Alarmstufe DORA: Digital Operational Resilience Act als Weckruf für den Finanzsektor

Das im Januar 2025 eingeführte Gesetz auf DORA-Grundlage konzentriert sich auf die Meldung von Vorfällen, die Überwachung von Drittanbietern und die Prüfung der Widerstandsfähigkeit

[datensicherheit.de, 29.09.2025] Offensichtlich gibt es nur wenige Branchen, welche so stark reguliert sind wie der Finanzsektor – in regelmäßigen Abständen erscheinen jedenfalls neue Gesetzesrahmen. „Und das aus gutem Grund: Finanzdienstleister gehören zum Rückgrat nationaler Infrastruktur und sind deshalb ein Hauptziel von Cyberangriffen und Betrugsmaschen. Jede neue Regulierung muss daher wasserdicht sein!“, kommentiert Andre Troskie, „EMEA Field Chief Information Security Officer“ bei Veeam. Der „Digital Operational Resilience Act“ (DORA) der EU sei hier die jüngste in einer langen Liste von Maßnahmen.

Foto: Veeam

Andre Troskie rät Unternehmen, das Thema Ausfallsicherheit umfassend zu betrachten

Stärkste DORA-Nebenwirkungen: Zusätzliche Belastung der IT- und Sicherheitsfachleute

Sämtliche Regulierungen hätten zum Ziel, die Messlatte anzuheben, wie sich Finanzinstitute und ihre Drittanbieter auf Bedrohungen vorbereiten, ihnen widerstehen und sich von ihnen erholen können müssen. Das im Januar 2025 eingeführte Gesetz auf der Grundlage von DORA konzentriere sich auf die Meldung von Vorfällen, die Überwachung von Drittanbietern und die Prüfung der Widerstandsfähigkeit. Sechs Monate später räumten in einer Umfrage jedoch fast alle befragten Finanzdienstleister (96%) ein, dass sie ihre Widerstandsfähigkeit noch verbessern müssten, um die Anforderungen der Verordnung zu erfüllen.

• Troskie wirft die Fragen auf: „Wie kommt es zu diesen Verzögerungen? Was also bringt die Datenresilienz von Unternehmen tatsächlich voran?“

Eine der stärksten Nebenwirkungen von DORA sei nun die zusätzliche Belastung der IT- und Sicherheitsfachleute. „41 Prozent der Befragten Unternehmen nannten diesen Punkt als große Herausforderung bei der Erfüllung der Anforderungen. Die allgemeine Sicherheitslage ist heikel und daher ist der Cybersicherheitssektor eine Branche, die unter hohem Druck steht. Es ist also keine Überraschung, dass Burnout unter IT-Sicherheitsfachkräften ein grassierendes Phänomen ist.“ Die Erfüllung der DORA-Anforderungen sollte dieses Problem jedoch nicht noch weiter befeuern.

Einhaltung von DORA als Teil eines ganzheitlichen Resilienzplans

Die Antwort liege also nicht darin, DORA als ein weiteres Projekt auf einer bereits überbordenden Liste abzuarbeiten. Troskie führt aus: „Stattdessen müssen Unternehmen das Thema Ausfallsicherheit umfassend betrachten!“ Die Verwendung von „Data Resilience Maturity Models“ (DRMMs) könne ein Ausweg sein. Dies ermögliche Unternehmen, die Einhaltung von DORA als Teil eines größeren Resilienzplans zu betrachten – und eben nicht nur als als isolierte Übung. Dieser Ansatz entlaste nicht nur die Teams, sondern verbessere auch die Datenresilienz von Unternehmen als Ganzes.

• „Ein weiterer Knackpunkt bei der Erfüllung der Compliance-Anforderungen sind die Herausforderungen beim Testen.“ Circa ein Viertel der befragten Unternehmen verfüge noch immer nicht über Wiederherstellungs- und Kontinuitätstests. Fast ebenso viele hätten noch gar nicht mit Tests zur Ausfallsicherheit begonnen. „Das ist riskant, um nicht zu sagen: fahrlässig!“

Ohne regelmäßige Tests lass sich nicht feststellen, „ob die neuen Kontrollen tatsächlich funktionieren, wenn sie gebraucht werden“. Der erste Test sei oft ernüchternd und könne entmutigend wirken. „Probleme aufzudecken, deren Behebung mühsam wird, kann für Frust sorgen.“ Doch in Wirklichkeit sei das Testen eine der besten Möglichkeiten, um Fortschritte in der Sicherheitsarchitektur zu erzielen. Zudem seien Tests ohnehin eine klare DORA-Anforderung. „Aber was noch wichtiger ist: Härtetests schaffen Vertrauen, dass die Systeme einem echten Cybervorfall standhalten werden.“

DORA-Konformität: Sicherheitsfaktor Drittanbieter

Die letzte große Hürde auf dem Weg zur DORA-Konformität sei die Überwachung Dritter – „sprich von Partnern und externen Anbietern in der Lieferkette“. Mehr als ein Drittel der Unternehmen bezeichne diese als „größte Herausforderung bei der Umsetzung“, und ein Fünftel habe sich überhaupt nicht damit befasst.

• „Das Hauptproblem: Die meisten Unternehmen unterschätzen, auf wie viele externe Anbieter sie angewiesen sind. Ein durchschnittliches Unternehmen hat 88 externe Partner. Das ist weit mehr als in den meisten Resilienzstrategien berücksichtigt wird.“ Damit einher gehe eine enorme Anzahl von zu verwaltenden Verbindungen. In der Vergangenheit seien Finanzunternehmen oft davon ausgegangen, dass diese Anbieter über eine eingebaute Ausfallsicherheit verfügten. DORA verlange aber mehr als das: Klare Verantwortungsmodelle und transparente Service-Level-Agreements (SLAs), „die genau festlegen, wer wofür verantwortlich ist“.

Die Konsequenz lautet demnach, dass Verträge neu verhandelt werden müssen. Zudem müssten Teams für Sicherheit, Risiko, Recht und Management zusammengebracht werden, um dies zu erreichen. „Das ist keine kleine Aufgabe, aber sie ist notwendig, wenn Unternehmen echtes Vertrauen in ihre Widerstandsfähigkeit schaffen wollen.“

DORA-„Compliance“ fördert langfristiges Vertrauen in die eigene Datensicherheit

Die „Compliance“-Probleme im Zusammenhang mit DORA könnten nicht über Nacht gelöst werden. Schließlich brauche der Aufbau von Widerstandsfähigkeit seine Zeit. „Dabei wird es unweigerlich Unebenheiten auf dem Weg geben.“ Doch Unternehmen, die DORA als Teil eines umfassenderen Resilienzkonzepts, statt als eigenständiges „Compliance“-Projekt angehen, werden laut Troskie gestärkt daraus hervorgehen.

• „Am besten beginnt man damit, sich folgende folgenden Fragen zu stellen und diese ehrlich zu beantworten: Wo sind die Schwachstellen des Unternehmens? Weiß man wirklich, wie widerstandsfähig die Zulieferer sind? Testet man ausreichend, um den Schutzmaßnahmen zu vertrauen?“

Die Antworten mögen kurzfristig unangenehm sein. „Aber sie sind die Grundlage für DORA-,Compliance’ und langfristiges Vertrauen in die eigene Datensicherheit und die Zementierung der Geschäftsfähigkeit“, betont Troskie anschließend.

Weitere Informationen zum Thema:

veeam
We’re the home of Data Resilience

veeam
Posts by Andre Troskie

veeam
96% of EMEA Financial Services Organizations Believe They Need to Improve Their Resilience to Meet DORA Requirements / New Veeam survey uncovers top compliance challenges and the urgent need for holistic data resilience, six months after the DORA deadline

SC Media, Daniel Thomas, 20.01.2023
Cloud Security / Third-party risks: What organizations face / Risky business: Third-party endeavors

datensicherheit.de, 31.07.2025
DORA – Europäische Union präzisiert Umgang mit Lieferketten-Risiken / Die Europäische Kommission hat Anfang Juli eine Ergänzung zur Verordnung über die digitale operationale Resilienz im Finanzsektor (DORA) in Form finaler technischer Regulierungsstandards (RTS) veröffentlicht. Damit konkretisiert sie Anforderungen an das Risikomanagement oftmals komplexer IKT-Lieferketten im durch DORA regulierten Bereich. Im Fokus stehen dabei Untervergaben. Der TÜV SÜD fasst die wichtigsten Punkte praxisorientiert zusammen.

datensicherheit.de, 21.07.2025
DORA Oversight Guide publiziert: Finanzunternehmen sollten sich dringend mit Verschlüsselung und Schlüsselhoheit befassen / Am 15. Juli 2025 wurde der neue „DORA Oversight Guide“ von den europäischen Aufsichtsbehörden veröffentlicht – Finanzunternehmen, IT-Dienstleister und „Cloud-Provider“ werden mit teils weitreichenden Auswirkungen konfrontiert

datensicherheit.de, 07.07.2025
Neuer ISACA-Leitfaden: Navigationshilfe für Unternehmen durch NIS-2- und DORA-Vorschriften / Selbst nach der ersten Jahreshälfte 2025 haben viele Unternehmen ihre Verpflichtungen im Rahmen der NIS-2-Richtlinie und der DORA-Verordnung noch nicht vollständig verstanden

datensicherheit.de, 16.04.2025
DORA macht deutlich: Europas Finanzsektor benötigt neue digitale Risikokultur / Cyber-Sicherheit längst kein technisches Randthema mehr, sondern elementarer Bestandteil der Finanzstabilität