DORA im Fokus: 5 Tipps für Unternehmen zur neuen EU-Regelung

Mit DORA, der Verordnung (EU) 2022/2554 zur digitalen operativen Resilienz im Finanzsektor (Digital Operational Resilience Act), hat die Europäische Union eine umfassende Regulierung für Cybersicherheit, IKT-Risiken und digitale operative Resilienz im Finanzsektor eingeführt. Diese Verordnung stärkt den europäischen Finanzmarkt erheblich gegen Cyberrisiken und Vorfälle im Bereich der Informations- und Kommunikationstechnologie (IKT). In diesem Blog stellen wir fünf wesentliche Aspekte von DORA vor, die Unternehmen beachten sollten. Außerdem erläutern wir, warum zuverlässige Daten und Technologien für Resilienz und Risikomanagement von entscheidender Bedeutung sind.¹

DORA: Die neue Verordnung mit weitreichender Wirkung

DORA ist seit dem 17. Januar 2023 in Kraft und wird ab dem 17. Januar 2025 angewendet. Der Hintergrund dieser neuen EU-Verordnung ist die wachsende Abhängigkeit von Finanzunternehmen von Technologie zur Bereitstellung wesentlicher Dienstleistungen. Künstliche Intelligenz, cloudbasierte Plattformen und andere Technologien werden heutzutage umfassend für diverse Anwendungen genutzt, wie zum Beispiel:

• Customer Relationship Management (CRM)
• Verifizierung von Customer Due Diligence (CDD) und Know-Your-Customer (KYC)
• Darlehens- und Kreditentscheidungen
• Anlagestrategien

Die Technologien und Daten, die Unternehmen für diese Anwendungen verwenden, stammen häufig von externen Anbietern. Dies ist für Finanzunternehmen nicht nur effizienter, sondern ermöglicht ihnen auch, schneller wertvolle Erkenntnisse zu gewinnen. Allerdings erhöht die Abhängigkeit von Technologie auch die Anfälligkeit der Unternehmen für Cyberangriffe und andere IKT-Störungen, die sich negativ auf ihre Dienstleistungen auswirken und ihre Kunden gefährden können. Da Drittanbieter hierbei eine entscheidende Rolle spielen, können solche Störungen zudem außerhalb der Kontrolle des Finanzunternehmens liegen.

DORA betrifft 20 verschiedene Arten von Finanzunternehmen und Technologieanbietern in der EU. Dazu zählen Banken, Kredit- und Zahlungsinstitute, E-Geld-Anbieter, Wertpapierfirmen und Anbieter von Krypto-Asset-Dienstleistungen. Es ist ratsam, dass sich alle europäischen Finanzunternehmen gründlich auf die EU-Verordnung vorbereiten. Die deutsche Bundesanstalt für Finanzdienstleistungsaufsicht BaFin rät: „Die Mehrheit der beaufsichtigten Unternehmen wird künftig DORA umsetzen müssen.“ ²

Mit DORA verfolgt die EU das Ziel, die IKT-Sicherheit von Finanzunternehmen zu verbessern und die Widerstandsfähigkeit des Sektors bei gravierenden Störungen sicherzustellen. DORA führt neue Anforderungen ein, um die digitale operationelle Resilienz von Unternehmen in sechs zentralen Bereichen zu stärken:

• IKT-Risikomanagement
• Management des IKT-Drittparteienrisikos
• Testen der digitalen operationalen Resilienz
• Meldung von IKT-bezogenen Vorfällen
• Informationsaustausch unter Finanzunternehmen
• Überblick über wichtige Drittdienstleister

Die vollständige EU-Verordnung, die 79 Seiten umfasst, wurde auf der Website der Europäischen Union veröffentlicht.³ Im Folgenden zeigen wir Ihnen 5 Tipps zur Umsetzung der neuen Verordnung.

1. Investieren Sie Zeit und Ressourcen in Ihre digitale operationale Resilienz

DORA vereint zahlreiche Verordnungen und Richtlinien in einer einzigen EU-Verordnung zur digitalen operationellen Resilienz von Unternehmen. Die Bedeutung dieser neuen Regelung sollte nicht unterschätzt werden. Der BaFin-Leitfaden zur Umsetzung von DORA fordert Unternehmen auf, eine neue Strategie für die digitale operationelle Resilienz zu entwickeln, die den Fokus auf das IKT-Risikomanagement und das Management von Risiken durch IKT-Drittanbieter legt.⁴ Ein Bericht von PwC bezeichnet DORA als „Gamechanger“ und weist darauf hin, dass „die Erwartungen [der Regulierungsbehörden] noch weiter gestiegen sind“.⁵

2. Implementieren Sie eine Risikomanagementstrategie für die Technologie- und Datennutzung

DORA verlangt von Unternehmen die Entwicklung einer Risikomanagementstrategie, um ihre digitale operationelle Resilienz sicherzustellen. Dies erfordert die Implementierung eines Governance-Systems, das alle technologiebezogenen Risiken und möglichen Störungen identifiziert, überwacht und nachverfolgt. Die Strategie eines Unternehmens muss dessen Größe und der Art und Bedeutung der ermittelten digitalen Risiken entsprechen. Sie sollte zudem eine Vielzahl von Elementen im Zusammenhang mit technologischen Risiken berücksichtigen und abdecken, wie:

• Übersicht über IKT-Systeme
• Identifizierung und Klassifizierung sensibler Vermögenswerte und Funktionen
• Kontinuierliche Risikobewertung von IKT-Systemen, einschließlich Bedrohung durch Cyberangriffe und Gegenmaßnahmen
• Tests von IKT-Systemen in Bezug auf verschiedene Szenarien und Störfälle

3. Verstärken Sie die Überwachung von Drittanbietern und den damit verbundenen Risiken

Lieferanten wesentlicher Dienstleistungen für Finanzunternehmen, wie Technologie- und Datenanalysefirmen, müssen DORA-konform sein. Wichtig ist jedoch, dass DORA auch Finanzunternehmen dafür verantwortlich macht, ob ihre Drittanbieter die Anforderungen an die digitale operationelle Resilienz einhalten. Unternehmen sind nun verpflichtet, ihre IKT-Abhängigkeiten von Dritten offenzulegen und werden für Versäumnisse in der Resilienz ihrer Drittanbieter zur Rechenschaft gezogen.

Unternehmen sollten daher alle Drittparteien einer gründlichen Due-Diligence-Prüfung zur Beurteilung von Compliance und Risiken unterziehen. Sie sollten zudem zusätzliche Klauseln in Verträgen und Dienstleistungsvereinbarungen in Betracht ziehen, um die Einhaltung hoher Standards bezüglich der digitalen operationalen Resilienz zu gewährleisten.

MEHR: Risikomanagement und volatile Märkte: Strategien zum Umgang mit finanziellen Risiken

4. Rechnen Sie mit schweren Sanktionen im Falle einer Nichterfüllung

Angesichts der hohen Geldstrafen sowie der möglichen Rufschädigung und den damit verbundenen strategischen Nachteilen durch Durchsetzungsmaßnahmen sollte bedacht werden, dass Einsparungen bei der digitalen operationellen Resilienz sich als wirtschaftlicher Fehler erweisen werden. McKinsey hat festgestellt, dass führende Finanzinstitute in der EU durchschnittlich 5-15 Millionen Euro für die Planung aufwenden. Die Investitionshöhe eines Unternehmens hängt von seiner Größe und seinem Risikoniveau ab. Dennoch sind strategische Investitionen in verlässliche Daten und konforme Technologien für alle Unternehmen sinnvoll.⁶

5. Priorisieren Sie die Qualität und Sicherheit von Daten und Technologie

Finanzielle Investitionen allein werden jedoch nicht ausreichen, um die DORA-Vorgaben zu erfüllen. Die neue EU-Verordnung legt den Schwerpunkt darauf, dass Unternehmen sorgfältig über die von ihnen genutzten Technologiedienste sowie über die Sicherheit und Zuverlässigkeit der zugrunde liegenden Daten dieser Technologien nachdenken. Laut PwC-Bericht müssen Unternehmen „eine echte Kultur der digitalen operationalen Resilienz entwickeln“.⁵

Ein zunehmend effektiver Ansatz, mit dem Banken den steigenden Erwartungen an die Nutzung von Technologie und Daten gerecht werden, ist ein Konzept für verantwortungsvolles Handeln. Dabei müssen Sicherheit und Schutz von Technologie und Daten sowie die Auswirkungen auf Mensch und Gesellschaft ebenso wichtig sein – wenn nicht sogar wichtiger – als das Streben nach Gewinn. Ein solches Konzept ist besonders entscheidend für Finanzunternehmen, da eine IT-Sicherheitsverletzung vielen Kunden schaden könnte. Banken, die sowohl DORA- als auch Nicht-DORA-Risiken im Zusammenhang mit ihrer Abhängigkeit von Technologieanbietern managen möchten, sollten daher einen verantwortungsvollen KI-Ansatz verfolgen.

Stärken Sie das Vertrauen in Technologie mit Daten von LexisNexis

LexisNexis stellt Daten und Technologien bereit, die Unternehmen sowohl bei der allgemeinen Resilienz als auch speziell bei DORA unterstützen. Die Vorteile umfassen:

• Umfassenden Daten: Nexis Diligence+ stellt eine umfangreiche Sammlung an Inhalten sowie eine umfassende 360-Grad-Ansicht von Personen und Unternehmen bereit, um eine detaillierte Bewertung von Drittanbieterrisiken zu ermöglichen.
• Integrierte Daten: Unsere API-Lösung Nexis Data+ erlaubt es Ihnen, unsere angereicherten Daten in Ihre bestehenden Tools und Plattformen zu integrieren. Nexis Data+ gewährt direkten Zugriff auf unser umfassendes Datenuniversum, das Nachrichten, rechtliche, unternehmerische, finanzielle und biografische Quellen, ESG-Ratings, wissenschaftliche Zeitschriften, Compliance-Daten und vieles mehr beinhaltet.
• Zuverlässige Daten: LexisNexis ist seit über 50 Jahren ein etablierter Datenanbieter und hat umfassende, langjährige – und teilweise exklusive – Content-Lizenzvereinbarungen mit Verlagen weltweit. Dies gewährleistet, dass unsere Daten weder das geistige Eigentum unserer Verlage noch die Datensicherheit und den Schutz der Privatsphäre von Einzelpersonen beeinträchtigen.
• Verantwortungsvolle Technologie: Wir berücksichtigen die tatsächlichen Auswirkungen unserer Technologie- und Datenlösungen auf Menschen, indem wir die Förderung der Rechtsstaatlichkeit in den Fokus unserer Geschäftsstrategie rücken und uns an die „Grundsätze für verantwortungsvolle Künstliche Intelligenz“ von RELX orientieren.

¹ Digital Operational Resilience Act (DORA), eiopa.europa.eu, 2025
² BaFin veröffentlicht Umsetzungshinweise zu DORA, bafin.de, 08.07.2024
³ Amtsblatt der Europäischen Union, lex.europa.eu, 27.12.2022
⁴ Aufsichtsmitteilung Umsetzungshinweise DORA, bafin.de, 19.09.2024
⁵ DORA The 10 key challenges of a successful compliance journey. pwc.com, 24.11.2022
⁶ Europe’s new resilience regime: The race to get ready for DORA, mckinsey.com, 28.06.2024