DORA wurde bereits am 14. Dezember 2022 als Verordnung (EU) 2022/2554 beschlossen und ist am 17. Januar 2023 in Kraft getreten. Nach einer zweijährigen Übergangsphase wird DORA seit dem 17. Januar 2025 angewendet. DORA enthält Vorgaben sowohl für Finanzinstitute und IKT-Drittdienstleister als auch für Aufsichtsbehörden.
DORA umfasst insgesamt 45 Artikel, die den folgenden Kapiteln zugeordnet sind:
Darüber hinaus machen Regulatory Technical Standards (RTS) und Implementing Technical Standards (ITS) betroffenen Unternehmen und der Aufsicht weitere konkrete Vorgaben, um DORA umzusetzen.
Die Frankfurt School hat DORA in ihr Schulungsangebot aufgenommen. Neben dem eintägigen DORA-Übersichtstraining, das alle Themen von DORA vorstellt, wird ein Vertiefungstraining angeboten. Zusätzlich wurden Informationen zum IKT-Drittparteienrisiko in das bestehende Seminar „Auslagerungen bei Banken“ aufgenommen. Speziell für die Anforderungen von Audit- und Assurance-Managern wurde der Zertifikatsstudiengang „IT Regulatory Assurance Manager“ den Inhalten von DORA angepasst.
Alles Neue Anforderungen an Finanzinstitute, Versicherungen und IT-Dienstleister erfahren Sie im DORA Digital Operational Resilience Act. Das Seminar vermittelt den Teilnehmenden die Anforderungen der „DORA“ und versetzt sie in die Lage, die Formulierungen zu interpretieren und den Anpassungsbedarf im eigenen Haus einzuschätzen. Die Formulierungen der „DORA“ werden nach dem aktuellen Stand praxisnah erläutert und in Bezug zu den bereits bestehenden Reglungen vorgestellt.
Im Vertiefungstraining IKT-Risikomanagement werden die Anforderungen aus DORA dargestellt und die konkreten Möglichkeiten der Umsetzung mit den Teilnehmern diskutiert. Dabei spiegelt das IKT-Risikomanagement nicht nur den Risikomanagementrahmen und die klassische Risikoelemente wie das Identifizieren, Analysieren, Bewerten von Risiken und die aus den Risiken abgeleiteten Maßnahmen wider. Vielmehr konkretisiert DORA bereits viele Maßnahmen und schreibt Minimumstandards vor, zum Beispiel für das Identitäts- und Rechtemanagement, die Verschlüsselung, das Change Management, das Management von Patches und Updates sowie die Isolierung betroffener Informationsassets im Fall von Cyberangriffen.
Aspekte der Auslagerung (bei Versicherungen: Ausgliederung) nach DORA bzw. des Bezugs von Leistungen von IKT-Drittparteien werden in dem bestehenden Auslagerungs-Training dargestellt. Neben dem Vergleich mit den bisherigen Regelungen zur Auslagerung und sonstigem IT-Fremdbezug wird hier auf die spezifischen DORA-Anforderungen des IKT-Drittparteienrisikomanagements sowie auf die Anforderungen an das Informationsregister und Verträge – nicht nur mit dem direkten Dienstleister, sondern auch mit Sub-Dienstleistern – eingegangen.
DORA aus Sicht von Audit- und Assurance-Managern wird in dem neuen 6-tägigen Seminar IT Regulatory Assurance Manager dargestellt. Dieser Zertifikatsstudiengang wurde in Zusammenarbeit mit dem ISACA Germany Chapter e. V. erarbeitet und wird ergänzend zu den schon bestehenden Zertifikatsstudiengängen „IT Governance Manager“ und „IT Compliance Manager“ durchgeführt.
In den letzten zwei Jahren wurden in den einzelnen Instituten viele Anstrengungen unternommen, um die Prozesse und Funktionen auf die neuen Anforderungen nach DORA auszurichten. Viele Themen bauen auf der bekannten Logik aus BAIT, VAIT, KAIT, und ZAIT auf. Aber auch neue Inhalte und Herangehensweisen müssen die Institute berücksichtigen. Seit dem 17. Januar 2025 gelten die neuen Anforderungen sowohl für die Leistungserbringung der Institute als auch für die interne und externe Prüfung. Um Doppelregulierung zu vermeiden, hat die BAFIN pünktlich zum 16. Januar 2025 die BAIT, VAIT, KAIT, und ZAIT zurückgezogen. Nur für wenige Institute, die bisher noch nicht von DORA reguliert werden, gilt weiterhin eine angepasste Variante der BAIT bis zum Ende der Übergangsfrist am 1. Januar 2027.
DORA soll sicherstellen, dass der europäische Finanzsektor widerstandsfähiger gegen digitale Störungen wird und seine kritischen Dienstleistungen auch unter schwierigen Bedingungen fortführen kann. Der EU-weite Ansatz erweitert die bisherigen deutschen Anforderungen. Um die Institute bei der Umsetzung der Vorgaben zu unterstützen, hat die Frankfurt School eine Reihe von Trainings erstellt, welche die Inhalte von DORA praxisnah vermitteln.
Frankfurt School gGmbH
Adickesallee 32-34
60322 Frankfurt am Main
