DORA-Verordnung: Maßnahmen für Banken und Finanzdienstleister im Überblick

DORA-Verordnung in Kraft: Was Banken und Sparkassen jetzt tun müssen

Der Digital Operational Resilience Act (DORA) markiert einen bedeutenden Schritt in Richtung einer gestärkten digitalen Widerstandsfähigkeit für Banken und Finanzdienstleister. In einer Zeit, in der Cyberangriffe immer raffinierter werden, verlangt DORA von der Finanzbranche nachdrücklich den Nachweis, dass ihre Daten sicher und geschützt sind.

Diese Anforderungen betreffen besonders die Vorstände und Geschäftsführer, die für die Einhaltung der Vorschriften und die Risikominderung verantwortlich sind.

Diese DORA-Maßnahmen sind jetzt verpflichtend

Mit DORA erhöht die EU den Druck auf Unternehmen des Finanzsektors, ihre Cybersicherheitsmaßnahmen kontinuierlich zu verbessern. Für Sparkassen und Banken sind daher folgende Maßnahmen nicht nur optional, sondern verpflichtend umzusetzen und nachzuweisen:

• Stärkung der IKT-Sicherheit:
  Finanzinstitute müssen nachweisen, dass ihre Systeme vor Cyberangriffen geschützt sind.

• Resilienz in Krisensituationen:
  Unternehmen müssen sicherstellen, dass sie auch in Krisensituationen, wie Cyberangriffen, weiterhin operativ bleiben können.

• Regelmäßige Tests:
  Institutionen sind verpflichtet, ihre Sicherheitsvorkehrungen regelmäßig zu testen und zu aktualisieren.

Konkrete Cyber-Security-Maßnahmen zur Einhaltung der DORA-Verordnung

Die DORA schreibt keine konkreten Maßnahmen zur Sicherstellung des IKT-Drittparteienrisikos und zur Stärkung Ihrer Cyber-Resilienz vor. Jedoch lässt sich aus den einzelnen Artikeln entsprechend ein Maßnahmenkatalog ableiten:

• Phishing-Simulationen (E-Mail-Phishing und Voice-Phishing):
  Um die Wachsamkeit und Reaktionsfähigkeit der Mitarbeiter gegenüber Social Engineering Angriffen dauerhaft zu steigern
  (Art. 13, Abs. 6)

• Infrastruktur-Penetrationstests:
  Um Schwachstellen in der IT-Infrastruktur aufzudecken und zu beheben
  (Art. 25, Abs. 1f)

• Lieferantenaudit:
  Zum Nachweis der DORA-Anforderungen gegenüber Dritten und zur Optimierung des Information Security Management System
  (Art. 28, Abs. 1, 2 & 4)

• OSINT-Analyse und Cyber Security Check:
  Zur Identifikation potenziell öffentlicher Informationen, die von Angreifern genutzt werden könnten
  (Art. 25, Abs. 1f)

• Web Application Security Tests:
  Um gezielt Sicherheitslücken in Webanwendungen zu finden und zu schließen
  (Art. 25, Abs. 1f)

>>> Einen ausführlichen Maßnahmenkatalog finden Sie auch hier auf unserer DORA-Seite.

Checkliste: 7 To-Dos für Banken und Sparkassen für die DORA-Umsetzung

Die Umsetzung von DORA stellt für Geschäftsführer, IT-Leiter und Compliance-Manager in Banken und Sparkassen eine Herausforderung dar. Die nachfolgenden sieben To-Dos sind ein Wegweiser aus dem DORA-Dschungel.

Nutzen Sie diese sieben Schritte, BEVOR Sie einzelne Maßnahmen beschließen und mit Dienstleistern in die Umsetzung gehen. Dadurch sparen Sie nicht nur viel Geld, sondern sind am Ende auch sicher DORA-konform unterwegs.

1. Verantwortlichkeiten klären:
   IT-Leitung, Compliance-Management und Geschäftsführung müssen Rollen für IKT-Risikomanagement und Resilienz-Maßnahmen eindeutig zuweisen.
   Wer ist für welchen Teil der DORA-Umsetzung verantwortlich?

2. Gap-Analyse durchführen:
   Wo weichen interne Prozesse bereits heute von DORA-Anforderungen ab?
   Wo sind Sie in Ihrem Unternehmen noch gar nicht DORA-konform unterwegs?
   Machen Sie eine Bestandsaufnahme, bevor Sie einzelne Maßnahmen umsetzen und Dienstleister hinzuziehen.

3. Risikobewertung aktualisieren:
   Technologische Risiken (z.B. durch Drittanbieter oder Cloud-Anbieter) müssen regelmäßig bewertet und dokumentiert werden.
   Sprechen Sie hierzu Ihr IT-Systemhaus explizit auf die Compliance-Konformität an.
   Dies ist nicht nur im Sinne der DORA relevant.

4. Notfallpläne & Incident Response vorbereiten:
   Wer macht was bei einem IT-Vorfall?
   DORA verlangt konkrete Szenarien, Tests und Meldeprozesse.
   Überprüfen Sie Ihr Incident Response Management – z.B. mit Red Teaming.

   >>> Mehr zum Thema DORA-konform mit Red Teaming finden Sie hier.

5. Verträge mit Dienstleistern prüfen:
   Externe IT-Partner müssen DORA-konform eingebunden sein.
   Als Geschäftsführer tragen Sie die Letztverantwortung.

6. Sensibilisierung und Schulung der Mitarbeiter:
   Alle Fachbereiche – nicht nur die IT – müssen verstehen, was DORA für ihre tägliche Arbeit bedeutet.
   DORA verlangt dabei positionsbezogene Schulungen vom Azubi bis zum Vorstandsvorsitzenden
   (Art. 13, Abs. 6).

7. Kontakt zur Aufsicht aufnehmen:
   Im Zweifel: proaktiv mit BaFin oder Bundesbank sprechen, z.B. bei neuen digitalen Geschäftsmodellen oder externen Abhängigkeiten.

Besonderheiten für IT, Compliance-Management und Dienstleistersteuerung

Die DORA-Verordnung stellt klare Anforderungen an interne Zuständigkeiten und externe Abhängigkeiten. Besonders betroffen sind dabei drei zentrale Bereiche, die in Sparkassen, Genossenschaftsbanken und privaten Banken typischerweise arbeitsteilig organisiert sind:

IT-Abteilungen in Banken müssen nicht nur technische Resilienz gewährleisten, sondern auch sicherstellen, dass Systeme und Prozesse dokumentiert, überwacht und regelmäßig etwa durch Penetrationstests, Schwachstellenanalysen und Szenariotests wie Red Teaming getestet werden.

DORA verlangt, dass Risiken frühzeitig erkannt und mitigiert werden, inklusive Backup-Strategien, klarer Reaktionspläne und Recovery-Zeiten (RTO/RPO).

Compliance- und Risikomanagementeinheiten tragen die Verantwortung für eine DORA-konforme Governance. In vielen Sparkassen betrifft dies insbesondere die MaRisk-Verantwortlichen und die OpRisk-Funktion.

Sie müssen sicherstellen, dass Meldepflichten bei schwerwiegenden IKT-Vorfällen erfüllt und interne Kontrollmechanismen etabliert sind. Auch Mitarbeiterschulungen zu DORA-relevanten Abläufen fallen in diesen Bereich.

Dienstleistersteuerung wird mit DORA für Sparkassen und Banken besonders kritisch: Viele Institute arbeiten mit IT-Dienstleistern auf Gruppen- oder Verbandsebene, beispielsweise innerhalb der Sparkassen-Finanzgruppe oder im genossenschaftlichen Verbund. Auch wenn zentrale IT-Leistungen outgesourct sind, bleibt die Letztverantwortung gemäß DORA bei der Bank selbst.

Das bedeutet: Verträge, Risikoanalysen und Notfallpläne müssen DORA-konform ausgestaltet und dokumentiert sein. Auch Prüf- und Auskunftsrechte gegenüber kritischen Dritten sind sicherzustellen.

Fazit: Verstehen Sie DORA nicht nur als Pflicht, sondern als Chance

DORA stellt neue, anspruchsvolle Anforderungen an die Cybersicherheit in der Finanzbranche. Für Finanzdienstleister wie Banken, Sparkassen und Versicherer ist es essenziell, ihre digitalen Systeme gegen die ständig wachsenden Bedrohungen zu schützen und gleichzeitig alle Mitarbeiter laufend zu sensibilisieren.

Wenn Sie sicherstellen möchten, dass Ihr Unternehmen den DORA-Anforderungen gerecht wird, zögern Sie nicht, uns zu kontaktieren. Wir unterstützen Sie dabei, DORA-konform zu werden und gleichzeitig Ihre Cyber-Resilienz zu erhöhen.

Primärbanken wie die Geno-Banken und Sparkassen fallen nicht nur unter die DORA-Verordnung, sondern auch die NIS2-Richtlinie der EU, die in Deutschland noch auf die Überführung in deutsches Recht wartet.

DORA versus NIS2: Das gilt es zu beachten

Zahlreiche Maßnahmen zur Einhaltung der DORA decken sich in puncto Cybersicherheit mit denen, die sich aus der NIS2-Richtlinie ableiten lassen. Obwohl noch kein NIS2-Umsetzungsgesetz verabschiedet wurde, sollten Geschäftsführer die Umsetzung der DORA auch heute schon vor dem Hintergrund der NIS2 betrachten. So sprachen Sie am Ende wertvolle Zeit und Geld und stellen Ihre Compliance sicher.

>>> Mehr zu Umsetzung der DORA- und NIS2-Vorgaben finden Sie in unserem Blog-Beitrag „DORA versus NIS2: So bereiten sich Genossenschaftsbanken und Sparkassen richtig vor“.