DORA: EU-Gesetz zur digitalen Betriebsresilienz

DORA (Digital Operational Resilience Act) ist ein aktuelles Thema, da die vollständige Umsetzung ab dem 17. Januar 2025 verpflichtend wird. Um die Auswirkungen besser zu verstehen, wurden Technologieexperten gefragt, wie sich Unternehmen auf DORA vorbereiten können und welche Herausforderungen und Chancen sie sehen.

Michael Breidenband, Country Manager Germany bei Adacta, zu den Auswirkungen von DORA auf die Versicherungsbranche.

„DORA definiert neue Standards in Sachen Resilienz, Transparenz und operativer Widerstandsfähigkeit. Um die Anforderungen in Bereichen wie IKT-Risikomanagement, Cybersicherheit, Resilienzprüfungen und Risikokontrollen durch Dritte zu erfüllen, müssen Versicherer ihre Systeme und Prozesse modernisieren. Plattformen, die einen Fokus auf Skalierbarkeit und Zuverlässigkeit legen, sind für das Erfüllen dieser Anforderungen und damit für den Aufbau von Kundenvertrauen von entscheidender Bedeutung.

Um im Kontext von DORA auch weiterhin erfolgreich zu sein, müssen Versicherer integrierte, zukunftssichere Lösungen nutzen, die sowohl die betriebliche Effizienz als auch Resilienz steigern, anstatt der bisher genutzten, veralteten und ineffizienten Technologien und Prozesse. Diese Herausforderung – also eine Investition in skalierbare, digitale Lösungen – zu meistern, ermöglicht es ihnen nicht nur, die Anforderungen von DORA und anderer regulatorischer Standards zu erfüllen, sondern schafft auf lange Sicht auch mehr Vertrauen bei Kunden und anderen Stakeholder-Gruppen.

Denn am Ende geht es nicht nur um das Einhalten von Vorschriften, sondern auch darum, sich in einem wettbewerbsintensiven, vernetzten Ökosystem als innovativ zu positionieren und damit von seinen Wettbewerbern positiv zu differenzieren.“

—

Matthias Bissinger, Senior Security Consultant bei aDvens, zu den praktischen Konsequenzen von DORA, beispielsweise auf Verträge mit Zulieferern und technische To-Dos.

„Deutsche Finanzdienstleister können aufgrund der bereits existenten Vorgaben aus Verwaltungsvorschriften wie MaRisk oder BAIT/VAIT auf einer soliden Basis aufbauen. Mit DORA werden diese nun konkretisiert und zudem auf Gesetzesebene verankert. Dies erhöht den Druck bei der Umsetzung, insbesondere beim Risikomanagement von IKT-Drittdienstleistern sowie dem kontinuierlichen Testen der operationalen Resilienz. Damit einhergehen erhöhte Verwaltungsaufwände bis hin zur Notwendigkeit, Verträge mit Suppliern neu zu gestalten, da diese im Rahmen von DORA mehr denn je in die Pflicht genommen werden.

Auf operativer Seite rücken technische Maßnahmen wie Netzwerksegmentierung, Notfallübungen und die kontinuierliche, automatisierte Überwachung der digitalen Infrastruktur noch mehr in den Fokus. Das führt wiederum zu einem erhöhten Bedarf an erfahrenem Fachpersonal. Aus Kostengründen kann es sich lohnen, Mitarbeiter in sicherheitsrelevanten Themen wie Bedrohungserkennung und Krisenmanagement weiterzubilden, da dies nicht nur die Mitarbeiterbindung, sondern auch die Nachhaltigkeit fördert. Alles in allem bietet DORA einen stabilen Rahmen zur Steigerung der operationalen Resilienz. Vor allem der Auswahl der Dienstleister wird künftig eine stärkere Bedeutung zukommen, da ein hoher Reifegrad sowohl zu mehr digitaler Sicherheit als auch zu geringeren Aufwänden bei der Umsetzung der vielfältigen Maßnahmen führt.“

—

Elmar Albinger, Regional Sales Director bei AlgoSec, zu den tatsächlichen Anforderungen von DORA für Unternehmen.

„Für rund 3.600 Unternehmen aus dem Finanzsektor gilt ab dem 17. Januar der Digital Operational Resilience Act. DORA zielt darauf ab, die digitale Resilienz im Finanzsektor zu stärken. Da dieser systemrelevant für den Wirtschaftsstandort Deutschland ist, ist es zunächst begrüßenswert, wenn sich Finanzinstitute verstärkt gegen Cyberangriffe wappnen. Gleichzeitig kommt auf diese Unternehmen auch einiges an Aufgaben zu.

DORA selbst schreibt keine konkreten technischen Anforderungen vor, sondern verweist insbesondere in Artikel 15 und 16 zum Thema ICT Risk Management auf die Ausarbeitung durch die ESAs (European Supervisory Authorities). Diese fordern in den „Regulatory Technical Standards“ sehr konkrete Maßnahmen. Danach müssen betroffene Unternehmen Netzwerkverbindungen und Datenflüsse dokumentieren (Artikel 13, 1b), einen Prozess für Beantragung, Freigabe, Umsetzung und Überprüfung von Firewall-Regeln etablieren sowie kritische und wichtige Funktionen mindestens halbjährlich rezertifizieren (Art. 13, 1h).

Daher bietet es sich an, auf Softwarelösungen zu setzen, mit denen Unternehmen ihre Firewall-Regeln automatisiert managen und rezertifizieren können. Die Automatisierung reduziert außerdem das Risiko menschlicher Fehler und trägt durch eine kontinuierliche Überwachung auch zu einer Verbesserung der Netzwerksicherheit bei.“

—

Michael Zajusch, Regional VP Sales DACH bei Barracuda, zu den zwei wichtigsten Schritten, die Unternehmen mit Blick auf DORA im Jahr 2024 noch durchführen sollten.

„Mit DORA wird anerkannt, in welchem Umfang Finanzdienstleistungen mittlerweile von digitaler Infrastruktur abhängen und wie wichtig es ist, diese Infrastruktur zu sichern. Ein erfolgreicher Cyberangriff kann viele Personen, Organisationen, die Wirtschaft und die Gesellschaft insgesamt betreffen – und langfristige, kostspielige Auswirkungen haben. Eine robuste digitale Sicherheit ist daher nicht länger ein optionales Extra, sondern eine unternehmerische Pflicht. DORA verpflichtet Unternehmen, widerstandsfähige Verfahren einzuführen und Sicherheitsvorfälle und Ausfälle zu melden. Auch wenn die neue Gesetzgebung auf den ersten Blick keine radikale Abkehr von bereits bewährten Verfahren darstellt, besteht der entscheidende Unterschied darin: DORA wird von Organisationen verlangen, auch nachzuweisen, dass sie tun, was sie tun sollten.

Organisationen müssen jetzt zwei wesentliche Schritte unternehmen. Zum einen müssen sie feststellen, ob DORA heute oder in Zukunft direkt auf ihr Unternehmen anwendbar ist. Zum anderen sollten sie eine Gap-Analyse durchführen, um zu messen, wie ausgereift ihre Cybersicherheit ist und ob ihre Systeme den in der Verordnung geforderten entsprechen. Im Anschluss können sie beginnen, die gefundenen Lücken zu schließen und die erforderlichen Mitarbeitenden, Prozesse und Technologien zu implementieren. In vielerlei Hinsicht schärft DORA daher das Bewusstsein für Cybersicherheitsansätze, die alle Unternehmen unabhängig von ihrer Branche verfolgen sollten.“

—

Arun Kumar, Regional Director bei ManageEngine, zu operativer Resilienz in Unternehmen.

„DORA umfasst eine Reihe an komplexen Anforderungen, darunter IKT-Risikomanagement-Rahmenwerke, Incident-Meldungen, Belastbarkeitstests und Risikomanagement durch Dritte. Finanzinstitute müssen beispielsweise die Zuverlässigkeit ihrer Drittanbieter bewerten, die Einhaltung aller durch DORA definierten Anforderungen überwachen und robuste Pläne für die Reaktion auf Sicherheitsvorfälle entwickeln. Diese Aufgabendichte kann schnell zu einer Herausforderung werden, insbesondere für Organisationen mit zahlreichen Drittanbietern.

Gleichzeitig müssen Belastbarkeitstests durchgeführt werden. Nur so kann die tatsächliche Wirksamkeit der operativen Belastbarkeitsstrategie einer Organisation bewertet werden. Bei solchen Tests werden verschiedene Szenarien wie Cyberangriffe, Naturkatastrophen und technische Ausfälle simuliert. Die Entwicklung und Durchführung kann jedoch kostspielig sein und erfordert Fachexpertise.

Die Implementierung von DORA bietet Finanzinstituten aber die ideale Gelegenheit, ihre Strategie zur operativen Belastbarkeit zu überprüfen und diese gegebenenfalls noch sicherer und zukunftsfähiger zu gestalten. Dabei geht es um mehr, als einfach nur Anforderungen abzuhaken. Es geht darum, operative Belastbarkeit als Mindset in der Organisation zu etablieren und zu fördern. Auf lange Sicht kommt dies dem gesamten EU-Finanzsektor zugute, der an Zuverlässigkeit und Vertrauenswürdigkeit gewinnt.“

—

Peter Carlstedt, CTO bei Scrive, zu den Vorteilen, die Unternehmen aus einer erfolgreichen Erfüllung der DORA-Standards ziehen können.

„Gesetze wie DORA sind oft ein zweischneidiges Schwert. Sie zielen zwar darauf ab, die digitale Resilienz zu stärken, können aber gleichzeitig die Komplexität für Unternehmen erheblich steigern – dies zeigt sich im höheren Aufwand für interne Compliance- und Überwachungstätigkeiten, die von Finanzinstituten gefordert und von Unternehmen geleistet werden müssen. Dieser zusätzliche Aufwand könnte einige Unternehmen, insbesondere in Deutschland, sogar dazu veranlassen, auf Drittanbieter zu verzichten und stattdessen zu versuchen, proprietäre Lösungen zu entwickeln – ein Schritt, der die digitale Transformation als Ganzes verlangsamen könnte.

Für IKT-Dienstleister stellt DORA jedoch auch eine bedeutende Chance dar, da sie sich als verlässliche, belastbare Partner positionieren können, die ihre Kunden dabei unterstützen, die nun strengeren Compliance-Anforderungen zu erfüllen. Finanzinstitute wiederum könnten eher dazu geneigt sein, digitale Dienstleistungen gemeinsam mit solchen, geprüften Anbietern umzusetzen – so entsteht ein positiver Kreislauf von Compliance-getriebener Innovation und Kollaboration.

Letztendlich geht es jedoch bei DORA-Compliance nicht nur um betriebliche Resilienz oder die Einhaltung von Gesetzen, sondern darum, zu beweisen, dass ein Unternehmen mit Risiken umgehen kann und Vertrauen durch Transparenz schaffen kann. Anbieter, die sich dieser Herausforderung stellen, sichern sich damit nicht nur eine vorteilhafte Position in einem sich entwickelnden Markt, sondern tragen auch dazu bei, Vertrauen in vernetzte Ökosysteme zu etablieren.“

—

Troy Stein, General Manager der TechSmith GmbH, zur Etablierung einer DORA-kompatiblen Unternehmenskultur und zur Schulung von Mitarbeitern.

„Operative Resilienz innerhalb einer Organisation lässt sich mit einer Stützstruktur vergleichen: Es reicht nicht, dass die Konstruktion als Ganzes stabil ist, auch jede einzelne Komponente muss dem Gewicht standhalten. Ebenso erfordert die Einhaltung der DORA-Anforderungen, dass alle Mitarbeiter eines Unternehmens, nicht nur die ausgewiesenen IT-Fachkräfte, darin geschult werden, Cyberrisiken zu erkennen und zu managen. Dafür braucht es zielgerichtete Schulungsinitiativen, die zeitnah entwickelt und umgesetzt werden.

Eine einmalige Schulung oder Erinnerungs-E-Mail kurz vor Ablauf der DORA-Compliance-Fristen wird dafür nicht ausreichen, denn auch digitale Resilienz und was in diesem Zusammenhang als Best Practice gilt, wird sich kontinuierlich weiterentwickeln. Das bedeutet, dass die Formate, die zur Schulung der Mitarbeiter zum Einsatz kommen auch auf lange Sicht erfolgreich bleiben müssen, um kontinuierliches Engagement für digitale Resilienz innerhalb des Unternehmens und damit langfristig eine Compliance mit den DORA-Standards zu gewährleisten.

Dafür sind sorgfältig entwickelte Kommunikationsstrategien und innovative Lernformate erforderlich, beispielsweise kurze Video-Tutorials, die im Betriebsalltag einfach umsetzbare Anleitungen bieten, anstatt digitale Resilienz im Allgemeinen zu erklären.“