DORA: Neue Regulierung für mehr Resilienz in der Finanzbranche

Inhaltsverzeichnis

Die EU möchte das Finanzsystem robuster gegenüber Cyberangriffen machen. Alle Unternehmen des Finanzsektors sollen über die notwendigen Sicherheitsvorkehrungen verfügen, um Cyberangriffe und andere Risiken der Informations- und Kommunikationstechnologie (IKT) einzudämmen. Die EU-Verordnung 2022/2554 zur digitalen operationalen Resilienz im Finanzsektor (Digital Operational Resilience Act, DORA) umfasst die gesamte Bandbreite an Anforderungen. Sie reicht vom Informationssicherheits- und IT-Risikomanagement über das IT-Notfallmanagement bis zu einem soliden Management der IT-Services, die von IT-Dienstleistern bezogen werden.

Die Verordnung trat am 17. Januar 2023 mit einer Umsetzungsfrist von 24 Monaten in Kraft. Als EU-Verordnung gilt DORA nach dieser Frist ab dem 17. Januar 2025 unmittelbar in allen Mitgliedsstaaten der EU, ohne dass sie zunächst – wie die NIS2-Richtlinie – in nationales Recht umgesetzt werden muss. DORA gilt für alle Finanzunternehmen, darunter Banken, Versicherungsunternehmen, Zahlungsdienstleister, Ratingagenturen und Anbieter von Kryptodienstleistungen. Ausnahmen oder vereinfachte Regelungen gelten nur für einzelne Finanzunternehmen, beispielsweise für sehr kleine Firmen. Deutsche Banken müssen die DORA-Anforderungen immer komplett umsetzen.

Mehr zu IT-Security

• Grundwissen: Asymmetrische Kryptografie erklärt, Teil 1
• Grundwissen: Asymmetrische Kryptografie erklärt, Teil 2
• Grundwissen: Asymmetrische Kryptografie erklärt, Teil 3
• Netzwerkanalysewerkzeug BloodHound CE: Beutezug durch die Windows-Domäne
• DORA: Neue Regulierung für mehr Resilienz in der Finanzbranche
• Role Engineering in Aktion
• IT-Sicherheit: Role Engineering für rollenbasierte Zugriffskontrolle
• Was die SBOM-Richtlinie für die Cloud bedeutet
• Online-Erpressung: Wie Cyberkriminelle Gastronomen erpressen
• Eine Security-Einführung für DevOps-Teams und Problemsuche mit OWASP Cumulus
• IT-Sicherheit: Überprüfen von Cloud-Umgebungen
• Selbst Hacking für Unternehmen: Öffentlich zugängliche Informationen sammeln

Thomas Mayerhoffer

Thomas Mayerhoffer ist Referent für IT-Regulatorik beim Baden-Württembergischen Genossenschaftsverband e. V.

Berit Schrimm

Berit Schimm ist Diplom-Mathematikerin. Sie ist Referentin beim Bundesverband der Deutschen Volksbanken Raiffeisenbanken mit Schwerpunkt auf IT-Regulatorik und Informationssicherheit.

Die europäischen Finanzaufsichtsbehörden (ESAs) konkretisieren DORA über delegierte Rechtsakte – technische Regulierungsstandards (Regulatory Technical Standard, RTS) und Implementierungsstandards (Implementing Technical Standard, ITS). Diese liegen als Entwürfe vor und werden erst im Laufe des Jahres 2024 auf Ebene der EU verabschiedet.

Das war die Leseprobe unseres heise-Plus-Artikels "DORA: Neue Regulierung für mehr Resilienz in der Finanzbranche". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.