Die neue Ära der digitalen Resilienz: DORA und ihre Auswirkungen auf den Finanzsektor

DORA – Die neue Ära der digitalen Resilienz im Finanzsektor

Seit dem 17. Januar 2025 gilt die Digital Operational Resilience Act (DORA) für Unternehmen des Finanzsektors. Dieses europaweite Regelwerk bringt tiefgreifende Veränderungen, indem es erstmals sektorübergreifende und einheitliche Anforderungen an die digitale Resilienz stellt. Angesichts der zunehmenden Digitalisierung und Vernetzung ist die Einführung von DORA ein wichtiger Schritt, um den Finanzsektor gegen operationale Risiken und Cyberbedrohungen zu wappnen.

Hintergrund und Vorbereitung: Die Rolle der BaFin bei der DORA-Umsetzung

Die BaFin war von Beginn an aktiv in die Entwicklung von DORA eingebunden. Seit 2018 hat die deutsche Finanzaufsicht ihre Expertise auf europäischer Ebene eingebracht und sich so einen entscheidenden Wissensvorsprung verschafft. Im Jahr 2024 stand die BaFin vor der Aufgabe, die technischen Grundlagen für die DORA-Umsetzung zu schaffen. Dazu gehörten:

• Anpassung interner Leitlinien für IT-Prüfungen.
• Vorbereitung der technischen Systeme für die DORA-Meldepflichten.
• Ausbau von Know-how durch neue Fachkräfte und intensiven Austausch mit Unternehmen und Behörden.

 
Herausfordernd war dabei, dass bis Anfang 2024 nicht alle europäischen Detailvorgaben final verabschiedet waren. Dennoch konnte die BaFin mit Annahmen arbeiten und so proaktiv agieren.

Informationsvermittlung und Unterstützung der Finanzindustrie

Die BaFin legte großen Wert darauf, die Finanzindustrie umfassend über die neuen Anforderungen zu informieren. Zu den zentralen Maßnahmen zählten:

• Online-Ressourcen: Einrichtung einer speziellen DORA-Subpage mit Fachartikeln, FAQs und Umsetzungshinweisen.
• Workshops und Veranstaltungen: Direkter Austausch mit Unternehmen zur Klärung spezifischer Fragestellungen.
• Veröffentlichungen: Publikation einer Übersicht der Mindestdokumente, die DORA vorschreibt.

 
Diese Unterstützungsangebote halfen den Unternehmen, sich auf die neuen Anforderungen vorzubereiten. Besonders für kleinere Finanzunternehmen waren diese Ressourcen von unschätzbarem Wert.

Die wichtigsten Neuerungen durch DORA

DORA bringt drei wesentliche Änderungen:

1. Fokus auf Resilienz: Im Mittelpunkt steht nicht die Vermeidung von Vorfällen, sondern die Fähigkeit, im Akutfall zu reagieren.
2. Sektorübergreifende Anforderungen: Einheitliche Regelungen für alle Finanzinstitute und Dienstleister, um der starken Vernetzung des Sektors gerecht zu werden.
3. Beaufsichtigung von IKT-Drittanbietern: Erstmals können kritische Informations- und Kommunikationstechnologie-Dienstleister mit systemischer Relevanz auf europäischer Ebene reguliert werden.

 
Diese Neuerungen stellen insbesondere kleine und mittelgroße Unternehmen vor Herausforderungen, bieten aber auch ausreichend Spielraum für eine proportionale Umsetzung.

Übergangsregelungen und Vermeidung von Doppelregulierung

Mit der Einführung von DORA hat die BaFin die bisherigen sektorspezifischen Anforderungen an die IT (VAIT, ZAIT und KAIT) zum 16. Januar 2025 aufgehoben. Für die BAIT (bankaufsichtliche Anforderungen an die IT) gilt eine Übergangsfrist bis Ende 2026. Ab dem 1. Januar 2027 müssen alle betroffenen Institute ausschließlich DORA anwenden.

Das Finanzmarktdigitalisierungsgesetz, das Ende 2024 verabschiedet wurde, regelt, welche Unternehmen wann die neuen Anforderungen erfüllen müssen. Diese schrittweise Einführung minimiert die Belastung für die Unternehmen.

Grenzüberschreitende Zusammenarbeit und globale Perspektiven

DORA setzt Maßstäbe für die internationale Zusammenarbeit im Bereich Cybersicherheit:

• G7-Cyber Expert Group: Austausch zu einheitlichen Aufsichtspraktiken und gemeinsame Krisenübungen, um grenzüberschreitende Cybervorfälle zu bewältigen.
• Projekt FIRE: Globale Standards für das Melden von Cybervorfällen, die mit den DORA-Anforderungen kompatibel sind.

 
Diese Initiativen tragen dazu bei, die internationale Resilienz gegen Cyberbedrohungen zu stärken.

Zukünftige Herausforderungen und Bedrohungen

Die digitale Transformation bringt neue Bedrohungen mit sich:

• Künstliche Intelligenz (KI): Angreifer nutzen KI, um effiziente Schadcodes zu entwickeln.
• Quantencomputing: Diese Technologie bedroht klassische Verschlüsselungsverfahren. Unternehmen sollten sich bereits heute mit Post-Quantum-Kryptographie auseinandersetzen.

 
Die BaFin fordert Unternehmen auf, proaktiv Schutzmaßnahmen zu ergreifen und die entsprechenden Standards zu implementieren.

Praktische Umsetzung: Herausforderungen für Unternehmen

Trotz guter Vorbereitung vieler Unternehmen gibt es weiterhin offene Punkte, darunter:

• IKT-Drittparteien-Risiken: Anpassung von Verträgen mit Dienstleistern.
• Fehlende Regulierungsstandards: Warten auf finale Standards zum Threat-Led Penetration Testing und Subdienstleistern.

 
Die BaFin erwartet von Unternehmen risikoorientierte Zeitpläne für die Umsetzung offener Anforderungen.

Fazit: Bedeutung von DORA für die Zukunft des Finanzsektors

DORA markiert einen Wendepunkt für die digitale Resilienz des Finanzsektors. Durch die Vereinheitlichung von Anforderungen, die Stärkung der Cybersicherheit und die grenzüberschreitende Zusammenarbeit wird die Widerstandsfähigkeit des Finanzsystems nachhaltig erhöht. Für Unternehmen bleibt entscheidend, die neuen Regelungen rechtzeitig umzusetzen und sich auf zukünftige Bedrohungen vorzubereiten. DORA bietet somit die Chance, den Finanzsektor auf die Herausforderungen der digitalen Zukunft optimal auszurichten.