accountant working on desk using calculator for calculate finance report in office

DORA-Verordnung: Was Finanzunternehmen jetzt tun müssen

Neue EU-Vorgabe für mehr Cybersicherheit in der Finanzbranche ist in Kraft getreten

Köln, den 4. März 2025. Am 17. Januar 2025 ist die EU-Verordnung DORA (Digital Operational Resilience Act) in Kraft getreten, die die digitale Widerstandsfähigkeit der gesamten Finanzbranche stärken soll. Wir erläutern Ihnen die Anforderungen und zeigen Ihnen, wie Sie die erforderliche Konformität erreichen.          

Was ist DORA?

Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung, die seit dem 17. Januar 2025 verbindlich gilt. Durch diese hat die Europäische Union eine einheitliche Regulierung für die Themen Cybersicherheit, IKT-Risiken und digitale operationale Resilienz für den gesamten Finanzsektor geschaffen. Mit DORA verfolgt die EU das Ziel, die Widerstandsfähigkeit von Finanzdienstleistungsinstituten gegenüber IKT- und Cyberrisiken zu stärken. DORA bezieht sich ausdrücklich auf IKT-Risiken und legt Regeln für das Risikomanagement, die Meldung von Vorfällen, die Prüfung der operativen Belastbarkeit und die Überwachung von IKT-Risiken durch Dritte fest. Nur so lässt sich gewährleisten, dass Unternehmen in der Finanzbranche auch bei größeren Vorfällen sicher und zuverlässig weiterarbeiten können.

Durch DORA sind Finanzinstitute und ihre Leitungsorgane in der Pflicht, diesen Regeln nachzukommen. Finanzunternehmen, die den Digital Operational Resilience Act (DORA) nicht einhalten, riskieren erhebliche Konsequenzen: Diese reichen von hohen Geldstrafen über aufsichtsrechtliche Maßnahmen bis hin zu geschäftlichen Einschränkungen und der persönlichen Haftung der Geschäftsleitung; hinzu kommen Vertrauensverluste und Reputationsschäden.

Welche Unternehmen sind betroffen?

So gut wie alle beaufsichtigten Institute und Unternehmen des europäischen Finanzsektors fallen unter DORA, dazu gehören:

  • Banken und Kreditinstitute
  • Versicherungen und Rückversicherungen
  • Investmentgesellschaften
  • Zahlungs- und E-Geld-Institute
  • Wertpapierfirmen und Börsen
  • Ratingagenturen und Datenanbieter

Darüber hinaus müssen auch kritische IT-Dienstleister, die für Finanzunternehmen arbeiten, die DORA-Richtlinien erfüllen:

  • Cloud-Anbieter
  • Software- und IT-Sicherheitsanbieter
  • Rechenzentrumsbetreiber
  • Managed Service Provider (MSPs)

Welche Anforderungen stellt DORA?

DORA soll die Cybersicherheit und digitale operationale Resilienz des Finanzsektors in diesen fünf wesentlichen Bereichen stärken und stellt entsprechende Anforderungen:

IT-Risikomanagement

End-to-End-Serviceansicht und Szenario-basierte IT-Verwaltung; operative und technische Cybersecurity-Fähigkeiten; Widerstandsfähigkeit der Unternehmensarchitektur und BCM

Berichterstattung über Vorfälle

Berichterstattung über IKT-bezogene Cybersecurity-Vorfälle; Ursachenanalyse nach IKT-Vorfällen; Identifizierung und Meldung von Security-Verbesserungen

Regelmäßige Belastbarkeitsprüfung

Jährliche Prüfung aller kritischen IKT-System; erweiterte, auf Bedrohungen ausgerichtete Penetrationstests (alle 3 Jahre); Zusammenarbeit mit Drittanbietern

Drittanbieter-Management

Meldung des vollständigen Auslagerungsregisters und der Änderungen; Gewährleistung einer vollständigen Überwachung von Drittanbietern; Bewertung des Konzentrationsrisikos & Sub-Outscourcing

Information Sharing

Vorkehrungen für den Austausch von Erkenntnissen über Bedrohungen; Zusammenarbeit von vertrauenswürdigen Finanzunternehmen; Mechanismen zur Überprüfung und Auswertung

So unterstützen wir Sie bei Ihrer DORA-Konformität

Die Einführung und langfristige Haltung der DORA-Vorgaben kann für betroffene Unternehmen eine Herausforderung darstellen und bindet Budgets und Ressourcen. Daher sollten Sie auf ein klares Konzept setzen, um eine ganzheitliche Strategie zu entwickeln, statt nur kurzfristig einzelne Maßnahmen zu implementieren.

Gerne unterstützen wir Sie mit unserer Expertise bei allen Schritten, denn die novaCapta Expert:innen verfügen über jahrzehntelange Erfahrung bei der Implementierung höchster Sicherheitskonzepte und -maßnahmen – als Microsoft Partner setzen wir dafür am liebsten auf die Vorteile umfassender Microsoft-Sicherheitslösungen wie z.B. Microsoft Defender for Cloud oder Microsoft Intune. Die Basis unserer Vorgehensweise bildet dabei unser Reifegradmodell:

Das DORA-Reifegradmodell der novaCapta


Das novaCapta Reifegradmodell berücksichtigt alle​ Anforderungen der DORA-Verordnung; neben der Möglichkeit der DORA-spezifischen GAP-​Analyse beinhaltet es auch verwandte​ Regularien, wie z.B. die VAIT. Die Bewertungsmethodik des Modells ermöglicht dabei eine effiziente Erarbeitung des Abgleichs sowie die risikoorientierte​ Ermittlung und Bewertung von Handlungsoptionen. Die Verortung dieser Optionen und Maßnahmen​ in bestehende oder neue Vorhaben sowie deren Priorisierung erfolgen parallel.

Auf Basis unseres Reifegradmodells empfehlen Ihnen folgende Vorgehensweise auf dem Weg zu Ihrer DORA-Konformität.

Unsere Vorgehensweise zu Ihrer DORA-Konformität

Bestands-aufnahme

Ermittlung Ihres Reifegrads zur DORA-Konformität

GAP-Analyse

Detailanalyse Ihrer Umgebung und der Security- & Compliance-Prozesse zur Ermittlung von bestehenden Lücken

Maßnahmen-definition

von konkreten Datenschutz- und Compliance-Maßnahmen zur Erreichung der DORA-Ziele

Operationali-sierung

Festlegung von Prioritäten, Erstellung eines Zeitplanes, Ressourcenplanung, Integration oder Aufsetzen von Umsetzungsinitiativen, Fortschritts- und Erfolgskontrolle, Begleitung beim Change-Management

Überwachung

Bei Bedarf kontinuierliche Überwachung und Optimierung der Maßnahmen im Rahmen eines Managed SOC ‚

Unsere Cybersecurity Expertise

Logo ISO 27001:2013

Wir verfügen über fundierte Erfahrung bei der Umsetzung grundlegender Sicherheitsmaßnahmen in Unternehmen, u.a. bestätigt durch unsere ISO 27001 Zertifizierung und unsere Auszeichnung als Microsoft Solution Partner im Bereich Security.

Sie wünschen Beratung zu Cybersicherheit in der Finanzbranche?

Mein Team und ich freuen uns auf Ihre (unverbindliche) Anfrage.

Portraitbild von Sebastian Nipp, novaCapta

Sebastian Nipp

Head of Cloud Operations & Security

DORA 24 Teaserbild
Blog 10.07.24

DORA-Compliance: Was Finanzunternehmen jetzt wissen müssen

DORA und IAG: Wie Finanzinstitute die Anforderungen der neuen Verordnung erfüllen und die IT-Sicherheit verbessern können. Lesen Sie hier mehr.
Teaserbild_Expertenbericht_DORA_IAM
Blog 26.05.25

Warum DORA ein IAM braucht | IKT DORA

Sichere Einhaltung der Digitalen Betriebs Resilienz-Verordnung (DORA) der EU: Wir unterstützen Unternehmen im Finanzsektor mit geeigneter IAM-Strategie die Richtlinien einzuhalten.
Schuhe Reisebuchung Identitätsverwaltung
Blog 30.06.21

Was hat ein Schuhkauf mit Identitätsverwaltung zu tun?

Was hat personalisierter Werbung und Identitätsverwaltung mit Customer IAM (CIAM) zu tun ✅ Lesen Sie mehr dazu in unserem Blog

Man holding smart phone with data security on display at office
News 22.04.24

NIS2-Richtlinie: Das müssen Sie wissen

Mit NIS2 legt die EU neue Mindeststandards für Cybersicherheit fest. Sie betrifft mehr Unternehmen, stellt höhere Anforderungen und steigert den Durchsetzungsdruck. Wir stehen als Partner zur Seite.
Blog 29.10.24

Was Deutschland tun muss, um den Tech-Turbo zu zünden

Mit Philipp Klöckner haben wir uns über die Zukunft von AI und deren Rolle in Europa unterhalten. Eine zentrale Erkenntnis: Microsoft verbraucht allein so viel Strom verbraucht wie 3 Kernkraftwerke!
Blog 15.05.25

Traffic-Zahlen sind im Keller? Das musst du tun!

Klassische Content-Marketing-Strategien zünden nicht mehr. Ben Harmanus von HubSpot zeigt im Interview, wie du deinen Traffic wieder auf Kurs bringst. Er gibt dir konkrete Tipps mit an die Hand.
Blog 11.05.23

EU-Nachhaltigkeitsrichtlinie (CSRD) – das müssen Sie wissen!

Die Corporate Sustainability Reporting Directive (CSRD) kommt! Was bedeutet das für Ihr Unternehmen? Wir haben es im Blog zusammengefasst!
Blog 20.04.26

Identity Governance für NIS-2, DORA und KRITIS 2.0

Wie Unternehmen Identity Governance für NIS-2, DORA und KRITIS 2.0 umsetzen: Anforderungen, Kontrollen, Audit Readiness und Maßnahmenplan.
News 15.02.23

Neuer IBM Passport Advantage Vertrag - das müssen Sie wissen

IBM hat nach mehr als 5 Jahren den Passport Advantage Vertrag überarbeitet – einige Bedingungen haben sich dadurch grundsätzlich geändert. Die wichtigsten Änderungen im Überblick.
Standort

Winterthur

Finden Sie u.a. catworkx AG und IPG Information Process Group AG in Winterthur: Theaterstrasse 17, 8400 Winterthur
Event 25.03.22

AFCEA Fachausstellung 2022

Am 11. und 12. Mai 2022 findet die AFCEA Fachausstellung live im World Congress Center in Bonn statt.

May 11
Standort

Dresden

Finden Sie u.a. IPG Information Process Group GmbH Deutschland in Dresden: Gertrud-Caspari-Str. 13; 01109 Dresden; +49 7531 957 3020; info@ipg-group.com
News 06.08.21

Intelligent Document Processing ab sofort noch effizienter!

Wir verbessern unsere Leistung aus diesen Gründen im Gebiet Intelligent Document Processing stetig und haben nun mit den Experten der PLANET artificial intelligence GmbH aus Rostock einen starken Partner an unserer Seite.
Standort

Berlin

Finden Sie u.a. IPG Information Process Group AG GmbH Deutschland und CLOUDPILOTS Software & Consulting GmbH in Berlin
Headerbild zu Intelligente Dokumentenverarbeitung / Intelligent Document Processing
Service 11.08.21

Intelligent Document Processing (IDP)

Intelligent Document Processing (IDP) umfasst die Erfassung, Erkennung und Klassifikation von Geschäftsdokumenten und Daten aus unstrukturierten und halbstrukturierten Texten.

Referenz

Von Notes zu Microsoft 365

TIMETOACT GROUP führt bei der HOCHBAHN einen Wechsel des bisherigen Lotus-Notes E-Mail-Systems auf eine moderne cloudbasierte Microsoft 365 Plattform.
Social 16.02.21

FAST-elovend 2021 – unsere virtuelle Karnevalsfeier

Kölle Alaf! Auch dieses Jahr feierten die Jecken der TIMETOACT GROUP Fastelovend - aber nur FAST so wie immer. Denn nach unserer (digitalen) Weihnachtsfeier ließen wir uns auch Karneval nicht nehmen und feierten Karneval einfach virtuell.
Social 04.03.21

Fit im Home Office

Um unsere KollgInnen im Home Office bestmöglich zu unterstützen, haben wir im Rahmen unseres betrieblichen Gesundheitsmanagement ein Online Seminar zum Thema "Fit im Home Office" angeboten, um ihnen ihren Alltag ein Stück weit zu erleichtern.
Headerbild für lokale Entwicklerressourcen in Deutschland
Branche

Digitalisierungspartner vor Ort für Versicherungen

Wir finden die optimale IT-Lösung für Versicherungen! ► Alles aus einer Hand ✓ Persönlich vor Ort ✓ Jetzt persönlichen Austausch vereinbaren.
Event 12.04.21

IBM Think 2021

Wer auf Hybrid Cloud und KI setzt, legt damit den Grundstein für ein smartes Unternehmen. Die Think 2021 ist eine eintägige, globale Veranstaltung von IBM mit Showcases zum digitalen Austausch, Lernen und Vernetzen.

May 12

Bleiben Sie mit dem TIMETOACT GROUP Newsletter auf dem Laufenden!