Hintergrund und Einordnung 

Die zunehmende Digitalisierung, steigende Gefahren vor Cyberangriffen und die Abhängigkeit von Drittanbietern im IT-Bereich bergen erhebliche Risiken für die digitale operative Resilienz von Banken. Doch das mit dem Einsatz von Informationstechnologie Risiken einhergehen und diese zu begrenzen sind, ist nicht neu und die Forderungen, diese im Rahmen eines strukturierten Prozesses zu identifizieren und reduzieren, ebenfalls nicht. Bereits seit 2006 gibt es mit den MaRisk, den Mindestanforderungen an das Risikomanagement klar festgeschriebene Anforderungen an die Ausgestaltung der IT-Systeme und der zugehörigen IT-Prozesse, die die Berücksichtigungen der Anforderungen aus gängigen Standards (AT 7.2 Tz. 2 MaRisk) fordern. Zu diesen gängigen Standards wurden 2006 u.a. das IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und der internationale Sicherheitsstandard ISO 17799, abgelöst durch die Normenreihe ISO 270XX der International Standards Organization (ISO), gezählt. 2017 wurden diese Anforderungen durch die BAIT, die bankaufsichtlichen Anforderungen an die IT, konkretisiert. Nach einer Novellierung der BAIT im Jahr 2021, die einen stärkeren Fokus auf die Bedeutung eines Informationssicherheitsmanagementsystems und den IT-Betrieb legte, sind nunmehr die DORA-Anforderungen umzusetzen und die BAIT werden schrittweise bis 31.12.2026 aufgehoben. Für Institute, die in den Anwendungsbereich der Art. 5 bis 15 DORA fallen, sind die BAIT bereits jetzt nicht mehr anzuwenden. 

Im Folgenden betrachten wir die DORA-Anforderungen und -Umsetzung entlang von vier Leitfragen und arbeiten aus Sicht eines Primärinstituts heraus, welche risikoorientiert wesentlichen Aktivitäten priorisiert bearbeitet werden sollten. Wohlgemerkt im Wissen, dass diese Aktivitäten bereits bis zum 17.01.2025 hätten umgesetzt sein müssen. 

1. Welche zentralen Anforderungen stellt DORA?
2. Was muss ich tun und woher weiß ich, was das ist?
3. Was kann und muss ich jetzt, nach dem 17.01.2025 tun?
4. Welche risikoorientiert dringlichsten Aufgaben gilt es umzusetzen? 

Welche zentralen Anforderungen stellt DORA?

Anders als nationale Regulierungsvorhaben, wird mit DORA für die IT-Abteilungen im Finanzsektor erstmals ein einheitliches und umfassendes Regelwerk auf EU-Ebene eingeführt, das unmittelbar umgesetzt werden muss, für alle Mitgliedsstaaten identisch ist und somit auch unter Wettbewerbsaspekten zu mehr Gerechtigkeit führen kann. Im Kern umfasst die DORA die Regelungsbereiche 

          1. Allgemeine Bestimmungen, 

          2. IKT-Risikomanagement, 

          3. Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle, 

          4. Testen der digitalen operationalen Resilienz, 

          5. Management des IKT-Drittparteienrisikos und 

          6. Vereinbarungen über den Austausch von Informationen. 

Gegenstand der allgemeinen Bestimmungen ist die Definition der Ziele sowie des Geltungsbereichs der DORA. Wichtige Begriffsbestimmungen und der Grundsatz der Verhältnismäßigkeit werden festgelegt. Durch den Grundsatz der Verhältnismäßigkeit in Art. 4 DORA wird das Proportionalitätsprinzip der MaRisk und BAIT gewahrt, wonach betroffene Finanzunternehmen die Umsetzung der Anforderungen unter Berücksichtigung von Größe, dem Gesamtrisikoprofil sowie der Art, dem Umfang und der Komplexität der Dienstleistungen, Tätigkeiten und Geschäfte vornehmen. 

Harmonisierte und einheitliche Anforderungen an Governance, Organisation und einen IKT-Risikomanagementrahmen verfolgen im Kapitel IKT-Risikomanagement das Ziel, dass Finanzunternehmen z.B. für den Ausfall eines IKT-Drittdienstleisters resilient aufgestellt sind. Verantwortlich hierfür ist das Leitungsorgan. Das Leitungsorgan hat u.a. dafür zu sorgen, dass mit dem Einsatz von IKT-Systemen einhergehende Risiken identifiziert, bewertet, aktiv gesteuert und überwacht werden. Insbesondere gilt es für den Geschäftsbetrieb essenzielle Prozesse, die kritischen oder wichtigen Funktionen, zu kennen. Bestenfalls werden Ausfälle z.B. durch Angriffe Dritter frühzeitig erkannt und durch geeignete Vorkehrungen verhindert. Gelingt dies nicht, wurden mindestens für kritische oder Funktionen und damit verbundene IKT-Systeme Vorkehrungen für die Geschäftsfortführung, die Reaktion und Wiederherstellung getroffen. Klare Rollen und Verantwortlichkeiten unterstützen bei der Aufrechterhaltung von Aktualität, Zuverlässigkeit und Resilienz der IKT-Systeme. 

Aufgrund der zunehmenden globalen Vernetzung trifft ein Dienstleisterausfall womöglich nicht nur ein Finanzunternehmen. Ferner wirkt sich der Ausfall eines IKT-Systems aufgrund der oftmals tiefen Integration in die Systeme der Bank und die zunehmende Automatisierung von Geschäftsprozessen auf eine Vielzahl von Funktionen aus. Vor diesem Hintergrund gilt es solche IKT-bezogenen Vorfälle zu behandeln, zu klassifizieren und darüber zu berichten. Die Meldung schwerwiegender IKT-bezogener Vorfälle an die nationale Verbindungsstelle (für Finanzunternehmen die BaFin) ermöglicht es, etwaige unternehmensübergreifende Ausfälle zu identifizieren, deren Ausmaß zu erfassen und – falls erforderlich – zentrale Maßnahmen einzuleiten. Eine Überwachung und Analyse der IKT-bezogenen Vorfälle sind erforderlich, um deren Ursachen zu identifizieren und zukünftigen, gleichartigen Vorfällen vorzubeugen. 

Um die Vorbereitung auf die Handhabung IKT-bezogener Vorfälle bewerten zu können und die Widerstandsfähigkeit ihrer IKT-Systeme zu überprüfen und zu verbessern, müssen Finanzunternehmen die digitale operationale Resilienz der IKT-Systeme testen. Dies umfasst für IKT-Systeme, die kritische oder wichtige Funktionen unterstützen, regelmäßige, mindestens jährliche Tests (beispielsweise Penetrationstests, szenariobasierte Tests oder Kompatibilitätstests). Erweiterte Tests auf Basis von Threat-Led Penetration Tests (TLPT) sind nur von ausgewählten Finanzunternehmen durchzuführen. Wer hierzu verpflichtet ist, wird von den europäischen Aufsichtsbehörden auf Basis des neu zu erstellen Informationsregisters festgelegt. 

Zunehmende Abhängigkeiten von der IT, sei es aufgrund digitaler Geschäftsmodelle oder der Nutzung von Cloud-Dienstleistungen, führen unausweichlich zu mehr Abhängigkeiten und mehr Risiken. Umso wichtiger ist ein angemessenes Management des IKT-Drittparteienrisikos. Dies beginnt bei der Kenntnis über bestehende IKT-Dienstleistungsverhältnisse sowie den Abhängigkeiten von diesen, betrachtet vertraglich vereinbarte Rechte und Pflichten, Mindestanforderungen an Vertragsbeziehungen, mit der IKT-Dienstleistung verbundene Risiken bis hin zu Szenarien, die einen ggf. anlassbezogenen und vorzeitigen Ausstieg aus dem Vertragsverhältnis betrachten. 

Zu guter Letzt will die DORA-Verordnung den Austausch über aktuelle Erkenntnisse u.a. zu Cyberbedrohungen fördern und sieht Vereinbarungen über den Austausch von Informationen vor. Einerseits wird hiermit die Möglichkeit geschaffen, sich zu internen und damit wahrscheinlich nicht für die Öffentlichkeit bestimmten Themen auszutauschen, ggf. leidlich gewonnene Erkenntnisse und Informationen an Mitstreiter zu geben und Dritten, die Schwachstellen ausnutzen wollen, das Handwerk zu erschweren. Andererseits ist dieser Austausch an Voraussetzungen gebunden und hat ein gewisses Formerfordernis zu erfüllen. 

Was muss ich tun und woher weiß ich, was das ist?

Mit DORA verbundene Anforderungen für den Finanzsektor sind für die betroffenen Unternehmen kein vollständiges Neuland. Viele bewährte Anforderungen, die bereits im Zuge der Umsetzung von MaRisk und BAIT gefordert und umgesetzt wurden, werden aufgegriffen. Dennoch sieht DORA teils neue oder weitergehende Anforderungen vor. Einige der bisherigen Anforderungen entfallen. Um zielgerichtet Anpassungen in der Aufbau- und Ablauforganisation vorzunehmen, ist eine umfassende Analyse der Ausgangslage und des Zielbilds erforderlich. Nachstehend betrachten wir die erforderlichen Aktivitäten anhand wesentlicher Meilensteine in einem beispielhaften Projektvorgehen. 

Aufbauend auf einer grundsätzlichen Betroffenheitsanalyse gilt es im Rahmen eines Projektantrags u.a. die Projektziele, Chancen und Risiken, die erforderliche Projektstruktur inkl. der Projektbeteiligten und Ressourcen sowie zu erreichende Meilensteine zu schaffen. Im Rahmen eines Projektcontrollings ist die Einhaltung der vereinbarten Ziele, der Zeitachse, etwaiger Risiken und Ressourcen zu überwachen. 

Für die Durchführung einer GAP-Analyse ist eine detaillierte Ausarbeitung des Zielbilds erforderlich. Im Fokus steht die Umsetzung der DORA samt der zugehörigen Begleitdokumentation. Insofern sind die DORA-Anforderungen das zu erreichende Soll-Objekt. Hierauf aufbauend werden die bisherigen Aufbau- und Ablauforganisatorischen Regelungen analysiert und auf ihre DORA-Konformität hin bewertet. Im Ergebnis erhalten wir eine Übersicht der Abweichungen vom Soll-Objekt. 

Je Abweichung vom Soll-Objekt ist zu eruieren, welche Maßnahmen erforderlich und geeignet sind, diese zu schließen. Dem Grundsatz der Verhältnismäßigkeit nach Art. 4 DORA sollte hierbei unbedingt Rechnung getragen werden. Ergänzt um weitere Informationen zum Fertigstellungstermin, der Zuständigkeit und – besonders wichtig – der risikoorientierten Priorität ergibt sich hieraus der im Projekt abzuarbeitende Maßnahmenplan. 

Wesentliche Auswirkungen der umzusetzenden Maßnahmen auf betriebliche Prozesse oder Strukturen sind nicht auszuschließen. Vor diesem Hintergrund ist es gemäß AT 8.2 MaRisk vor Umsetzung der Veränderungen in der Aufbau- und Ablauforganisation sowie in den IT-Systemen erforderlich, die Auswirkungen der geplanten Veränderungen auf die Kontrollverfahren und die Kontrollintensität zu analysieren und die Ergebnisse der Auswirkungsanalyse zu berücksichtigen. In Abhängigkeit von den betroffenen Unternehmensbereichen kann mehr als eine Auswirkungsanalyse sinnvoll sein. 

Liegen GAP-Analyse, Maßnahmenplan und Auswirkungsanalyse vor, gilt es die erforderlichen Anpassungen im Unternehmen operativ umzusetzen. Zieldatum der Umsetzung war der 17.01.2025. Seither sind die neuen Anforderungen ohne Schonfrist durch Unternehmen zu erfüllen. 

Was kann und muss ich jetzt, nach dem 17.01.2025 tun?

Vor dem Hintergrund knapper personeller Ressourcen, weiteren internen Projekten, größeren Auswirkungen erforderlicher Anpassungen, in Teilen aufgrund der Unsicherheit bzgl. nicht abschließend veröffentlichter Begleitdokumentationen und ausstehenden Rückmeldungen Dritter, werden einige Unternehmen die DORA-Anforderungen zum aktuellen Zeitpunkt noch nicht vollständig umgesetzt haben. Doch wie damit angemessen umgehen? 

Dreh- und Angelpunkt des angemessenen Umgangs mit noch nicht vollständig umgesetzten Maßnahmen ist der vorgenannte Maßnahmenplan samt der risikoorientierten Priorisierung. Mit einer hohen Priorität versehene und noch nicht vollständig umgesetzte Maßnahmen gilt es zu identifizieren. Erforderliche Aktivitäten bis zur vollständigen Umsetzung werden spätestens jetzt detailliert ausgearbeitet und mit einer ambitionierten Zeitplanung unterlegt. Bestehende Abhängigkeiten von Dritten werden dargestellt. Dieses Vorgehen deckt sich grundsätzlich mit den Anforderungen der BaFin, die in einem Interview vom 17.01.2025 zur Umsetzung der Anforderungen im IKT-Drittparteienrisiko folgendes mitteilt: 

„DORA stellt zum Beispiel eine ganze Reihe neuer Anforderungen an die Ausgestaltung von Vertragsbeziehungen. Unter Umständen haben noch nicht alle Unternehmen sämtliche Verträge mit IKT-Drittdienstleistern angepasst, obwohl DORA eigentlich schon angewendet werden muss. In solchen Fällen erwarten wir, dass uns die Unternehmen einen sinnvollen, risikoorientierten Zeitplan für die Vertragsanpassungen vorlegen.“ 

Quelle: https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Fachartikel/2025/fa_250117_Interview_Obermoeller.html 

Kern der DORA-Anforderungen ist die Einführung eines IKT-Risikomanagements. Insofern liegt es nahe, dass auch das Risiko aus der noch nicht vollständig erfolgten Umsetzung der DORA-Anforderungen analysiert, bewertet und im Risikomanagement berücksichtigt wird. Der Fortschritt in der Maßnahmenumsetzung ist eng zu überwachen. 

Welche risikoorientiert dringlichsten Aufgaben gilt es umzusetzen?

Die österreichische Finanzmarktaufsicht FMA, das Pendant unseres Nachbarn zur BaFin, hat das Dokument „DORA: Endspurt bis zum 17.01.2025“ veröffentlicht und für die verschiedenen Regelungsbereiche beispielhaft ausgewählte Erfordernisse dokumentiert. Wir verweisen für die Details an dieser Stelle auf das Originaldokument. 

Quelle: www.fma.gv.at/wp-content/plugins/dw-fma/download.php;

Ausgewählte Anforderungen, die es dringlich umzusetzen gilt und die in der Form nicht zwangsläufig im vorgenannten Dokument genannt werden, möchten wir dennoch separat erwähnen. Ausschlaggebend für die Auswahl ist insbesondere das Merkmal, dass gegenüber den bisherigen Anforderungen der MaRisk und BAIT eine Neuerung vorliegt, die bedeutenden Einfluss auf die digitale Resilienz hat. 

• Die Anpassung oder Erstellung erforderlicher Strategien zur digitalen operationalen Resilienz, zur Kommunikation bei IKT-bezogenen Vorfällen, zum Management des IKT-Drittparteienrisikos und optional zur Nutzung mehrerer IKT-Anbieter hat, da sie die grundsätzliche Ausrichtung der Unternehmensaktivitäten und damit auch die Risikokultur bestimmen, hohe Relevanz. 
   
• Erforderliche Anpassungen der schriftlich fixierten Ordnung (Leitlinien, Richtlinien, Verfahrensbeschreibungen) haben als Basis für den operativen Betrieb und die angemessene Umsetzung der Anforderung einen hohen Stellenwert und tragen dazu bei, DORA-widriges Verhalten zu reduzieren. Insbesondere die in der Regel aus der zweiten Verteidigungslinie kommenden Leit- und Richtlinien sind für die Integration definierter Sicherheitsanforderungen in die Geschäftsprozesse von zentraler Bedeutung. 
   
• Die Entwicklung einer Kommunikationsstrategie für IKT-bezogene Vorfälle (siehe oben) in Verbindung mit einer Kommunikationsleitlinie und daraus abgeleiteten szenariobasierten Kommunikationsplänen, stellen gegenüber den bisherigen Anforderungen der MaRisk und BAIT neue Anforderungen dar. Sie tragen im Fall eines (schwerwiegenden) IKT-bezogenen Vorfalls zu einer adressatenorientierten Kommunikation an interne und externe Interessensträger bei. Die Wirksamkeit der Kommunikationspläne regelmäßig zu üben – nicht zu testen – hat für Organisationen einen enormen Mehrwert und trägt im Ernst- oder Krisenfall zu einer deutlichen Risikoreduzierung bei. 
   
• Ein Klassifizierungsschema zur Identifizierung (schwerwiegender) IKT-bezogener Vorfälle hat besondere Relevanz. IKT-bezogene Vorfälle gilt es auch vor dem Hintergrund damit verbundener Folgeaktivitäten standardisiert und strukturiert zu bewerten. Im Ergebnis gilt es zu entscheiden, ob u.a. IKT-Geschäftsfortführungspläne, -Wiederherstellungspläne oder -Reaktionspläne zu aktivieren sind. 
   
• Bezogene IKT-Dienstleistungen, die für die Ausübung der Geschäftstätigkeit genutzt werden, sind zu identifizieren. 
   
• Ein hoher zeitlicher Aufwand und eine große Abhängigkeit von Dritten besteht beim Aufbau und der Pflege des geforderten Informationsregisters, dass alle relevanten Informationen zu bezogenen IKT-Dienstleistungen und den dahinterstehenden IKT-Drittdienstleistern enthält. Dieses ist erstmals bis zum 11.04.2025 (Datenstand 31.03.2025) an die BaFin zu melden. Die Abhängigkeit von Dritten besteht insbesondere dahingehend, dass die DORA-Verordnung für Verträge mit IKT-Drittdienstleister Mindestvertragsbestandteile vorsieht und in der Folge zahlreiche Dienstleistungsverträge im Zusammenwirken mit dem IKT-Drittdienstleister anzupassen sind. 
   
• Im Zusammenhang mit Anpassungen der Dienstleistungsverträge stehen vor Vertragsschluss durchzuführende Risikoanalysen und die Entwicklung von Ausstiegsplänen für den Fall, dass das mit einer bezogenen IKT-Dienstleistung verbundene Risiko die Risikotoleranzschwelle des Unternehmens nachhaltig überschreitet und nicht reduziert werden kann. 
   
• Eingesetzte IKT-Systeme sind auf die Relevanz bezüglich durchzuführender Tests der digitalen operationalen Resilienz zu untersuchen. Wurde eine Notwendigkeit für solche Tests identifiziert, sind ein Testprogramm und ein Testplan zu entwickeln. 

DORA Review    Produktblatt

Fazit: DORA als Chance begreifen

Die DORA-Verordnung ist weit mehr als eine regulatorische Vorgabe – sie ist ein Weckruf. Banken haben jetzt die Möglichkeit, ihre IT-Sicherheit und Resilienz auf ein neues Level zu heben. Wer die Herausforderungen von DORA konsequent angeht, sichert nicht nur die Compliance, sondern leistet auch einen entscheidenden Beitrag zur Stabilität des gesamten Finanzsystems. Und vielleicht sind wir im Finanzsektor bisher weitgehend von erfolgreichen Cyberangriffen, Dienstleisterausfällen und den damit verbundenen Auswirkungen verschont, weil wir bereits in der Vergangenheit hohe Sicherheitsanforderungen an die IT gestellt haben. Damit das auch so bleibt, gilt es sich weiterzuentwickeln. Der Impuls hierzu muss manchmal von außen kommen. 

Sie möchten mehr erfahren?

Jede gute Zusammenarbeit beginnt mit einem guten Gespräch. Nehmen Sie einfach Kontakt zu uns auf – wir nehmen uns gerne Zeit für Ihr Anliegen. 
Oder suchen Sie einen Austausch zu einem anderen Thema? Dann hinterlassen Sie uns doch direkt eine Nachricht.
Wir melden uns umgehend bei Ihnen.

Tino Nielsen
Senior Manager

+49 511 95745528
tino.nielsen(at)awado-gruppe.de

Ich freue mich auf eine E-Mail oder einen Anruf von Ihnen!