top of page
3einhalb-Logo

DORA
IT-Sicherheitsanforderungen für Finanzunternehmen und IT-Dienstleister

Seit dem 17. Januar 2025 ist der DORA (Digital Operational Resilience Act) in Kraft. Diese EU-Verordnung verpflichtet Finanzunternehmen sowie deren IT- Dienstleister zu umfangreichen IT-Sicherheitsmaßnahmen, um Cyberangriffe, IT- Ausfälle und operationelle Risiken zu minimieren.


Unternehmen im Finanzsektor müssen künftig strengere Anforderungen im Bereich Risikomanagement, Incident Management, IT-Testing und Drittanbieter-Risiken erfüllen.
 

Die Umsetzung der DORA-Vorgaben kann, zu großen Teilen, mit einem strukturierten Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 effizient gelingen.

Ziele und Bedeutung von DORA

DORA wurde von der EU verabschiedet, um einheitliche IT-Sicherheitsstandards für den europäischen Finanzsektor zu schaffen. Besonders im Fokus stehen:

  • Die Widerstandsfähigkeit (Resilienz) von Finanzunternehmen gegen Cyberangriffe und IT-Ausfälle

  • Eine einheitliche Regulierung für Finanzunternehmen und deren IT-Dienstleister

  • Verbindliche Vorgaben für das Management von IT-Risiken und Incident Response

  • Striktere Anforderungen für die Zusammenarbeit mit externen IT-Dienstleistern

​​​

Durch DORA wird IT-Sicherheit nicht mehr als unternehmerische Entscheidung betrachtet, sondern als gesetzliche Verpflichtung. Unternehmen, die die Anforderungen nicht erfüllen, riskieren hohe Strafen und regulatorische Maßnahmen.

Wer ist von DORA betroffen?

DORA verpflichtet Finanzunternehmen dazu, nur noch mit IT-Dienstleistern zusammenzuarbeiten, die nachweislich strenge IT-Sicherheitsstandards einhalten.
Eine ISO 27001 Zertifizierung wird dadurch zu einem entscheidenden Wettbewerbsfaktor.

1. Finanzunternehmen

Alle Unternehmen im Finanzsektor, unabhängig von ihrer Größe, müssen sich an die Vorgaben von DORA halten. Dazu gehören insbesondere:

  • Banken, Sparkassen und Zahlungsdienstleister

  • Investmentgesellschaften und Handelsplattformen

  • Versicherungen und Rückversicherer

  • Fonds- und Vermögensverwaltungsgesellschaften

  • Crowdfunding-Plattformen

  • Anbieter von Krypto-Dienstleistungen

2. IT-Dienstleister im Finanzsektor

Auch IT-Dienstleister, die mit Finanzunternehmen zusammenarbeiten, unterliegen den DORA-Anforderungen. Dazu zählen insbesondere:

  • Anbieter von Cloud-Computing-Services

  • Software- und SaaS-Anbieter

  • Managed IT- und Cybersecurity-Dienstleister

  • Rechenzentren und Hardware-as-a-Service-Anbieter

3. Wettbewerbsvorteil und Vertrauen

  • Eine ISO 27001-Zertifizierung schafft Vertrauen bei Kunden und Geschäftspartnern

  • Nachweisbare Sicherheitsstandards als Wettbewerbsvorteil bei Ausschreibungen und Verträgen

  • Verbesserte Resilienz und Krisenfestigkeit von Unternehmen

Die wichtigsten DORA-Anforderungen im Überblick

Die Umsetzung der DORA-Anforderungen bedingt klare Prozesse sowie technische und organisatorische Maßnahmen zur Sicherstellung der digitalen operationellen Resilienz. Dieser strukturierte Ansatz, inklusive stetiger Überprüfung und Anpassung, ermöglicht es Finanzunternehmen, die regulatorischen Vorgaben effizient zu erfüllen und ihre Widerstandsfähigkeit langfristig zu stärken.

01

IT-Risikomanagement

Jedes betroffene Unternehmen muss ein umfassendes Risikomanagement-Framework für IT-Sicherheit implementieren:

  • Aufbau eines strukturierten ISMS mit klaren Richtlinien für IT-Sicherheit und Risikomanagement

  • Jährliche Risikobewertungen und regelmäßige interne Audits

  • Definition von Verantwortlichkeiten für IT-Risiken in der Geschäftsführung

  • Dokumentation und Berichterstattung über IT-Sicherheitsmaßnahmen

Ein gut dokumentiertes ISMS nach ISO 27001 hilft Unternehmen dabei, diese Anforderungen zu erfüllen.

02

Incident Management und Reporting

Finanzunternehmen müssen ein effektives Meldesystem für IT-Sicherheitsvorfälle einführen:

  • Sofortige Erkennung und Reaktion auf IT-Vorfälle

  • Regelmäßige Schulungen für Mitarbeitende zur schnellen Reaktion auf Cyberangriffe

  • Pflicht zur Meldung von Sicherheitsvorfällen an Behörden und Kunden

Die europäischen Aufsichtsbehörden (ESAs) veröffentlichen bis zum 17. Juli 2024 eine einheitliche Vorlage für das Reporting von IT-Vorfällen.

03

Regelmäßige IT-Sicherheitstests und Penetrationstests

DORA verpflichtet Finanzunternehmen dazu, ihre IT-Systeme regelmäßig auf Schwachstellen zu testen:

  • Jährliche Sicherheitsbewertungen und Schwachstellenscans

  • Bedrohungsorientierte Penetrationstests mindestens alle drei Jahre

  • Einsatz unabhängiger Prüfer zur Validierung der Sicherheitsmaßnahmen

Die Tests müssen auf alle geschäftskritischen IT-Systeme angewendet werden, um ihre Sicherheit und Belastbarkeit nachzuweisen.

04

Sicheres Management von IT-Drittanbietern

Da viele Finanzunternehmen externe IT-Dienstleister nutzen, müssen sie laut DORA ein Verzeichnis aller genutzten IT-Services führen und Risiken bewerten:

  • Überprüfung der IT-Sicherheitsstandards von externen Anbietern

  • Definition von Exit-Strategien für kritische IT-Dienstleistungen

  • Verringerung von IT-Risiken durch Multi-Vendor-Strategien

Die regulatorischen Anforderungen für IT-Drittanbieter sind besonders für Cloud-Anbieter, Rechenzentren und Software-Dienstleister relevant.

Wie unterstützt die 3einhalb GmbH Unternehmen bei der DORA-Umsetzung?

Viele Finanzunternehmen stehen vor der Herausforderung, die neuen DORA-
Anforderungen in kurzer Zeit umzusetzen. Mit unserem ISMS ermöglichen wir eine schnelle und effiziente Implementierung der DORA-Vorgaben.

DORA-Compliance:
Schnell, Pragmatisch, Kosteneffizient
Unsere Lösung ist ideal für Unternehmen, die einen schnellen, pragmatischen und kosteneffizienten Weg zur DORA-Compliance suchen.

Unsere Lösungen für DORA-Compliance

  • Vorgefertigte ISMS-Strukturen, die direkt in Confluence integriert sind

  • Automatisierte Risikobewertung nach ISO 27001 und DORA

  • Vollständige Dokumentation aller Sicherheitsmaßnahmen

  • Unterstützung bei internen Audits und Zertifizierungen

Warum die 3einhalb GmbH?

  • Erfahrung mit der Implementierung von ISMS und IT-Sicherheitslösungen

  • Persönliche Beratung durch Experten für DORA, ISO 27001 und NIS2

  • Einfache Integration unseres ISMS in bestehende IT-Strukturen

  • Transparente und kosteneffiziente Lösungen für Finanzunternehmen undIT-Dienstleister

Jetzt DORA-Compliance sicherstellen

  • Die Frist für die Umsetzung von DORA ist bereits abgelaufen. Unternehmen, die nicht rechtzeitig handeln, riskieren nicht nur hohe Strafen, sondern auch den Verlust von Geschäftspartnern und Kunden.

  • Wir helfen Ihnen, die Anforderungen von DORA effizient und sicher umzusetzen.

  • Vereinbaren Sie jetzt ein unverbindliches Beratungsgespräch.

bottom of page