DORA-konform in 6 Monaten: Ein Stufenplan für Finanzdienstleister

Die EU-Verordnung über digitale operationale Resilienz (DORA) tritt am 17. Januar 2025 in Kraft. Für Finanzdienstleister bedeutet das: Bis dahin müssen alle Prozesse, Systeme und Verträge mit Drittanbietern den neuen Anforderungen an IT-Sicherheit, Ausfallsicherheit und Meldewesen genügen. Ein strukturierter Stufenplan hilft, die Umsetzung in nur sechs Monaten zu schaffen – ohne Hektik und mit klarer Priorisierung.

Phase 1: Bestandsaufnahme und Lückenanalyse (Monat 1)

Der erste Schritt ist eine vollständige Inventarisierung aller IT-Systeme, Anwendungen, Datenflüsse und externen Dienstleister. Ohne diese Basis lassen sich DORA-Lücken nicht identifizieren. Erstellen Sie eine Liste aller kritischen Geschäftsfunktionen und der darauf wirkenden IT-Ressourcen. Prüfen Sie, ob bereits ein IKT-Risikomanagement nach DORA existiert. Beispiel: Ein Zahlungsdienstleister aus Frankfurt stellte fest, dass 30% seiner Cloud-Dienste keine vertraglichen Regelungen zu Ausfallzeiten enthielten – ein klares DORA-Defizit.

Phase 2: Risikobewertung und Klassifizierung (Monat 2)

DORA verlangt eine Klassifizierung aller IKT-Dienstleistungen nach Kritikalität. Bewerten Sie jede Komponente hinsichtlich Auswirkungen auf Geschäftsprozesse, Datenintegrität und Compliance. Nutzen Sie die DORA-Kategorien: „kritisch oder wichtig“ vs. „nicht kritisch“. Beispiel: Ein Asset-Manager in Mannheim identifizierte sein Handelsabwicklungssystem als kritisch, da ein Ausfall zu erheblichen finanziellen Verlusten und Reputationsschäden führen würde. Für solche Systeme sind strenge Resilienz- und Testvorgaben erforderlich.

Phase 3: Anpassung des IKT-Risikomanagements (Monat 3)

Implementieren Sie ein IKT-Risikomanagement nach DORA-Art 5-8. Dazu gehören: klare Verantwortlichkeiten, regelmäßige Risikoanalysen, ein Meldeverfahren für IKT-Vorfälle und ein Business-Continuity-Management. Dokumentieren Sie alle Prozesse nachweisbar. Beispiel: Eine Versicherung in Wiesbaden führte ein zentrales Risikoregister ein, das alle IKT-Risiken erfasst und vierteljährlich aktualisiert wird. So sind sie für DORA-Prüfungen gewappnet.

Phase 4: Verträge mit Drittanbietern überarbeiten (Monat 4)

DORA verlangt, dass Verträge mit IKT-Drittanbietern bestimmte Klauseln enthalten: Zugriffsrechte, Prüfrechte, Sicherheitsanforderungen, Kündigungsfristen. Überprüfen Sie alle bestehenden Verträge und passen Sie sie an. Beispiel: Ein Fintech in Heidelberg stellte fest, dass sein Cloud-Anbieter keine vertragliche Zusicherung zur Datenlöschung nach Vertragsende gab – ein Verstoß gegen DORA. Nachverhandlungen führten zur Aufnahme einer entsprechenden Klausel.

Phase 5: Tests und Übungen (Monat 5)

DORA schreibt regelmäßige Tests der digitalen operationalen Resilienz vor, z.B. Penetrationstests, Stresstests und Business-Continuity-Übungen. Führen Sie mindestens einen umfassenden Test durch, der alle kritischen Systeme abdeckt. Beispiel: Eine Regionalbank in Mainz simulierte einen Ransomware-Angriff auf ihr Kernbanksystem. Die Übung deckte Schwachstellen in der Wiederherstellungszeit auf, die anschließend behoben wurden.

Phase 6: Dokumentation und Meldewesen (Monat 6)

DORA verlangt die Meldung schwerwiegender IKT-Vorfälle an die zuständige Aufsichtsbehörde (z.B. BaFin) innerhalb von 24 Stunden. Richten Sie einen Meldeprozess ein und dokumentieren Sie alle Vorfälle. Erstellen Sie abschließend einen DORA-Compliance-Bericht, der die Einhaltung aller Anforderungen nachweist. Beispiel: Ein Wertpapierhandelsunternehmen in Darmstadt implementierte ein automatisiertes Meldesystem, das Vorfälle sofort erfasst und die BaFin-Vorlage generiert.

FAQ

Frage 1: Welche Unternehmen sind von DORA betroffen? DORA gilt für alle Finanzunternehmen in der EU, darunter Banken, Versicherungen, Wertpapierfirmen, Zahlungsinstitute und Krypto-Dienstleister. Auch IKT-Drittanbieter, die kritische Dienstleistungen für diese Unternehmen erbringen, sind indirekt betroffen.

Frage 2: Was passiert, wenn ich die DORA-Frist verpasse? Bei Nichteinhaltung drohen empfindliche Sanktionen: Geldstrafen von bis zu 2% des jährlichen Nettoumsatzes oder 10 Millionen Euro, je nach Schwere. Zudem kann die Aufsichtsbehörde Auflagen erteilen oder Geschäfte einschränken.

Frage 3: Kann ich DORA mit bestehenden Standards wie ISO 27001 abdecken? ISO 27001 deckt nur einen Teil der DORA-Anforderungen ab, insbesondere das Informationssicherheitsmanagement. DORA geht darüber hinaus mit spezifischen Vorgaben zu IKT-Risikomanagement, Tests und Meldewesen. Eine Kombination aus ISO 27001 und ergänzenden Maßnahmen ist sinnvoll.

Frage 4: Wie oft müssen Resilienz-Tests durchgeführt werden? DORA schreibt jährliche Tests für kritische Systeme vor, bei Bedarf auch häufiger. Die Tests müssen realistisch sein und alle relevanten Szenarien abdecken, z.B. Cyberangriffe, Systemausfälle oder Naturkatastrophen.

Frage 5: Muss ich alle Verträge mit Drittanbietern neu verhandeln? Ja, alle Verträge mit IKT-Drittanbietern, die kritische oder wichtige Dienstleistungen erbringen, müssen DORA-konform sein. Bestehende Verträge sollten bis zum Stichtag angepasst werden. Für neue Verträge gelten die Anforderungen sofort.

Fazit

Die DORA-Umsetzung ist eine komplexe, aber machbare Aufgabe – mit einem klaren Stufenplan in sechs Monaten. Starten Sie jetzt mit der Bestandsaufnahme, um Zeitdruck zu vermeiden. Gerade für Finanzdienstleister in der Region Rhein-Main, etwa in Frankfurt oder Darmstadt, bietet sich die Chance, die digitale Resilienz nachhaltig zu stärken. dataso unterstützt Sie mit maßgeschneiderter IT-Architektur und Compliance-Beratung – von der Lückenanalyse bis zur Umsetzung. Vereinbaren Sie ein unverbindliches Gespräch, um Ihre DORA-Strategie zu besprechen.