{"id":897,"date":"2025-09-01T15:44:49","date_gmt":"2025-09-01T13:44:49","guid":{"rendered":"http:\/\/192.168.178.3:8082\/?p=897"},"modified":"2025-09-01T15:44:52","modified_gmt":"2025-09-01T13:44:52","slug":"dora-die-juengsten-entwicklungen-und-was-sie-fuer-finanzunternehmen-bedeuten","status":"publish","type":"post","link":"https:\/\/www.g-lorenzen.de\/index.php\/2025\/09\/01\/dora-die-juengsten-entwicklungen-und-was-sie-fuer-finanzunternehmen-bedeuten\/","title":{"rendered":"DORA: Die j\u00fcngsten Entwicklungen und was sie f\u00fcr Finanzunternehmen bedeuten"},"content":{"rendered":"\n<p><strong>DORA: Die j\u00fcngsten Entwicklungen und was sie f\u00fcr Finanzunternehmen bedeuten<\/strong><\/p>\n\n\n\n<p>Seit Januar dieses Jahres ist der Digital Operational Resilience Act (DORA) offiziell in Anwendung getreten. Diese europ\u00e4ische Verordnung zielt darauf ab, die Widerstandsf\u00e4higkeit von Finanzunternehmen und deren IKT-Dienstleistern im Bereich der Informations- und Kommunikationstechnologie sektor\u00fcbergreifend zu st\u00e4rken und Cyberrisiken sowie IKT-Vorf\u00e4llen gest\u00e4rkt zu begegnen. F\u00fcr die meisten Finanzunternehmen gab es dabei keine Schon- oder \u00dcbergangsfrist; die Verordnung ist seit dem 17. Januar 2025 vollst\u00e4ndig anzuwenden.<\/p>\n\n\n\n<p><strong>Die Kernthemen des DORA im \u00dcberblick<\/strong><\/p>\n\n\n\n<p>DORA konzentriert sich auf f\u00fcnf wesentliche S\u00e4ulen zur St\u00e4rkung der digitalen Resilienz:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>IKT-Risikomanagement<\/strong>: Unternehmen m\u00fcssen einen Risikomanagementrahmen etablieren, der sich auf eingesetzte Technologien und Sicherheitsziele konzentriert. Hierzu geh\u00f6ren auch Programme zur Sensibilisierung f\u00fcr IKT-Sicherheit sowie die Entwicklung von Kommunikationsstrategien.<\/li>\n\n\n\n<li><strong>Management des IKT-Drittparteienrisikos<\/strong>: Der gesamte Lebenszyklus vertraglicher Vereinbarungen mit IKT-Drittdienstleistern wird betrachtet, von Governance-Prinzipien \u00fcber Mindestvertragsinhalte bis hin zu Ausstiegsszenarien.<\/li>\n\n\n\n<li><strong>Meldung von IKT-bezogenen Vorf\u00e4llen<\/strong>: DORA standardisiert das Meldewesen f\u00fcr schwerwiegende IKT-Vorf\u00e4lle und legt klare Klassifikationskriterien fest.<\/li>\n\n\n\n<li><strong>Testen der digitalen operationalen Resilienz<\/strong>: Finanzunternehmen m\u00fcssen Programme zum Testen ihrer Resilienz etablieren, die auch Drittparteien einbeziehen. Hierbei wird zwischen Basistests (obligatorisch) und fortgeschrittenen Threat Led Penetration Tests (TLPT) f\u00fcr systemrelevante Unternehmen unterschieden.<\/li>\n\n\n\n<li><strong>Informationsaustausch<\/strong>: DORA regelt den freiwilligen Austausch von Informationen und Erkenntnissen \u00fcber Cyberbedrohungen, um das Bewusstsein und die Resilienz im Finanzsektor zu st\u00e4rken.<\/li>\n<\/ul>\n\n\n\n<p><strong>\u00c4nderungen bei BaFin-Rundschreiben<\/strong><\/p>\n\n\n\n<p>Mit der Anwendung des DORA geh\u00f6ren einige zuvor in Deutschland geltende sektorspezifische aufsichtliche Anforderungen an die IT der Vergangenheit an, um Komplexit\u00e4t und Doppelregulierung zu vermeiden.<\/p>\n\n\n\n<p>Seit dem 17. Januar 2025 wurden folgende BaFin-Rundschreiben aufgehoben, da ihre Themen nun durch DORA abgedeckt sind:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>KAIT<\/strong>: Kapitalverwaltungsaufsichtliche Anforderungen an die IT<\/li>\n\n\n\n<li><strong>VAIT<\/strong>: Versicherungsaufsichtliche Anforderungen an die IT<\/li>\n\n\n\n<li><strong>ZAIT<\/strong>: Zahlungsdiensteaufsichtliche Anforderungen an die IT von Zahlungs- und E-Geld-Instituten<\/li>\n<\/ul>\n\n\n\n<p>Die <strong>BAIT<\/strong> (Bankaufsichtliche Anforderungen an die IT) bleibt hingegen noch bis zum 31. Dezember 2026 f\u00fcr Institute g\u00fcltig, die DORA nicht direkt anwenden m\u00fcssen. Dies betrifft beispielsweise Leasing-Unternehmen, die DORA-Anforderungen erst ab dem 1. Januar 2027 vollst\u00e4ndig anwenden m\u00fcssen, dann oft mit Vereinfachungen f\u00fcr Kleinstunternehmen. <strong>Wichtig<\/strong>: Auch f\u00fcr diese Unternehmen besteht die Pflicht zur Meldung schwerwiegender IKT-Vorf\u00e4lle bereits seit dem 17. Januar 2025.<\/p>\n\n\n\n<p><strong>Dringliche Termine und das Informationsregister<\/strong><\/p>\n\n\n\n<p>Ein zentraler und dringlicher Termin war der <strong>17. Januar 2025<\/strong>, da DORA seitdem f\u00fcr Finanzunternehmen vollumf\u00e4nglich anzuwenden ist.<\/p>\n\n\n\n<p>Ein weiteres Schl\u00fcsseldatum ist der <strong>11. April 2025<\/strong>: Bis dahin sollte die Erstellung eines umfangreichen <strong>Informationsregisters<\/strong> abgeschlossen sein, das einen detaillierten \u00dcberblick \u00fcber IKT-Drittdienstleister gibt. Es wird erwartet, dass die BaFin Finanzunternehmen sp\u00e4testens zu diesem Zeitpunkt zur erstmaligen Einreichung auffordert. Selbst wenn bis dahin noch nicht alle Vertr\u00e4ge DORA-konform angepasst wurden, wird ein sinnvoller und risikoorientierter Zeitplan f\u00fcr Vertragsanpassungen erwartet.<\/p>\n\n\n\n<p>Dieses Informationsregister dient der BaFin dazu, Konzentrationsrisiken im Finanzsektor zu bewerten, die die Finanzstabilit\u00e4t gef\u00e4hrden k\u00f6nnten. Es umfasst alle vertraglichen Vereinbarungen zur Nutzung von IKT-Drittdienstleistungen und differenziert, ob diese kritische oder wichtige Funktionen unterst\u00fctzen. F\u00fcr diese Vertr\u00e4ge gelten umfangreiche Mindestvertragsinhalte, die in DORA definiert sind und von allgemeinen Formvorschriften bis hin zu spezifischen Anforderungen an das Gesch\u00e4ftsfortf\u00fchrungsmanagement und Pr\u00fcfrechte reichen.<\/p>\n\n\n\n<p>Die Einf\u00fchrung des Informationsregisters und die damit verbundenen vertraglichen Anforderungen stellen sowohl eine Chance als auch ein Risiko dar. Sie bieten eine gute M\u00f6glichkeit, L\u00fccken im Dienstleistermanagement zu identifizieren und zu schlie\u00dfen, indem sie angemessene oder sogar h\u00f6chste Sicherheitsstandards bei IKT-Dienstleistern fordern. Gleichzeitig kann die Durchsetzung dieser neuen Vertragsinhalte zu Preisverhandlungen oder sogar zum R\u00fcckzug von Dienstleistern aus dem Finanzsektor f\u00fchren, insbesondere wenn der Finanzbereich f\u00fcr sie nur eine geringe Bedeutung hat.<\/p>\n\n\n\n<p><strong>Das Vorfallmeldewesen nach DORA<\/strong><\/p>\n\n\n\n<p>Die Verpflichtung zur Meldung schwerwiegender IKT-bezogener Vorf\u00e4lle ist ein zentrales Element des DORA. Ziel ist es, Risiken f\u00fcr das Finanzsystem fr\u00fchzeitig zu erkennen und dessen Stabilit\u00e4t zu sichern.<\/p>\n\n\n\n<p><strong>Wann und was muss gemeldet werden?<\/strong> Sobald ein relevanter IKT-Vorfall entdeckt wird, ist innerhalb von <strong>24 Stunden eine Erstmeldung<\/strong> an die BaFin zu senden. Beispiele hierf\u00fcr sind Cyberangriffe, Systemausf\u00e4lle, interne St\u00f6rungen oder Ereignisse, die die Datenintegrit\u00e4t, -verf\u00fcgbarkeit oder -vertraulichkeit gef\u00e4hrden. Ein Vorfall wird als <strong>schwerwiegend<\/strong> eingestuft, wenn die betroffenen Dienste als kritisch gelten UND entweder ein b\u00f6swilliger\/unbefugter Zugriff erfolgte ODER mindestens zwei weitere relevante Kriterien erf\u00fcllt sind.<\/p>\n\n\n\n<p><strong>Klassifizierungskriterien f\u00fcr Vorf\u00e4lle sind unter anderem<\/strong>:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Anzahl der betroffenen Kunden, Gegenparteien und Transaktionen (z.B. >10% oder >100.000 Kunden betroffen)<\/li>\n\n\n\n<li>Reputationssch\u00e4den (z.B. mediale Aufmerksamkeit, Kundenverlust)<\/li>\n\n\n\n<li>Dauer und Ausfallzeiten (z.B. >2 Stunden Ausfall kritischer Dienste)<\/li>\n\n\n\n<li>Geografische Ausbreitung<\/li>\n\n\n\n<li>Verlust von Daten nach dem VIVA-Prinzip (Vertraulichkeit, Integrit\u00e4t, Verf\u00fcgbarkeit, Authentizit\u00e4t)<\/li>\n\n\n\n<li>Kritikalit\u00e4t der betroffenen Dienste<\/li>\n\n\n\n<li>Wirtschaftliche Auswirkungen (z.B. >100.000 Euro)<\/li>\n<\/ul>\n\n\n\n<p><strong>Arten der Meldung und Fristen<\/strong>:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Erstmeldung<\/strong>: Kurz, pr\u00e4zise, interne Einsch\u00e4tzung, Status des Vorfalls. Muss sp\u00e4testens <strong>4 Stunden nach der Einstufung als schwerwiegend<\/strong> oder <strong>innerhalb von 24 Stunden nach Entdeckung<\/strong> erfolgen.<\/li>\n\n\n\n<li><strong>Zwischenmeldung<\/strong>: Detaillierte Analyse und Auswirkungen. Einzureichen, sobald der Gesch\u00e4ftsbetrieb wiederhergestellt ist, der Status sich \u00e4ndert oder sp\u00e4testens <strong>72 Stunden nach der Erstmeldung<\/strong>.<\/li>\n\n\n\n<li><strong>Abschlussmeldung<\/strong>: Ursachenanalyse, ergriffene Ma\u00dfnahmen, Kosten, Lehren f\u00fcr die Zukunft. Einzureichen <strong>einen Monat nach der letzten Zwischenmeldung<\/strong>.<\/li>\n<\/ol>\n\n\n\n<p>Die Meldung erfolgt prim\u00e4r \u00fcber das <strong>MVP-Portal der BaFin<\/strong> oder alternativ per E-Mail an ikt-vorfall@bafin.de. Die Einhaltung dieser engen Fristen erfordert schnelle Prozesse, geschulte Melder und eine enge Abstimmung zwischen IT, Compliance und Management.<\/p>\n\n\n\n<p><strong>Ausblick<\/strong><\/p>\n\n\n\n<p>Die Anforderungen des DORA sind vielf\u00e4ltig und erfordern von Finanzunternehmen erhebliche Anstrengungen bei der Umsetzung. Die meisten Unternehmen haben bereits in den letzten zwei Jahren Ma\u00dfnahmen ergriffen, wie GAP-Analysen und die \u00dcberpr\u00fcfung von Dokumentationsanforderungen. Auch wenn es weiterhin Interpretationsspielr\u00e4ume geben mag, ist es entscheidend, jetzt bestehende L\u00fccken zu schlie\u00dfen, da es keine \u00dcbergangsphasen f\u00fcr die Umsetzung gibt.<\/p>\n\n\n\n<p>Durch klare Prozesse, geschulte Teams und den Einsatz digitaler Unterst\u00fctzung k\u00f6nnen Finanzunternehmen im Ernstfall handlungsf\u00e4hig bleiben, regulatorische Anforderungen zuverl\u00e4ssig erf\u00fcllen und letztlich ihre eigene digitale Resilienz nachhaltig st\u00e4rken.<\/p>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n","protected":false},"excerpt":{"rendered":"<p>DORA: Die j\u00fcngsten Entwicklungen und was sie f\u00fcr Finanzunternehmen bedeuten Seit Januar dieses Jahres ist&hellip;<\/p>\n","protected":false},"author":1,"featured_media":898,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[],"class_list":["post-897","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-audit"],"_links":{"self":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/897","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/comments?post=897"}],"version-history":[{"count":1,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/897\/revisions"}],"predecessor-version":[{"id":899,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/897\/revisions\/899"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media\/898"}],"wp:attachment":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media?parent=897"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/categories?post=897"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/tags?post=897"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}