BLOG

BLOG

Wer muss ran? – Diese Unternehmen trifft DORA direkt

Wer muss ran? – Diese Unternehmen trifft DORA direkt

Wenn man sich mit dem Digital Operational Resilience Act – kurz DORA – beschäftigt, stellt sich schnell die Frage, wen diese EU‐Verordnung eigentlich betrifft. Auf den ersten Blick scheint die Antwort einfach: „Die Finanzbranche.“ Doch wer genauer hinschaut, erkennt, dass DORA nicht nur Banken und Versicherungen ins Visier nimmt, sondern einen weitaus größeren Kreis von Unternehmen – und dass manche Akteure überrascht sein könnten, wie direkt sie unter die neuen Vorgaben fallen. Die EU hat den Anwendungsbereich bewusst breit gefasst, um nicht nur die großen, offensichtlichen Player zu erfassen, sondern das gesamte digitale Ökosystem, das den europäischen Finanzmarkt stützt. Die Logik dahinter ist simpel und schlüssig: Digitale Resilienz funktioniert nur dann, wenn nicht nur die sichtbarsten Akteure abgesichert sind, sondern auch alle kritischen Verbindungen dazwischen.

Der Grundgedanke: Resilienz entlang der gesamten Wertschöpfungskette

DORA ist konzipiert als Querschnittsregelwerk über den Finanzsektor hinweg. Statt einzelne Institutionstypen isoliert zu betrachten, verknüpft die Verordnung die betriebliche Widerstandsfähigkeit von Finanzunternehmen mit der ihrer IKT‐Lieferkette (Informations- und Kommunikationstechnologie). Das bedeutet: Ein Institut, das seine Kernprozesse verlässlich betreibt, ist nur dann wirklich resilient, wenn auch die technischen Dienstleister, auf die es sich stützt, robust, transparent und gut gesteuert sind. Genau deshalb erfasst DORA sowohl die „klassischen“ Finanzunternehmen als auch – direkt oder indirekt – die Drittparteien, die deren digitale Grundversorgung sicherstellen, etwa Cloud-, Rechenzentrums-, Software-, Sicherheits- oder Kommunikationsanbieter.


Weiterlesen
9
Markiert in:
50077 Aufrufe

Von Theorie zu Pflicht – Die 5 Säulen der digitalen Resilienz

Von Theorie zu Pflicht – Die 5 Säulen der digitalen Resilienz

Digitale Resilienz ist in den letzten Jahren zu einem festen Begriff in der Finanzwelt geworden. Unternehmen sprechen darüber in Strategiepapieren, Beratungsfirmen verwenden ihn in Hochglanzpräsentationen, und auch Regulierungsbehörden betonen immer wieder seine Bedeutung. Doch während Resilienz lange Zeit vor allem als gutes Ziel galt – als eine Art Leitlinie, an der man sich orientieren konnte – hat sich die Situation mit dem Digital Operational Resilience Act, kurz DORA, grundlegend verändert. Aus der Theorie ist eine gesetzliche Pflicht geworden, und die EU hat dafür fünf zentrale Säulen definiert, die jedes betroffene Unternehmen umsetzen muss. Diese Säulen sind nicht nur Überschriften in einem Gesetzestext, sondern bilden ein verbindliches Gerüst, das alle relevanten Aspekte abdeckt, um den Betrieb auch unter digitalen Extrembedingungen aufrechtzuerhalten. Wer sie versteht, erkennt schnell: Es geht nicht nur um Technik, sondern um ein Zusammenspiel aus Prozessen, Organisation und Kultur.

Der Gesamtzusammenhang: Warum DORA digitale Resilienz neu definiert

DORA ist keine weitere „IT-Compliance-Checkliste“, sondern ein Rahmenwerk, das das Zusammenspiel von Risikomanagement, operativem Betrieb, Lieferkette, Testkultur und sektorweitem Lernen in den Mittelpunkt stellt. Der Kernunterschied zu älteren Regelwerken: DORA verlangt Wirksamkeit. Es genügt nicht, Policies zu schreiben oder Tools zu beschaffen. Entscheidend ist, ob ein Institut seine kritischen Dienstleistungen auch dann liefern kann, wenn Teile der IT gestört, angegriffen oder extern beeinträchtigt werden. Messbar wird das an Reaktionszeiten, Wiederanlauf, Qualität der Kommunikation, Stabilität der Lieferkette und geübten Notfallabläufen. Die fünf Säulen bilden dafür die Struktur – die Umsetzung wird am Ergebnis gemessen.


Weiterlesen
5
50292 Aufrufe

Fahrplan zur Compliance – So startest du dein DORA-Projekt richtig

Fahrplan zur Compliance – So startest du dein DORA-Projekt richtig

Der Digital Operational Resilience Act (DORA) ist mehr als nur ein weiteres EU-Regelwerk. Er ist ein Paradigmenwechsel in der Art und Weise, wie Finanzunternehmen und ihre Dienstleister digitale Resilienz verstehen und umsetzen müssen. Mit dem Stichtag 17. Januar 2025 rückt die Frist für die vollständige Umsetzung näher, und in vielen Organisationen ist die Erkenntnis gereift: Wer jetzt nicht mit einem strukturierten Fahrplan startet, wird später unter Zeitdruck geraten und riskieren, halbherzige Lösungen einzuführen, die weder den regulatorischen Anforderungen noch den eigenen Sicherheitsbedürfnissen gerecht werden. DORA-Compliance ist kein „Ordner mit Policies“, sondern die Fähigkeit, unter massiven digitalen Störungen handlungsfähig zu bleiben – messbar, prüfbar, wiederholbar.

DORA in 60 Sekunden

DORA harmonisiert europaweit die Anforderungen an die digitale Betriebsstabilität (Operational Resilience) im Finanzsektor. Der Kern lässt sich in fünf Säulen einordnen:


Weiterlesen
6
Markiert in:
49670 Aufrufe

ICT-Risikomanagement ohne Chaos – Was DORA wirklich fordert

ICT-Risikomanagement ohne Chaos – Was DORA wirklich fordert

Wer DORA zum ersten Mal liest, stößt unweigerlich auf den Begriff ICT-Risikomanagement, im Deutschen meist als IKT-Risikomanagement bezeichnet. Er steht im Zentrum der gesamten Verordnung und ist weit mehr als nur eine formale Pflicht. Im Kern geht es darum, Risiken, die aus der Nutzung von Informations- und Kommunikationstechnologien entstehen, systematisch zu erkennen, zu bewerten, zu steuern und zu überwachen. Das klingt zunächst vertraut, denn Risikomanagement gehört schon lange zu den Aufgaben jedes regulierten Finanzunternehmens. Der entscheidende Unterschied unter DORA: Die Anforderungen werden einheitlich, detailliert und verbindlich für alle Marktteilnehmer definiert – und das auf einem Niveau, das deutlich über bisherige nationale Standards hinausgeht. Es reicht nicht mehr aus, einmal im Jahr eine Risikoübersicht zu erstellen oder Risiken vage zu kategorisieren. Gefordert ist ein kontinuierlicher, ganzheitlicher Ansatz, der tief in den täglichen Betrieb integriert ist und bis ins Top-Management hineinwirkt.

Was DORA als IKT-Risiko versteht

Das beginnt bei der Definition dessen, was überhaupt als IKT-Risiko gilt. DORA macht klar, dass es sich nicht nur um klassische Cyberangriffe handelt. Auch Systemausfälle, fehlerhafte Software-Updates, Konfigurationsfehler, Datenverluste, Störungen durch Dritte oder physische Schäden an Rechenzentren fallen darunter. Selbst Risiken aus der Lieferkette, etwa durch Ausfälle eines Cloud-Anbieters, eine kritische Schwachstelle in einer verbreiteten Bibliothek oder Sicherheitslücken in genutzter Standardsoftware, müssen erfasst werden. Das Ziel ist, alle Ereignisse, die die Funktionsfähigkeit kritischer Systeme oder die Verfügbarkeit wichtiger Daten beeinträchtigen können, systematisch zu berücksichtigen. Dabei sollen nicht nur technische Aspekte betrachtet werden, sondern auch organisatorische, personelle und prozessuale Faktoren. Ein System mag technisch sicher sein, doch wenn es keine klaren Eskalationswege im Störungsfall gibt, ist das Risiko dennoch hoch. DORA rückt damit das Zusammenspiel von Technik, Prozessen und Menschen ins Zentrum – also genau jene Schnittstellen, an denen es in der Praxis häufig knirscht.


Weiterlesen
7
50243 Aufrufe

Wer schützt was? – Warum Informationssicherheit Chefsache ist

Wer schützt was? – Warum Informationssicherheit Chefsache ist

Viele Unternehmen betrachten Informationssicherheit immer noch als eine Disziplin, die irgendwo tief in der IT-Abteilung angesiedelt ist. Dort sitzen die Administratoren, die Passwortrichtlinien einführen, Firewalls konfigurieren, Updates einspielen und im Ernstfall versuchen, Angriffe abzuwehren. Diese Sichtweise hat sich über Jahrzehnte gehalten, weil IT-Sicherheit tatsächlich in den Serverräumen, Rechenzentren und Netzwerken beginnt. Doch sie ist gefährlich verkürzt – und im Jahr 2025 schlicht nicht mehr haltbar. Informationssicherheit ist längst keine rein technische Aufgabe mehr, sondern ein strategisches Kernthema, das das gesamte Unternehmen betrifft, von der Produktentwicklung über die Lieferkette bis hin zur externen Kommunikation. Und weil sie alle Bereiche betrifft, ist sie letztlich eine Führungsaufgabe, die an der Spitze beginnt und nicht delegierbar ist.

Warum die alte IT-Sicht nicht mehr reicht

Der Grund dafür ist einfach: Informationssicherheit schützt nicht nur Dateien auf Festplatten, sondern das Fundament des Unternehmens – seine Daten, Prozesse, Beziehungen und seinen Ruf. Wer glaubt, man könne diese Verantwortung komplett an die IT „auslagern“, verkennt zwei Realitäten. Erstens: Die meisten Sicherheitsvorfälle beginnen nicht mit einer komplizierten Zero-Day-Schwachstelle, sondern mit menschlichen Fehlern, organisatorischen Schwächen oder fehlender Priorisierung. Zweitens: Die juristische Verantwortung bleibt in der Unternehmensleitung. Wenn vertrauliche Kundendaten durch einen Angriff oder eine Unachtsamkeit abfließen, wird nicht nur der IT-Leiter befragt, sondern vor allem das Management. In regulierten Branchen wie dem Finanzwesen, im Gesundheitssektor oder bei Betreibern kritischer Infrastrukturen ist diese Verantwortung sogar ausdrücklich in Gesetzen und Aufsichtsregeln verankert.


Weiterlesen
6
48593 Aufrufe
Image
Wir benutzen Cookies

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern. Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.