Beratung

DORA – Digital Operational Resilience Act

Aktualisiert am

Europa gibt sich unheimlich viel Mühe, um die Digitalisierung mit allerlei Maßnahmen voranzutreiben, zu erweitern und so dafür zu sorgen, dass alle Branchen problemlos ihre digitalen Abläufe realisieren können. Dazu gehört es auch, die Sicherheit der digitalen Betriebsabläufe zu regeln, denn genau dafür ist DORA zuständig.

Im Bereich der Cybersicherheit und der operativen Widerstandsfähigkeit von Unternehmen spielt DORA daher auch eine entscheidende Rolle für die digitale Zukunft. Um den Anforderungen auch weiterhin gerecht werden zu können, wurde die Verordnung DORA überhaupt erst ins Leben gerufen.

Doch Moment mal! Wer oder was ist DORA denn überhaupt und was bringt die neue Richtlinie den jeweiligen Unternehmen? Sind da wirklich nur Vorteile oder auch unangenehme Nachteile und lästige Pflichten, die von den teilnehmenden Organisationen erfüllt werden müssen? Haben Unternehmen überhaupt eine Wahl? Zeit, um mal einen genaueren Blick auf DORA zu werfen und zu klären, was die Verordnung für Ihr Business bedeutet.

Wer oder was ist DORA denn nun genau?

DORA ist die Abkürzung für Digital Operational Resilience Act, eine von der EU eingeführte Verordnung. Die EU-Verordnung, die bereits im Jahr 2020 verabschiedet worden ist, sieht vor, die Widerstandsfähigkeit von Finanzinstituten und Unternehmen im Finanzsektor massiv zu stärken.

Bei DORA geht es also in erster Linie darum, dass Unternehmen, die im Finanzsektor aktiv sind, entsprechende Vorgaben in Bezug auf ihre digitale Souveränität erhalten. Auf diese Weise soll die Cybersicherheit im Allgemeinen gestärkt werden, wobei zugleich dafür gesorgt wird, potenzielle Abwehrmaßnahmen von Anfang an bestmöglich auszubauen.

Dazu setzt DORA auf verschiedene Kernfaktoren, die all das auf optimale Art und Weise sicherstellen sollen. Diese Schlüsselkomponenten von DORA werden wir Ihnen im Folgenden jetzt noch etwas genauer vorstellen und deren Details beleuchten.

Was sind die Eckpfeiler?

Damit DORA das gewünschte Ziel auch erreicht, müssen bestimmte Eckpfeiler der EU-Verordnung beachtet werden. Der Digital Operational Resilience Act setzt nämlich auf verschiedene Schlüsselkomponenten, die digitale Bedrohungen reduzieren und so die digitale Betriebssicherheit sicherstellen sollen. Diese sehen dabei wie folgt aus.

Sicherheitsanforderungen: Mit besonders strengen Cybersicherheitsanforderungen sorgt DORA dafür, dass Unternehmen im Finanzsektor bereits von Anfang an einen Fokus auf die Cybersecurity legen müssen. Maßnahmen zur Erkennung, Verhinderung und Reaktion auf Cyberangriffe sind dabei eine absolute Grundlage, um etwaige Angriffe direkt vereiteln oder im besten Fall auch schon vorab erkennen und somit verhindern zu können. Gelingt dies nicht, sorgt die geplante Reaktion auf Vorfälle dafür, dass bestmögliche Gegenmaßnahmen eingeleitet werden, um Systeme und Infrastrukturen schnellstmöglich zu schützen und den Geschäftsbetrieb aufrechterhalten zu können.

Reporting von Vorfällen: Unternehmen können Sicherheitsvorfälle nicht länger für sich behalten. DORA regelt daher streng die notwendigen Reportings. Sicherheitsvorfälle müssen somit umgehend und verpflichtend an die zuständigen Stellen und Aufsichtsbehörden gemeldet werden. Dies soll dafür sorgen, dass schnell reagiert werden muss und eine zeitnahe Bekämpfung der Cyberangriffe erfolgt. Auf diese Weise lassen sich besonders aggressive Attacken in ihrem Ausmaß reduzieren und Schäden verhindern, die erst durch zu langes Warten entstehen würden.

Kritische Drittanbieter: Da Finanzunternehmen immer öfter auch abhängig von Drittanbietern agieren, die unterschiedliche Aufgaben oder ganze Bereiche für sie übernehmen, greift DORA auch hier regulierend ein. In der EU-Verordnung ist festgehalten, dass kritische Drittanbieter ebenfalls strenge und klare Cybersicherheitsstandards erfüllen müssen. Ist dies nicht der Fall, dürfen derartige Drittanbieter auch nicht mit Finanzinstituten zusammenarbeiten.

Testing der Cyberresilienz: Durch regelmäßige Tests der Cyberresilienz sorgt DORA dafür, dass beständig geprüft wird, ob sich Unternehmen überhaupt in der Lage befinden, entsprechend auf Cyberangriffe zu reagieren. Auf diese Weise fällt unweigerlich auf, wenn ein Unternehmen die EU-Verordnung nicht ernst nimmt oder mit den notwendigen Maßnahmen überfordert sein sollte. 

Was bedeutet DORA für Unternehmen?

Unternehmen müssen per se nichts befürchten, wenn sie nicht gerade im Finanzsektor angesiedelt sind. DORA greift in diesem Teil nämlich hart durch, um die Sicherheit von Finanzinstituten gewissermaßen zu erzwingen. Unternehmen im Finanzsektor werden in Zukunft daher deutlich mehr Ressourcen aufwenden müssen, um die Anforderungen von DORA erfüllen zu können. Und genau das wird zur Pflicht innerhalb von Europa.

Der Europäische Digital Operational Resilience Act sieht vor, dass entsprechende Unternehmen massiv in ihre Cybersicherheit und somit Widerstandsfähigkeit gegenüber Cyberangriffen investieren. Zum Beispiel durch Investitionen in die allgemeine IT-Infrastruktur oder durch zusätzliche Maßnahmen wie Security Awareness Trainings und Schulungen, die Mitarbeiter auf eventuelle Attacken vorbereiten und sie für solche sensibilisieren.

Wer hingegen als kritischer Drittanbieter gilt, was zum Beispiel bei Cloud-Anbietern der Fall ist, muss sich ebenfalls auf besondere Maßnahmen einstellen. Der Europäische Digital Operational Resilience Act sieht auch in diesem Fall vor, dass vorhandene Sicherheitsvorkehrungen im Zweifel noch einmal massiv verstärkt und erweitert werden müssen, um den Anforderungen der EU und DORA zu entsprechen.

Warum DORA am Ende eine gute Sache ist

DORA selbst ist ein wichtiger Schritt der Europäischen Union, um die Cybersicherheit von Unternehmen im Finanzsektor deutlich zu stärken. Es ist eine Bemühung, um für mehr Sicherheit zu sorgen und diese sogar per EU-Verordnung festzusetzen, wodurch sie in den besonders heiklen Bereichen garantiert werden kann. Den Vorstoß der EU können wir daher auch nur begrüßen und Sie sollten das auch.

Klar ist es ärgerlich, wenn Sie als Unternehmen Maßnahmen durchführen müssen, die wieder viel Geld kosten und nur im Notfall etwas bringen. Doch die EU zwingt Sie hier gewissermaßen zu ihrem eigenen Glück. Denn kommt es zu erfolgreichen Angriffen, ist der Schaden meist ungleich höher und die Geschäftskontinuität kann währenddessen ebenfalls nicht gewährleistet werden. DORA sorgt hier also dafür, dass Unternehmen sich schon vor einem erfolgreichen Angriff entsprechend umfangreich davor schützen müssen. Und zwar ob sie wollen oder nicht.

DORA ist letztlich also eine wirklich gute Sache und eine wertvolle Maßnahme der Europäischen Union. Mit dem Digital Operational Resilience Act wird die Widerstandsfähigkeit im digitalen Finanzsektor aufrechterhalten, gestärkt und mit einer EU-Verordnung entsprechend unterstützt. Schlecht ist das nur für Unternehmen, die bislang zu wenig investiert haben oder die reale Gefahr tatsächlich bislang nicht sehen. Solche Unternehmen sollten allerdings schleunigst umdenken und sich eine zeitgemäße Cybersicherheitsstrategie aneignen. Genau dafür sorgt DORA.

Foto des Autors

Jan Hörnemann

Ich bin Jan Hörnemann, TeleTrust Information Security Professional (T.I.S.P.) und seit 2016 leidenschaftlich in der Welt der Informationssicherheit unterwegs. Mein Master of Science in Internet-Sicherheit hat mir ein fundiertes Verständnis für verschiedene Aspekte dieser Branche vermittelt, das ich in meiner laufenden Promotion kontinuierlich ausbaue. In der AWARE7 bin ich Chief Operating Officer und Prokurist, gleichzeitig koordiniere ich die Abteilungen "Informationssicherheit" und "Offensive Services" und sorge dafür, dass alle Projekte reibungslos ablaufen.