Zum Inhalt springen
cyber-security.eu
DEEN

DORA - digitale Resilienz im Finanzsektor

DORA bündelt die europäischen Anforderungen an digitale operationale Resilienz im Finanzsektor. Diese Seite ordnet die wichtigsten Bausteine ein - sachlich und ohne Rechtsberatung.

Für wen ist diese Seite relevant?

Diese Seite richtet sich an Verantwortliche aus IT, Risikomanagement, Compliance und Auslagerungsmanagement im Finanzsektor sowie an kritische IKT-Drittparteien.

Was ist DORA?

DORA, der Digital Operational Resilience Act, ist ein europäischer Rechtsrahmen für die digitale operationale Resilienz von Finanzinstituten und ausgewählten IKT-Drittparteien. Er ergänzt bestehende Aufsichtsregeln um konsolidierte Anforderungen an IKT-Risikomanagement, Vorfallmeldung, Tests, Drittparteienrisiko und Informationsaustausch.

Fokus: digitale operationale Resilienz

Der Kern von DORA ist die Annahme, dass Cyber-Vorfälle und IKT-Störungen unvermeidbar sind und Finanzinstitute deshalb belastbar darauf reagieren können müssen. Es geht nicht nur um Schutz, sondern um Vorbereitung, Erkennung, Reaktion und Wiederherstellung.

Säulen

DORA umfasst typischerweise:

1. IKT-Risikomanagement
2. Behandlung und Meldung von Vorfällen
3. Digitale operationale Resilienztests, einschließlich erweiterter Tests
4. Management des IKT-Drittparteienrisikos
5. Austausch von Informationen und Erkenntnissen

Die Säulen greifen ineinander und werden in technischen Standards weiter konkretisiert.

IKT-Drittparteien

Ein zentraler Fokus liegt auf Auslagerungen und kritischen IKT-Drittparteien. Verträge, Konzentrationsrisiken, Exit-Strategien und das laufende Monitoring werden anspruchsvoller.

Für einige zentrale Anbieter ist eine Beaufsichtigung auf europäischer Ebene vorgesehen.

TLPT und Bezug zu TIBER-EU

Für bestimmte Institute sieht DORA erweiterte Resilienztests vor, insbesondere bedrohungsgeführte Penetrationstests (TLPT). Methodisch orientiert sich TLPT eng am bestehenden Rahmenwerk TIBER-EU.

Ziel ist eine realitätsnahe Prüfung kritischer Funktionen unter Aufsicht und mit klaren Schutzmaßnahmen, nicht ein klassischer Pentest.

Abgrenzung zu NIS2

Für Finanzinstitute gilt DORA als sektorspezifischer Rahmen vorrangig. NIS2 bleibt allgemeiner Referenzpunkt und gilt branchenübergreifend. In der Praxis lassen sich viele Anforderungen gemeinsam umsetzen.

Was Unternehmen vorbereiten sollten

Sinnvolle Schritte sind:

- Reifegradanalyse gegen DORA-Anforderungen
- Aktualisierung des IKT-Risikomanagements
- Belastbares Drittparteien-Register und Vertragsreview
- Klare und geübte Vorfallmeldung
- Plan für Resilienztests, ggf. TLPT bei kritischen Funktionen
- Verantwortung der Leitung dokumentieren

Rechtlicher Hinweis

Dieser Beitrag ist eine redaktionelle Orientierung und keine Rechtsberatung. Maßgeblich sind die DORA-Verordnung und die zugehörigen technischen Standards. Eine qualifizierte Prüfung ist empfehlenswert.

Checkliste

  • DORA-Geltungsbereich für die Organisation geklärt
  • IKT-Risikomanagement an DORA ausgerichtet
  • Drittparteien-Register vollständig und aktuell
  • Kritische Verträge nach DORA-Anforderungen geprüft
  • Vorfallmeldeprozess mit Fristen dokumentiert und geübt
  • Plan für Resilienztests vorhanden, TLPT bei kritischen Funktionen
  • Verantwortlichkeit der Leitung schriftlich verankert

Häufige Fragen

+Ist DORA für alle Banken Pflicht?

DORA gilt sehr breit im Finanzsektor. Der konkrete Umfang hängt von Größe, Funktion und Geschäftsmodell ab.

+Wie verhält sich DORA zu NIS2?

Für Finanzinstitute geht DORA als sektorspezifischer Rahmen vor. NIS2 bleibt allgemeiner Bezugspunkt.

+Was ist TLPT?

Threat-Led Penetration Testing - bedrohungsgeführte Tests an produktiven Systemen, methodisch eng an TIBER-EU angelehnt.

Verwandte Themen

NIS2 - was Unternehmen wissen müssen

Die NIS2-Richtlinie hebt die Anforderungen an Cyber Security in der EU spürbar an. Diese Seite ordnet die wichtigsten Punkte redaktionell ein, ohne Rechtsberatung zu sein.

TIBER-EU

TIBER-EU ist das europäische Rahmenwerk für bedrohungsgeführte Resilienztests in kritischen Funktionen. Diese Seite erklärt die Grundidee, Phasen und den Bezug zu DORA und TLPT - bewusst auf hoher Ebene und ohne Anleitung zu konkreten Angriffstechniken.

Incident Response

Ein Sicherheitsvorfall verlangt einen klaren Prozess, geübte Rollen und vorbereitete Kommunikation. Wer im Ernstfall improvisiert, verliert Zeit und macht Fehler. Diese Seite zeigt die Phasen, Verantwortlichkeiten und typischen Stolpersteine.

Was ist ein SOC?

Ein Security Operations Center bündelt Menschen, Prozesse und Technik, um Cyber-Vorfälle früh zu erkennen, strukturiert zu behandeln und nachhaltig zu lernen. Diese Seite zeigt Aufgaben, Modelle und typische Fallstricke.

Cyber Security für Unternehmen

Wirksame Unternehmenssicherheit verbindet Governance mit konkreten technischen und organisatorischen Maßnahmen. Diese Seite zeigt, worauf Entscheider und IT-Verantwortliche zuerst achten sollten - sachlich, ohne Panik und mit klarer Priorisierung.

SIEM

Ein SIEM bündelt Log- und Telemetriedaten, korreliert sie und liefert die Grundlage für Detection und Incident Response. Diese Seite erklärt Funktion, wichtige Datenquellen und typische Fehler.