Wenn Ihr Unternehmen im Finanzsektor tätig ist, beispielsweise als Bank, Versicherung, Wertpapierfirma, Zahlungs- oder E-Geldinstitut, oder wenn Sie als Dienstleister IKT-Leistungen für diese Unternehmen erbringen, unterliegen Sie den Regelungen der Digital Operational Resilience Act (DORA, EU 2022/2554). DORA ist eine unmittelbar geltende EU-Verordnung, die ab dem 17. Januar 2025 verbindlich einzuhalten ist. Sie zielt darauf ab, die digitale und operative Resilienz des Finanzsektors zu stärken und ein einheitliches Sicherheitsniveau in allen Mitgliedstaaten sicherzustellen. DORA verpflichtet Unternehmen, ein umfassendes IKT-Risikomanagement aufzubauen, das alle relevanten Risiken für Informations- und Kommunikationstechnologien systematisch erfasst, bewertet und absichert. Dazu gehören Maßnahmen zur Prävention, Erkennung und Bewältigung von Sicherheitsvorfällen, Business-Continuity-Strategien sowie ein durchgängiger Schutz kritischer Systeme und Daten. Besonders schwerwiegende IKT-Vorfälle müssen künftig in standardisierter Form an die zuständigen Aufsichtsbehörden wie BaFin oder EZB gemeldet werden. Neben dem Risikomanagement schreibt DORA regelmäßige Resilienz-Tests vor, darunter unternehmensweite Penetrationstests, Schwachstellenanalysen und im Falle besonders wichtiger Finanzunternehmen auch sogenannte Threat-Led Penetration Tests (TLPT). Unternehmen müssen zudem sicherstellen, dass Verträge mit externen IKT-Dienstleistern klare Mindestanforderungen enthalten, beispielsweise zu Sicherheitsmaßnahmen, Exit-Strategien und Prüfungsrechten. Kritische IKT-Drittanbieter wie große Cloud-Anbieter werden darüber hinaus direkt von den europäischen Aufsichtsbehörden überwacht. Die Umsetzung der Anforderungen erfordert in den meisten Unternehmen Anpassungen in Governance-Strukturen, Compliance-Frameworks und technischen Sicherheitsmaßnahmen. Ein unmittelbarer Handlungsbedarf besteht insbesondere darin, interne Prozesse für die Risikoanalyse und das Vorfallmanagement zu etablieren, bestehende Outsourcing-Verträge auf Konformität mit den Vorgaben zu überprüfen und geplante Resilienz-Tests rechtzeitig vorzubereiten. Da viele Detailvorgaben wie die Klassifizierung von Vorfällen oder die Kriterien für kritische IKT-Dienstleister durch technische Regulierungs- und Durchführungsstandards (RTS/ITS) konkretisiert werden, sollten Unternehmen diese Entwicklungen eng verfolgen. Auch wenn DORA in erster Linie Finanzinstitute adressiert, sind durch die Drittparteienregelungen zahlreiche IT- und Cloud-Dienstleister indirekt betroffen. Wissenswert ist, dass DORA im Gegensatz zu nationalen Umsetzungen nicht in nationales Recht übertragen wird, sondern als EU-Verordnung unmittelbar gilt. Die Finanzaufsichtsbehörden werden die Einhaltung prüfen und Verstöße können empfindliche Sanktionen nach sich ziehen. Unternehmen im Finanzsektor sollten daher bereits jetzt mit der Umsetzung der Vorgaben beginnen, um die Einhaltung der Fristen sicherzustellen und die eigene digitale Resilienz nachhaltig zu stärken.