{"id":33138,"date":"2023-06-22T07:00:16","date_gmt":"2023-06-22T06:00:16","guid":{"rendered":"https:\/\/blog.frankfurt-school.de\/?p=33138"},"modified":"2023-08-15T11:25:16","modified_gmt":"2023-08-15T10:25:16","slug":"dora-digital-operational-resilience-act-in-the-financial-services-industry","status":"publish","type":"post","link":"https:\/\/blog.frankfurt-school.de\/de\/dora-digital-operational-resilience-act-in-the-financial-services-industry\/","title":{"rendered":"DORA \u2013 Digital Operational Resilience Act in der Finanzdienstleistungsbranche"},"content":{"rendered":"

Das Gesetz DORA (Digital Operational Resilience Act) beinhaltet neue Anforderungen an Unternehmen aus der Finanzbranche sowie deren IT-Dienstleister. Banken, Versicherungen und B\u00f6rsen sind heute zum gro\u00dfen Teil IT-Dienstleister. Ob Onlinebanking, Schadensregulierung oder Handel \u2013 f\u00fcr alle Dienstleistungen gilt: Nichts geht ohne IT.<\/p>\n

Umso verheerender w\u00e4re es, wenn die IT tats\u00e4chlich nicht funktionieren w\u00fcrde. Zum Beispiel durch einen Cyberangriff, aktuell sehr prominent best\u00e4tigt durch die Schadsoftware Ransomware. Fast t\u00e4glich wird von betroffenen Unternehmen in der Presse berichtet. Aus Sicht der Angreifer sind Banken, Versicherungen und B\u00f6rsen besonders interessante Opfer. Trotzdem konnten gerade diese Unternehmen bisher sehr erfolgreich Angriffe abwehren.<\/p>\n

Das ist kein Zufall. Denn die BaFin fordert von deutschen Instituten schon lange Mindeststandards f\u00fcr deren IT-Betrieb und Informationssicherheit. Um sicherzustellen, dass alle regulierten Institute entsprechende Ma\u00dfnahmen umsetzen, hat die BaFin bereits 2017 minimale Anforderungen an die IT und Informationssicherheit in Deutschland gestellt, die durch BAIT, VAIT, KAIT und ZAIT geregelt werden. Seitdem wurden diese Regeln mehrfach erweitert und konkretisiert. Nun kommt der n\u00e4chste Schritt: eine einheitliche und \u00fcbergeordnete IT-Regulierung f\u00fcr alle Institute in Europa. Es handelt sich um eine sogenannte \u201eLex specialis\u201c, also ein Gesetz, welches nicht erst durch die einzelnen Mitgliedsl\u00e4nder umzusetzen ist, sondern ab sofort gilt.<\/p>\n

Das neue Gesetz DORA ist bereits seit Januar 2023 in Kraft und ist bis zum 17. Januar 2025 durch alle betroffenen Organisationen der EU-Mitgliedsstaaten zu erf\u00fcllen. Betroffen sind erstmalig nicht nur die Institute selbst. Auch wichtige IT-Dienstleister werden nun direkt reguliert \u2013 ein wirkliches Novum f\u00fcr Unternehmen wie Microsoft, AWS, Google und Co.<\/p>\n

Was wird geregelt?<\/strong><\/h2>\n

Mit DORA definiert die Europ\u00e4ische Kommission einen einheitlichen Rahmen f\u00fcr das Management von Cyber-Sicherheitsrisiken, f\u00fcr die Aufrechterhaltung des IT-Betriebs bei Cyberangriffen und f\u00fcr die Meldung von Vorf\u00e4llen. Das Gesetz verpflichtet zudem zu vorbereitenden Ma\u00dfnahmen. Einige Themen waren in Deutschland bereits in \u00e4hnlicher Weise geregelt. Aber auch neue Anforderungen kommen hinzu.<\/p>\n

Wer wird reguliert?<\/strong><\/h2>\n

Neben Kreditinstituten, Versicherungsunternehmen und Zahlungsinstituten, die bisher in Deutschland bereits durch BAIT, VAIT und ZAIT im Bereich IT und Informationssicherheit reguliert waren, wird die Anzahl der Organisationen massiv ausgeweitet. Hierzu geh\u00f6ren unter anderem:<\/p>\n