Die DORA-Verordnung (Digital Operational Resilience Act) trat im Januar 2025 in Kraft. Sie stellt strenge Anforderungen an die digitale Betriebsresilienz des Finanzsektors. Wenn Sie im Finanzwesen tätig sind oder IT-Dienstleister für diesen Sektor sind, sind Sie betroffen.
Was ist DORA?
DORA ist eine europäische Verordnung (keine Richtlinie, also direkt anwendbar), die darauf abzielt, die Anforderungen an die digitale Resilienz im Finanzsektor zu harmonisieren und zu stärken.
Im Gegensatz zu anderen sektorspezifischen Regulierungen verfolgt DORA einen umfassenden Ansatz: Sie betrifft nicht nur Finanzunternehmen selbst, sondern auch ihre kritischen IT-Dienstleister.
Wer ist betroffen?
Finanzunternehmen
DORA gilt für praktisch den gesamten Finanzsektor:
- Kreditinstitute (Banken)
- Investmentfirmen
- Zahlungs- und E-Geld-Institute
- Versicherungs- und Rückversicherungsunternehmen
- Fondsmanager (OGAW, AIF)
- Krypto-Asset-Dienstleister
- Crowdfunding-Plattformen
- Zentralverwahrer
- Zentrale Gegenparteien
Kritische IT-Dienstleister
Eine wesentliche Änderung: DORA reguliert direkt IKT (Informations- und Kommunikationstechnologie)-Dienstleister, die als kritisch für den Finanzsektor gelten. Dies betrifft potenziell:
- Cloud-Anbieter
- Finanzsoftware-Anbieter
- Hosting-Anbieter
- Zahlungsdienstleister
Diese Anbieter können einer direkten Aufsicht durch europäische Behörden unterliegen.
Die fünf Säulen von DORA
1. IKT-Risikomanagement
Finanzunternehmen müssen einen umfassenden IT-Risikomanagementrahmen einrichten:
- Identifizierung und Klassifizierung von IT-Assets
- Kontinuierliche Risikobewertung
- Angemessene Schutzmaßnahmen
- Anomalieerkennung
- Reaktions- und Wiederherstellungspläne
2. Vorfallsmanagement
Ein strukturierter IT-Vorfallsmanagementprozess ist obligatorisch:
- Erkennungs- und Klassifizierungsverfahren
- Meldung an Behörden innerhalb bestimmter Fristen
- Dokumentation und Analyse nach Vorfällen
- Kundenkommunikation bei Bedarf
3. Resilienztests
Regelmäßige Tests müssen die Systemresilienz validieren:
- Schwachstellentests
- Penetrationstests (Pentests)
- Krisenszenariotests
- Für bedeutende Einrichtungen: fortgeschrittene Penetrationstests (TLPT - Threat-Led Penetration Testing)
4. Drittparteienmanagement
Das ist einer der wirkungsvollsten Aspekte von DORA. Finanzunternehmen müssen:
- Alle ihre IT-Dienstleister kartieren
- Die Risiken jedes Anbieters bewerten
- Spezifische Vertragsklauseln aufnehmen
- Ausstiegspläne bereit haben
- Kritische Anbieter kontinuierlich überwachen
5. Informationsaustausch
DORA fördert den Austausch von Cyber-Bedrohungsinformationen zwischen Finanzunternehmen in einem sicheren Rahmen.
Auswirkungen auf die Auswahl von Hosting-Anbietern
DORA hat direkte Auswirkungen darauf, wie Finanzinstitute Cloud- und Hosting-Anbieter auswählen.
Verstärkte Vertragsanforderungen
Verträge mit IT-Dienstleistern müssen obligatorische Klauseln enthalten:
- Klare Beschreibung der Dienste und Service-Level
- Ort der Datenverarbeitung
- Sicherheits- und Datenschutzmaßnahmen
- Prüf- und Inspektionsrechte
- Vorfallsmeldepflichten
- Geschäftskontinuitäts- und Ausstiegspläne
Konzentrationsrisiko
DORA verlangt die Bewertung des Konzentrationsrisikos: Wenn zu viele Finanzinstitute denselben Cloud-Anbieter nutzen, könnte ein Ausfall dieses Anbieters systemische Auswirkungen haben.
Dies kann dazu führen, Hosting-Anbieter zu diversifizieren oder mittelgroße Anbieter gegenüber dominanten Hyperscalern zu bevorzugen.
Aufsicht über kritische Anbieter
IT-Anbieter, die als kritisch für den europäischen Finanzsektor gelten, werden einer direkten Aufsicht durch europäische Behörden (über einen „Lead Overseer") unterliegen. Sie müssen spezifische Anforderungen erfüllen und Inspektionen zulassen.
Warum ein Schweizer Hosting-Anbieter relevant sein kann
Im DORA-Kontext bietet ein Schweizer Hosting-Anbieter wie Infomaniak mehrere Vorteile:
- Außerhalb des Bereichs überwachter Hyperscaler (reduziert Konzentrationsrisiko)
- Schweizer Hosting (stabile Gerichtsbarkeit, Datenschutz)
- ISO 27001 Zertifizierungen
- Eine Größe, die eine direkte Beziehung zum Anbieter ermöglicht
Zeitplan und Sanktionen
Inkrafttreten
DORA trat am 17. Januar 2025 in Kraft. Finanzunternehmen und ihre Anbieter müssen zu diesem Datum compliant sein.
Sanktionen
Zuständige nationale Behörden können verhängen:
- Compliance-Anordnungen
- Finanzielle Strafen (bis zu 2 % des Umsatzes für Unternehmen, 1 % des täglichen weltweiten Umsatzes für kritische Anbieter)
- Persönliche Sanktionen gegen Führungskräfte
Konkrete Schritte zur Compliance
Wenn Sie ein Finanzunternehmen sind
- Kartieren Sie Ihre IT-Dienstleister und bewerten Sie deren Kritikalität
- Überprüfen Sie Ihre Verträge, um DORA-Klauseln aufzunehmen
- Aktualisieren Sie Ihren IT-Risikomanagementrahmen
- Bereiten Sie Ihre Vorfallsmeldeverfahren vor
- Planen Sie Ihre Resilienztests
Wenn Sie IT-Dienstleister für den Finanzsektor sind
- Antizipieren Sie die Anfragen Ihrer Kunden (Audits, Vertragsklauseln)
- Stärken Sie Ihre Dokumentation (Sicherheitsrichtlinien, BCP, Verfahren)
- Beschaffen Sie Zertifizierungen (ISO 27001, SOC 2)
- Bereiten Sie sich auf potenzielle Aufsicht vor, wenn als kritisch eingestuft
Fazit
DORA stellt einen wesentlichen Wandel für den europäischen Finanzsektor und seine IT-Anbieter dar. Die Verordnung verlangt einen strukturierten Ansatz zur digitalen Resilienz, mit besonderer Aufmerksamkeit auf Drittparteienrisiken.
Für Finanzunternehmen ist es eine Chance, ihr IT-Risikomanagement zu professionalisieren. Für Dienstleister ist es eine Gelegenheit, sich durch Compliance und Zuverlässigkeit zu differenzieren.
Die Wahl vertrauenswürdiger Hosting-Anbieter und Dienstleister, die in der Lage sind, die Vertragsanforderungen von DORA zu erfüllen, wird zur strategischen Priorität.
Sind Sie bereit, zu Infomaniak zu migrieren?
Kontaktieren Sie uns für ein kostenloses 15-minütiges Audit. Wir analysieren Ihre Situation und erstellen Ihnen ein individuelles Angebot.
Fordern Sie ein kostenloses Audit an