Banken

Digital Operational Resilience Act: Chance zur Verbesserung der Geschäftskontinuität

Gastbeitrag von Andre Troskie, EMEA Field CISO, Veeam und Adam Bergh, Technical Alliances Director, Global Systems Integrators, Veem aktualisiert

Cyber-Sicherheit ist weit mehr als Datenschutz: Es geht um die Integrität und Widerstandsfähigkeit der Finanzsysteme. Mit dem Digital Operational Resilience Act (DORA) hat die EU nun einen einheitlichen Rahmen geschaffen. Das Ziel: Finanzinstitute besser vor digitalen Störungen und Cyber-Bedrohungen zu schützen. Seit Januar 2025 müssen betroffene Unternehmen die Anforderungen vollständig umgesetzt haben.

Ziele und Schwerpunkte von DORA

DORA reagiert auf die wachsende Abhängigkeit des Finanzsektors von Informations- und Kommunikationstechnologien (IKT). Die Verordnung soll sicherstellen, dass Finanzinstitute die Risiken wirksam handhaben, sowie Vorfälle erkennen und af sie reagieren können. DORA befasst sich entsprechend mit:

  • IKT-Risikomanagement: Verpflichtung zur Identifizierung, Steuerung und Minderung digitaler Risiken sowie zur Integration von Resilienz in Systemdesigns.
  • Vorfall-Management: Schnelle Erkennung, Reaktion und Meldung signifikanter Cyber-Vorfälle an zuständige Behörden.
  • Tests der Betriebsresilienz: Regelmäßige Prüfungen zur Bewertung der Widerstandsfähigkeit.
  • Drittanbieter-Management: Überwachung und Kontrolle kritischer IKT-Dienstleister wie Cloud-Anbieter.
  • Informationsaustausch: Förderung kollektiver Sicherheit durch Zusammenarbeit zwischen Finanzinstituten und Aufsichtsbehörden.

Die Durchsetzung erfolgt über verschiedene europäische Aufsichtsbehörden (EBA, EIOPA, ESMA) sowie nationale Stellen. Kritische Drittanbieter (Critical Third Party Providers, CTPPs) unterliegen dabei einer direkten EU-Aufsicht und können bei Verstößen sanktioniert werden – von Korrekturmaßnahmen bis hin zu Dienstleistungsverboten oder öffentlichen Bekanntmachungen.

Wer ist von DORA betroffen?

DORA gilt für nahezu alle Finanzdienstleister, darunter Banken, Zahlungs- und E-Geldinstitute, Versicherungen, Wertpapierfirmen, Handelsplätze, Fin-Techs, sowie Anbieter von Krypto-Assets. Auch Drittanbieter werden indirekt erfasst, da Finanzunternehmen deren Compliance sicherstellen müssen. Ziel der Regulatorik ist es, einheitliche Standards und Wettbewerbsbedingungen zu schaffen – unabhängig von der Größe oder Komplexität des Unternehmens.

Chancen und Herausforderungen

Insbesondere für kleinere Finanzinstitute bedeutet DORA einen erheblichen organisatorischem Aufwand. Zugleich bietet die Verordnung aber die Möglichkeit, die eigenen Cyber-Sicherheit zu stärken, Reaktionsmechanismen zu verbessern und eine Kultur der Resilienz zu etablieren. Sie markiert einen Paradigmenwechsel: hin zu einem präventiven, koordinierten Ansatz für Cyber-Sicherheit.

Fahrplan zur Umsetzung

Die Einhaltung von DORA erfordert einen strukturierten Prozess:

  1. Bestandsaufnahme und Lückenanalyse
    Bewertung bestehender Strukturen und Abgleich mit den DORA-Anforderungen.
  2. Governance und Verantwortlichkeiten
    Ernennung eines Chief Resilience Officers und klar definierter Rollen.
  3. IKT-Risikomanagement
    Integration von Resilienz in Business-Continuity-Pläne und Incident-Management.
  4. Resilienztests und Schulungen
    Durchführung regelmäßiger Simulationen und Schulungen.
  5. Überwachung von Drittanbietern
    Prüfung von Verträgen, Audit-Rechten und Sicherheitsstandards.
  6. Dokumentation und kontinuierliche Verbesserung
    Regelmäßige Audits und Anpassung an neue regulatorische Leitlinien.

Backup und Recovery als Teil der Lösung

Veeam unterstützt Finanzunternehmen bei der Erfüllung der DORA-Vorgaben durch integrierte Lösungen zu Backup, Wiederherstellung und Daten-Management. Die zentrale Plattform dahinter ermöglicht den Schutz und die Verfügbarkeit von Daten über Cloud-, virtuelle und physische Umgebungen.

Zu den Vorteilen zählen:

  • Schutz & Prävention: Verschlüsselung, Unveränderlichkeit und automatisierte Wiederherstellungstests.
  • Erkennung: KI-/ML-gestützte Anomalie- und Malware-Erkennung.
  • Wiederherstellung: Richtlinienbasierte Backup- und Disaster-Recovery-Prozesse mit klar definierten RTO und RPO.

Fazit

DORA ist nicht nur ein Compliance-Rahmen, sondern ein strategischer Schritt hin zu einem sichereren, widerstandsfähigeren Finanzsektor. Unternehmen müssen DORA entsprechend als Chance verstehen: Wer frühzeitig handelt, der stärkt die eigene Cyber-Abwehr und fördert die operative Stabilität – ein entscheidender Wettbewerbsvorteil in einer zunehmend vernetzten Welt.