dass er die Kontrolle über seine digitalen Strukturen hat, wird nicht nur als sicher, sondern auch als zukunftsorientiert wahrgenommen.
Was Entscheider jetzt tun sollten
Die Umsetzung von DORA ist kein Sprint, sondern ein Marathon. Mit einem strukturierten Ansatz und klaren Prioritäten lässt sich die Verordnung nicht nur erfüllen, sondern auch als strategische Chance nutzen. „Wichtig ist dabei im ersten Schritt eine Standortbestimmung, da DORA zahlreiche größenabhängige Ausnahmen und Rückausnahmen vorsieht.
Nur auf dieser Grundlage lässt sich feststellen, was für das individuelle Unternehmen Pflicht und was Kür ist.“, raten die DORA-Experten Dr. Hendel und Urs Böckelmann.
Fahren Sie anschließend mit einer gründlichen Bestandsaufnahme fort, differenzieren Sie zwischen kritischen und nicht kritischen Funktionen, und gehen Sie die Anpassungen Ihrer Verträge gezielt an. Ein gut gepflegtes Informationsregister ist dabei Ihr Schlüssel zum Erfolg – es bietet Ihnen nicht nur Übersicht, sondern auch die Sicherheit, auf alle Fragen vorbereitet zu sein.
Nutzen Sie externe Unterstützung, wo nötig, und sehen Sie DORA nicht nur als Regulierungsanforderung, sondern als Möglichkeit, Ihr Unternehmen widerstandsfähiger und zukunftssicherer zu machen. Am Ende steht ein Unternehmen, das nicht nur den Anforderungen gerecht wird, sondern sich auch als Vorreiter in Sachen Sicherheit und Resilienz positioniert.
Das macht DORA nicht nur zu einer Pflicht, sondern zu einer echten Chance für Ihre digitale Zukunft.
Hinweis: Inkrafttreten DORA & behördliche Anwendung
An dieser Stelle weisen wir darauf hin, dass DORA ab dem 17. Januar 2025 anwendbar ist. „Es ist wichtig zu beachten, dass es keine offizielle ‚Schonfrist‘ oder Übergangszeit nach dem Stichtag gibt.
Theoretisch können ab dem ersten Tag der Anwendbarkeit Verstöße geahndet werden.“, erklärt Rechtsanwalt Dr. Hendel.
Aufsichtsbehörden verfolgen ggf. zunächst einen risikobasierten Ansatz und konzentrieren sich auf die wichtigsten Aspekte und systemrelevanten Institute. Finanzinstitute sollten dennoch nicht auf Nachsicht spekulieren, sondern alle Anstrengungen unternehmen, um bis zum Stichtag DORA-konform zu sein, um mögliche regulatorische Maßnahmen oder Sanktionen zu vermeiden.
Kontext der Bafin zu DORA
Ursprüngliche EU-Verordnung DORA 2022
DORA Informationsregister – Bafin
drrp Rechtsanwälte PartmbB