Aktuelles, Experten - geschrieben von dp am Sonntag, April 13, 2025 0:54 - noch keine Kommentare
DORA-Frist vom 14. und dem 28. April 2025: Lieferkettensicherheit als Herausforderung
DORA-Registrierungspflicht umfasst nicht nur die Meldung an die BaFin, sondern auch noch umfassende Prüfpflichten – von der Risikoanalyse bis hin zur Auditfähigkeit
[datensicherheit.de, 13.04.2025] Der eco – Verband der Internetwirtschaft e.V. weist in einer aktuellen Stellungnahme darauf hin, dass zwischen dem 14. und dem 28. April 2025 Finanzinstitute in der EU ihre IT-Dienstleister bei der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) registriert haben müssen. Mit dem Inkrafttreten des „Digital Operational Resilience Act“ (DORA) geraten damit auch viele IT-Dienstleister ohne bisherige unmittelbare Regulierung in den Fokus von Aufsichtsbehörden. Gleichzeitig sorgt die bevorstehende Umsetzung der europäischen NIS-2-Richtlinie in weiteren Branchen für erhöhten Handlungsdruck, der sich auch auf die von DORA betroffenen Unternehmen beispielgebend auswirken könnte.
NIS-2-Rezeption am Markt könnte für Umgang mit DORA beispielgebend sein
„Etliche Dienstleister stehen aktuell vor der Aufgabe, Sicherheitsnachweise, Risikoanalysen und Vertragskonformität kurzfristig zu dokumentieren – oft, ohne dass sie bisher mit vergleichbaren Anforderungen konfrontiert waren“, berichtet Ulrich Plate, Leiter der eco-Kompetenzgruppe „Kritische Infrastrukturen“.
- Auch außerhalb des Finanzsektors zeige sich bereits eine zunehmende Dynamik: „Unternehmen, die künftig unter NIS-2 fallen, fordern schon heute von ihren Zulieferern konkrete Nachweise zur Cyber-Sicherheit.“ Diese Richtlinie verpflichtet Unternehmen unter anderem dazu, auch ihre IKT-Lieferkette auf ein Mindestmaß an Sicherheit zu verpflichten.
Plate: „Was wir beobachten, ist eine Art regulatorische Vorwirkung – viele Auftraggeber fordern vertraglich bereits heute de facto NIS-2-konforme Sicherheit, obwohl die Anforderungen noch nicht in nationales Recht überführt wurden.“
Vertragsdruck steigt – NIS-2 und künftig auch DORA als Treiber
Laut aktuellen Schätzungen werden rund 30.000 Unternehmen in Deutschland künftig direkt unter die NIS-2-Regelung fallen. Doch auch nicht unmittelbar betroffene Dienstleister könnten die Auswirkungen spüren: In der Praxis werden Verträge angepasst, Sicherheitsfragebögen verschickt und Anbieter nur bei entsprechender „Compliance“ beauftragt. „Zulieferer geraten häufig früher in die Pflicht als ihre Auftraggeber“, warnt Plate und betont: „Wer sich nicht vorbereitet, wird bei Ausschreibungen künftig nicht mehr berücksichtigt.“
- DORA konkretisiere diese Entwicklung im Finanzbereich mit einem klaren Stichtag. Die Registrierungspflicht umfasse nicht nur eine Meldung an die BaFin, sondern auch umfassende Prüfpflichten – von der Risikoanalyse bis hin zur Auditfähigkeit.
Die Aufsicht könne künftig auch IT-Dienstleister kontrollieren, die nicht direkt reguliert sind. „DORA bringt IT-Dienstleister in die direkte Sichtbarkeit der Aufsicht“, erläutert Plate. Die Marktgrenze für Cyber-Sicherheit verschiebe sich – „wer im Geschäft bleiben möchte, muss sich der Regulierung anpassen“.
NIS-2- bzw. DORA-Compliance als Wettbewerbsvorteil nutzen
Besonders mittelständische Dienstleister stehen laut Plate vor der Aufgabe, ihre internen Prozesse auf neue Anforderungen auszurichten – etwa mit Zertifizierungen, Notfallplänen oder strukturierten Nachweisverfahren.
- Dabei könne eine frühzeitige Positionierung zum Vorteil werden. IT-Dienstleister sollten daher jetzt prüfen, wie gut sie auf regulatorische Anforderungen vorbereitet sind – und mögliche Lücken zügig schließen.
„IT-Compliance ist ein Differenzierungsmerkmal“, so Plates Fazit. Er rät: „Wer heute in Sicherheitsstandards investiert, stärkt die eigene Resilienz und gewinnt Vertrauen – auch bei neuen Auftragnehmern.“
Weitere Informationen zum Thema:
BaFin Bundesanstalt für Finanzdienstleistungsaufsicht, 11.04.2025
Informationsregister und Anzeigepflichten / Die BaFin informiert über Kapitel V, Abschnitt I, Artikel 28 Absatz 3 DORA
BaFin Bundesanstalt für Finanzdienstleistungsaufsicht, 09.04.2025
DORA – Digital Operational Resilience Act
datensicherheit.de, 17.03.2025
DORA in der Praxis: Stolpersteine und Empfehlungen für Unternehmen / Die Verordnung der EU soll die Cyberresilienz des Finanzsektors durch einheitliche und verbindliche Vorgaben verbessern
datensicherheit.de, 06.02.2025
Finanzsektor: Herausforderungen und zugleich Chancen durch DORA / Zahlreiche Unternehmen im Finanzsektor benutzen veraltete IT-Systeme, die nicht in der Lage sind, den hohen DORA-Anforderungen zu genügen
datensicherheit.de, 21.01.2025
DORA: Europas neue Cyber-Sicherheitsverordnung stellt nicht nur den Finanzsektor vor Herausforderungen / Selbst Unternehmen außerhalb der EU fallen unter DORA, wenn sie Dienstleistungen für EU-Finanzunternehmen erbringen
datensicherheit.de, 16.01.2025
DORA zwingt Finanzinstitute zum Handeln, um operative Widerstandsfähigkeit zu sichern / DORA-Ziel ist es, den Finanzsektor besser vor den ständig wachsenden Cyber-Bedrohungen zu schützen
Aktuelles, Experten - Apr. 30, 2025 0:24 - noch keine Kommentare
eco-Gratulation an Digitalminister – und „Top Five Agenda“ zur Wegleitung
weitere Beiträge in Experten
- Bitkom-Glückwünsche an neuen Digitalminister
- E-Rechnungspflicht als Herausforderung: Digitalisierung von Geschäftsprozessen eröffnet neue Angriffsflächen
- Website-Tracking durch Drittdienste: In 185 von 1.000 Fällen Nachbesserung erforderlich
- Bitkom Consult kommentiert Koalitionsvertrag 2025: Neue Datenschutzreform soll Unternehmen stärken
- MerkurBets, CrazyBuzzer und SlotMagie: Datenleck soll über eine Million Kunden betroffen haben
Aktuelles, Branche, Studien - Apr. 29, 2025 7:28 - noch keine Kommentare
KI kann Kriminalität revolutionieren: Passfälschung in Minuten
weitere Beiträge in Branche
- KI verändert Datenschutz in Europa: Spannungsfeld zwischen Fortschritt und Risiko
- Kritische Geschäftsabläufe: KI-gesteuerte Cyber-Angriffe nehmen zu
- Beliebte Spieler-Plattform STEAM erstmals Phishing-Angriffsziel Nr. 1
- Armis Vulnerability Intelligence Database to support preventive Cyber Security
- SAP NetWeaver: New vulnerability of highest criticality disclosed
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren