DORA - neuer Wein in alten Schläuchen

Am 16. Januar 2023 trat der Digital Operational Resilience Act (DORA) in Kraft und bringt eine Europaweite Verordnung für die Mindestanforderungen an IT-Sicherheit in der Finanzwelt, basierend auf bewährten Konzepten aus Regelungen wie VAIT, BAIT und Kritis. Doch DORA geht in Teilen auch einen Schritt weiter, indem sie auch Dienstleister verstärkt in die Verantwortung nimmt. 

Was genau bedeutet die DORA Verordnung das für Finanzunternehmen?

DORA setzt klare Anforderungen an die Informations- und Kommunikationstechnologie, die umzusetzen sind. Unter anderem werden folgende zentrale Themen definiert:  

  • Die Implementierung eines umfassenden Risikomanagementsystems für IT-Risiken. 

  • Maßnahmen zur Sicherstellung der IT-Systeme und ihrer Verfügbarkeit. 

  • Verfahren zur Behandlung und Meldung von Störungen. 

  • Anforderungen an das Management von Drittanbietern. 

  • Regelmäßige Tests der Informations- und Kommunikationstechnologie Systeme. 

  • Regeln zum Einsatz von Cloud-Diensten, als kritisch eingestufte Dienste stehen z.B. direkt unter Aufsicht der EU-Behörden. 

Die Strafen bei Nicht-Umsetzung von DORA können je nach Schwere des Verstoßes und der Branche, in der das Unternehmen tätig ist, variieren. 

Finanzsektor: Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) kann bei Verstößen gegen DORA sektorale Bußgelder bis zu 5 Mio. EUR oder 10 % des gesamten jährlichen Umsatzes des Unternehmens verhängen. 

Versicherungssektor: Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) kann bei Verstößen gegen DORA sektorale Bußgelder bis zu 3 Mio. EUR oder 10 % des gesamten jährlichen Umsatzes des Unternehmens verhängen. 

Geschädigte Dritte können Schadensersatzansprüche gegen das Unternehmen geltend machen. 

In besonders schweren Fällen kann die Aufsichtsbehörde dem Unternehmen die Geschäftstätigkeit untersagen.

Die Umsetzung von DORA stellt für Finanzunternehmen in der EU eine große Herausforderung dar. Und die Frist für die vollständige Umsetzung schon ist der 17. Januar 2025

Warum ist IAG entscheidend für die Einhaltung von DORA?

Identity and Access Governance (IAG) spielt eine vornehmliche Rolle bei der Erfüllung der Anforderungen von DORA. Folgende IAG-Aspekte sind hierbei besonders relevant: 

1. Identitätsmanagement

  • Identifizierung und Authentifizierung: Finanzinstitute müssen sicherstellen, dass nur berechtigte Personen Zugriff auf ihre Systeme und Daten haben. Dies kann durch die Verwendung von starken Authentifizierungsmethoden wie Multi-Faktor-Authentifizierung (MFA) erreicht werden. 

  • Identitätslebenszyklusmanagement: Finanzinstitute müssen sicherstellen, dass die Identitäten der Benutzer über ihren gesamten Lebenszyklus hinweg verwaltet werden. Dazu gehören die Erstellung, Änderung und Löschung von Identitäten

2. Berechtigungsmanagement

  • Least-Privilege-Prinzip: Finanzinstitute sollten das Least-Privilege-Prinzip anwenden, d. h. Benutzern sollten nur die Berechtigungen eingeräumt werden, die sie für ihre Arbeit benötigen. 

  • Regelmäßige Überprüfung von Berechtigungen: Finanzinstitute sollten die Berechtigungen der Benutzer regelmäßig überprüfen, um sicherzustellen, dass sie weiterhin angemessen sind. 

  • Entzug von Berechtigungen: Finanzinstitute sollten in der Lage sein, Berechtigungen schnell und einfach zu entziehen, wenn ein Benutzer sie nicht mehr benötigt oder wenn es zu einem Sicherheitsvorfall kommt. 

  • Notfallzugriff und Wiederherstellung: DORA verlangt im Hinblick auf DRP (desaster recovery planning), dass Unternehmen Notfallzugriffsverfahren für den Fall von Systemausfällen oder Sicherheitsvorfällen implementieren. Dies umfasst auch die Wiederherstellung von Zugriffsrechten nach einem Vorfall. 

3. Audit und Reporting

  • Protokollierung und Überwachung: Finanzinstitute müssen alle Aktivitäten in ihren Systemen protokollieren und überwachen. Dies ermöglicht es ihnen, verdächtige Aktivitäten zu erkennen und zu untersuchen. 

  • Berichterstattung: DORA fordert von den Finanzinstituten die Berichterstattung über Sicherheitsvorfälle (Meldepflicht über IKT-Incidents). 

Sie brauchen Unterstützung bei der Umsetzung von Dora?

IPG steht Ihnen als verlässlicher Partner zur Seite, um Sie bei der Umsetzung von DORA zu unterstützen. Unsere Dienstleistungen umfassen: 

  • Beratung bei der Bewertung Ihrer aktuellen IT-Risiken: Wir helfen Ihnen, Ihre aktuellen Risiken zu identifizieren und zu bewerten. Dies bildet die Grundlage für die Entwicklung eines effektiven IT-Risikomanagementsystems. 

  • Unterstützung bei der Entwicklung eines IT-Risikomanagementsystems: Wir begleiten Sie bei der Gestaltung eines IT-Risikomanagementsystems, das genau auf Ihre Bedürfnisse zugeschnitten ist. Dieses System umfasst Aspekte wie Risikoidentifikation, -bewertung, -behandlung und die Überwachung und Berichterstattung über Risiken. 

  • Beratung bei der Implementierung von Maßnahmen zur Sicherheit und Verfügbarkeit von IT-Systemen: Wir unterstützen Sie bei der Umsetzung von Maßnahmen, um die Sicherheit und Verfügbarkeit Ihrer IT-Systeme sicherzustellen. Dazu gehören Sicherheitsrichtlinien und -verfahren, Backup- und Wiederherstellungssysteme sowie Notfallpläne. 

  • Unterstützung bei der Entwicklung von Verfahren zur Behandlung und Meldung von Störungen: Wir helfen Ihnen bei der Ausarbeitung von Prozessen zur effizienten Behandlung und Meldung von Störungen. Dadurch wird gewährleistet, dass Probleme schnell und effektiv gelöst werden, ohne Ihre Kunden zu beeinträchtigen. 

  • Beratung bei der Auswahl und Bewertung von Drittanbietern: Wir unterstützen Sie bei der Auswahl und Bewertung von Drittanbietern, die Ihre IT-Systeme und -Dienstleistungen unterstützen. Dies gewährleistet, dass Ihre IT-Ressourcen von vertrauenswürdigen Anbietern bereitgestellt werden. 

Unsere erfahrenen Berater haben bereits zahlreiche Finanzinstitute bei der Umsetzung von IT-Sicherheitskonzepten mit einem prüfungssicherem Identity and Access Governance erfolgreich begleitet. Wenn Sie Fragen zur Umsetzung dieser Verordnung haben, zögern Sie nicht, sich an uns zu wenden. Wir sind hier, um Ihnen beratend zur Seite zu stehen und Ihre Compliance sicherzustellen. 

DORA ist also nicht nur alter Wein in neuen Schläuchen; es ist eine Chance, die digitale Widerstandsfähigkeit zu stärken und den Weg für eine sicherere digitale Finanzwelt zu ebnen. Wir freuen uns darauf, Sie bei dieser wichtigen Reise zu unterstützen.  

Kontaktieren Sie uns noch heute, um mehr zu erfahren. 

Buchen Sie noch heute einen Beratungstermin
Teaserbild_Expertenbericht NIS2
Blog 09.04.24

Cybersecurity Evolution: NIS-2

Unser Expertenbericht beleuchtet die Schlüsselrolle IAM bei der Umsetzung der NIS-2 Verordnung. Welche Punkte sind zu beachten. Lesen Sie hier mehr.
Blog 11.05.23

EU-Nachhaltigkeitsrichtlinie (CSRD) – das müssen Sie wissen!

Die Corporate Sustainability Reporting Directive (CSRD) kommt! Was bedeutet das für Ihr Unternehmen? Wir haben es im Blog zusammengefasst!
Titelbild zur Referenz IAM-Lösung, Unia
Referenz

UNIA

Die Einführung eines leistungsstarken IAM-Systems erlaubt es UNIA, organisatorische Abläufe zu zentralisieren und die Anforderungen an die Sicherheit und Compliance zu erfüllen.
News 15.02.23

Neuer IBM Passport Advantage Vertrag - das müssen Sie wissen

IBM hat nach mehr als 5 Jahren den Passport Advantage Vertrag überarbeitet – einige Bedingungen haben sich dadurch grundsätzlich geändert. Die wichtigsten Änderungen im Überblick.
Teaserbild User Story Imprivata Orbis
Referenz

Imprivata OneSign und Orbis optimieren Arbeitsabläufe

Optimierte Arbeitsabläufe und mehr Sicherheit für Patientendaten in führender Psychiatrie durch nahtlose Integration von Imprivata OneSign und Orbis. Jetzt mehr lesen!
Teaserbild_Expertenbericht_DORA_IAM
Blog 26.05.25

Warum DORA ein IAM braucht | IKT DORA

Sichere Einhaltung der Digitalen Betriebs Resilienz-Verordnung (DORA) der EU: Wir unterstützen Unternehmen im Finanzsektor mit geeigneter IAM-Strategie die Richtlinien einzuhalten.
Blog 09.12.24

Smartes digitales Berechtigungskonzept mit NEXIS 4.1

Das digitales Berechtigungskonzept ist der Schlüssel zu mehr IT-Sicherheit und Effizienz. Entdecken Sie, wie NEXIS 4.1 moderne Anforderungen erfüllt und Ihre Prozesse revolutioniert.
Teaserbild Managed Service IPG
Blog 16.01.25

IAM Managed Service: Der Schlüssel zur digitalen Sicherheit

Die Vorteile von IAM Managed Services: umfassende Überwachung, schnelle Fehlerbehebung und transparente Kostenstruktur für maximale Sicherheit und Effizienz im Unternehmen. Lesen Sie hier mehr.
Teaserbilg HSRM
Referenz

Eine zentrale IAM-Lösung für die Hochschule RheinMain

Gemeinsam mit IPG führt die Hochschule RheinMain eine neue IAM-Lösung und maßgeschneiderte Identitätsprozesse für Studierende und Mitarbeiter ein, um die Sicherheit zu erhöhen. ✅ Lesen Sie mehr dazu.

Referenz

Lizenzmanagement und Compliance

ARS unterstützt die GaVI mbH durch professionelles Lizenzmanagement bei der Sicherstellung von Compliance und der Reduktion der Kosten für IBM Softwarelizenzen.
Handyscreen mit social media icons
Referenz

Vom Menschen, dem Wissen und der Bank

Die Sparda-Bank München hat ein einzigartiges Social Intranet eingeführt, das den erfolgreichen Grundstein für die Digitale Transformation der Bank darstellt.

Blog 11.09.25

Was du über AI im Commerce jetzt wissen musst

In dieser Folge sprechen Markus Dränert (CEO von Intershop) und Joubin Rahimi über den Wandel im Einkaufsverhalten – von klassischen Suchfeldern zu dialogorientierten, intelligenten Sytemen.
Blog

Deno – Das müsst ihr über die Laufzeitumgebung wissen

Deno nennt sich die neueste Kreation von Ryan Dahl, dem ursprünglichen Schöpfer von Node.js. Die neue Laufzeitumgebung weist einige spannende Neuerungen auf – mehr dazu in unserem Blogbartikel!
Blog 24.04.25

Datenschutz, Tracking & KI – das musst du jetzt wissen!

KI kann mehr über dich herausfinden, als dir lieb ist – sogar aus scheinbar anonymen Daten. Und genau da wird’s kritisch: Denn wo hören kluge Services auf – und wo fängt unbemerkte Manipulation an?
Checkliste als Symbol für die verschiedenen To Dos im Bereich Lizenzmanagement
Blog 01.02.22

Lizenzmanagement fest im Griff - Das sollten Sie wissen!

Lizenzmanagement hat nicht nur Relevanz für das Thema Compliance, sondern kann auch Kosten und Risiken minimieren. Mehr dazu im Beitrag.
Blogbeitrag zur Referenz zu IAM das Gebäude von W&W
Referenz

IAM Compliance bei der W&W Gruppe

Zur Sicherstellung der Compliance im Bereich IDM definierten die Prozessverantwortlichen der W&W-Gruppe, zusammen mit der IPG und dem Partner eleveneye GmbH, gruppenweit verbindliche IDM-Prozesse.

Kompetenz

Sourcing Strategy, Spend Management & Compliance

Trotz immer leistungsfähigerer IT steigen die IT-Kosten gemessen am Umsatz / an EBITDA stetig an.

Blog 28.08.25

SOX-Compliance leicht gemacht mit IAM

SOX stellt hohe Anforderungen an interne Kontrollen. Mit Identity & Access Management lassen sich Prüfungen vereinfachen, Risiken minimieren und Audits effizient bestehen.
Referenz

Schufa: Lizenzmanagement und Compliance Audit-Begleitung

Seit Jahren berät ARS die SCHUFA Holding AG rund um die verschiedenen Vertrags- und Preismodelle von IBM Software. Einen von IBM beauftragten Compliance Audit meisterte die Schufa mit ARS erfolgreich.
Blog

Das erwartet Sie beim Software Compliance Audit

Worauf müssen Sie sich einstellen, wenn bei Ihnen ein Audit ansteht? Das beantworten wir im Blog.

Bleiben Sie mit dem TIMETOACT GROUP Newsletter auf dem Laufenden!