[datensicherheit.de, 21.02.2026] Chris Dimitriadis, „Chief Global Strategy Officer“ bei ISACA, kommentiert in seiner aktuellen Stellungnahme das paradox anmutende Phänomen, dass auf dem deutschen IT-Arbeitsmarkt demnach mehr arbeitslose Fachkräfte gibt, zugleich aber auch weniger IT-Sicherheit für Unternehmen. Er bewertet diesen Stellenabbau „als kurzsichtige Reaktion, welche die eigentliche Qualifikationslücke verschärft“. Er betont, dass die entscheidende Frage für jedes Unternehmen lauten müsse, ob sie gerade jetzt gezielt in die Fähigkeiten ihres IT-Sicherheits-Teams Investieren oder doch erst später – nämlich in die Bewältigung von Krisen.

Foto: ISACA

Chris Dimitriadis: Wir können noch nicht das Ende des Fachkräftemangels ausrufen. Was wir wirklich sehen, ist eine Verschiebung der gesuchten Profile!

Trügerischer Schein: Deutlicher Rückgang offener IT-Stellen nebst steigenden Arbeitslosenzahlen im IT-Sektor

Ein deutlicher Rückgang bei offenen IT-Stellen und steigende Arbeitslosenzahlen im IT-Sektor erweckten den Eindruck, der langjährige Fachkräftemangel in Deutschland sei überwunden. „Doch der Schein trügt!“

• ISACA, der globale „Berufsverband für IT-Revisoren, Information Security Officers und IT-Governance-Experten“, warnt davor, die aktuelle Marktlage falsch zu interpretieren.

Während Unternehmen aufgrund der angespannten Wirtschaftslage allgemeine IT-Projekte auf Eis legten und Stellen abbauten, wachse durch neue EU-Regularien ein akuter, nicht verhandelbarer Bedarf an hochspezialisierten Sicherheits- und „Compliance“-Experten – ein von viele Unternehmen bislang ignoriertes Paradoxon.

Verschiebung der gesuchten Profile: Weniger IT-Stellen, indes kein Ende des Mangels

Aktuelle Daten zeichneten ein auf den ersten Blick eindeutiges Bild: „Laut dem Institut der deutschen Wirtschaft (IW) sank die Zahl der offenen IT-Stellen im Jahr 2024 im Vergleich zum Vorjahr um 26,2 Prozent.“

• Gleichzeitig habe die Bundesagentur für Arbeit (BA) im Januar 2026 einen Anstieg der arbeitslosen IT-Fachkräfte um 23,2 Prozent gemeldet.

„Wir können noch nicht das Ende des Fachkräftemangels ausrufen. Was wir wirklich sehen, ist eine Verschiebung der gesuchten Profile. Der Bedarf an Expertinnen und Experten, welche die digitale Widerstandsfähigkeit eines Unternehmens sicherstellen, steigt weiterhin“, so Dimitriadis’ Einschätzung.

Regulatorischer Druck auf IT-Sektor erzeugt neuen, dringenden Bedarf

In dieser Phase der Zurückhaltung schafften EU-Vorschriften Anforderungen, welche Unternehmen nicht ignorieren könnten. Richtlinien wie DORA (Digital Operational Resilience Act) für den Finanzsektor, NIS-2 für Kritische Infrastrukturen (KRITIS) und der „EU AI Act“ verlangten von Unternehmen nachgewiesene Standards für Cybersecurity, Risikomanagement und KI-Governance.

• „Hier liegt die eigentliche Schwachstelle“, betont Dimitriadis. Er erläutert hierzu: „Es geht nicht mehr darum, ob man in Cybersicherheit investieren soll, sondern wie man die richtigen Investitionen tätigt – von der Prävention über die Erkennung bis hin zur Reaktion und Wiederherstellung.“

Dies beginne immer mit ganzheitlich ausgebildeten Fachkräften. Er gibt zu bedenken: „Unternehmen, die jetzt falsche Entscheidungen zur Kostensenkung treffen, riskieren nicht nur schwerwiegende Auswirkungen durch Cyberangriffe, sondern auch hohe Strafen und den Verlust ihrer Betriebserlaubnis.“

Datenschutz-Lücken werden zum existentiellen Risiko

Wie groß die Diskrepanz zwischen Bedarf und Realität bereits ist, belege die aktuelle repräsentative „State of Privacy“-Studie von ISACA. Diese zeige, dass über die Hälfte (51%) der technischen Datenschutz-Positionen in Europa unbesetzt seien, während 44 Prozent der Teams sich als unterfinanziert bezeichneten.

• „Dieser Mangel an Ressourcen ist das direkte Ergebnis eines ,Henne-Ei’-Problems. Ohne die richtigen Teams wird die Kosten-Nutzen-Analyse ungenau sein, und ohne Investitionen kann man nicht die richtigen Teams für diese Aufgabe zusammenstellen“, gibt Dimitriadis zu bedenken.

Er warnt: „Ein einziger schwerwiegender Datenverstoß kann ein Vielfaches dessen kosten, was durch Personalabbau eingespart wurde – ganz zu schweigen vom Verlust des Kundenvertrauens.“

ISACA rät Unternehmen. in Kompetenzen statt Krisen zu investieren

Durch die steigende Arbeitslosigkeit im IT-Sektor verschärfe sich der Wettbewerb um attraktive Positionen. Arbeitgeber könnten es sich leisten, wählerischer zu sein und suchten vermehrt nach Kandidaten, welche nicht nur technische Fähigkeiten, sondern auch strategisches Verständnis und zertifizierte Expertise nachweisen könnten.

• ISACA unterstützt Unternehmen und Fachkräfte nach eigenen Angaben dabei, diese Herausforderung zu bewältigen. Der Fokus liege darauf, die notwendigen Kompetenzen aufzubauen, um den neuen Anforderungen gerecht zu werden.

Dimitriadis unterstreicht: „Dabei ist es ebenso entscheidend, das vorhandene Personal weiterzubilden, wie neue Expertinnen und Experten zu gewinnen. Führungskräfte müssen verstehen, dass die Stärkung der eigenen Teams der nachhaltigste Weg ist, um digitale Resilienz zu schaffen.“

IT-Arbeitsmarkt bietet aktuell die strategische Chance, die Weichen richtig zu stellen

Anerkannte Zertifizierungen böten hier einen klaren „Fahrplan“: Diese belegten nicht nur Fachwissen, sondern auch die Fähigkeit, dieses strategisch anzuwenden. Der „Certified Information Security Manager“ (CISM) beispielsweise befähige Fachleute, ein ganzheitliches Sicherheitsprogramm zu managen, um Geschäftsziele und regulatorische Pflichten in Einklang zu bringen.

• Der „Certified Information Systems Auditor“ (CISA) bestätige wiederum die Kompetenz, die Wirksamkeit von Kontrollen zu prüfen und so das Vertrauen in die digitalen Prozesse zu untermauern.

Dimitriadis’ Fazit: „Die entscheidende Frage für jedes Unternehmen lautet: Investieren wir jetzt gezielt in die Fähigkeiten unserer Teams oder später in die Bewältigung von Krisen? Die aktuelle Lage am IT-Arbeitsmarkt bietet die strategische Chance, genau hier die richtigen Weichen zu stellen. Anstatt einfach Personal abzubauen, können vorausschauende Unternehmen jetzt die Spezialistinnen und Spezialisten an sich binden und eigene Mitarbeitende qualifizieren, die für den Schutz vor Cyberrisiken und die Einhaltung neuer Regularien unerlässlich sind. Wer diese Gelegenheit nutzt, begreift Sicherheit nicht als Kostenfaktor, sondern als Wettbewerbsvorteil und Basis für vertrauensvolle Kundenbeziehungen und Partnerschaften.“

Weitere Informationen zum Thema:

ISACA
The principles behind our purpose / Our mission and vision reflect the core values that drive everything we do

ISACA
Meet ISACA’s Leadership Team/ Chris Dimitriadis – Chief Global Strategy Officer

ISACA, 15.01.2026
State of Privacy 2026

datensicherheit.de, 06.09.2025
Cyberkrimineller Arbeitsmarkt: Warnendes Indiz für Angriffszunahme mittels Social Engineering / Vor allem Cyberkriminelle mit Expertise im Bereich „Social Engineering“ sind aktuell sehr nachgefragt

datensicherheit.de, 09.08.2025
Bitkom: Weiterhin fehlen mehr als 100.000 IT-Fachkräfte in Deutschland / Der Bitkom kommentiert die von Bitkom Research im Auftrag des Digitalverbands telefonisch durchgeführte repräsentative Umfrage in Unternehmen ab drei Beschäftigten in Deutschland

datensicherheit.de, 15.02.2022
Fachkräftemangel, Insiderbedrohungen und Home-Office – Cyber-Risiken mit Wurzeln in den Unternehmen / Hendrik Schless kommentiert die von Unternehmen viel zu häufig unterschätzten Risiken

[datensicherheit.de, 08.02.2026] Seit Jahren wird nun über Digitale Souveränität Europas diskutiert – bisher meist eher nur als ein theoretisches Ideal. Doch die aktuelle geopolitische Lage hat das Thema 2026 offenbar zur existenziellen Geschäftsbedingung gemacht: Heute umfasst Digitale Souveränität weit mehr als nur einen IT-Standard oder Datenschutz-„Compliance“. Es ist die Fähigkeit, als Organisation handlungsfähig zu bleiben, wenn globale Lieferketten reißen oder politische Spannungen den digitalen Datenfluss unterbrechen.

Foto: FTAPI

Ari Albertini betont: Echte Unabhängigkeit entsteht dort, wo wir in Europa die Kontrolle über unsere technologische Substanz zurückgewinnen!

„Cyber Dominance“ ausländischer Akteure vs. Digitale Souveränität Europas

Für Unternehmen und Behörden nimmt das Thema heute zwingende Bedeutung an, da Software-Abhängigkeiten zunehmend als politische Hebel eingesetzt werden könnten. Wer nämlich Kritische Infrastrukturen (KRITIS) auf Systemen errichtet, deren technologischer Kern und rechtlicher Zugriff in Drittstaaten liegen, akzeptiert damit eine schleichende Abhängigkeit – die „Cyber Dominance“ ausländischer Akteure.

• Diese Form der digitalen Gebundenheit hat sich mittlerweile zu einem massiven Geschäftsrisiko entwickelt, welches die Innovationskraft und die unternehmerische Entscheidungsfreiheit bedroht. Die aktuelle Initiative des Bundesdigitalministeriums (BMDS), die Souveränität über den „Ort der Wertschöpfung“ neu zu definieren, markiert offensichtlich das Ende einer technologischen Naivität.

Es reicht also nicht mehr aus, z.B. US-Software mit deutschen AGB zu versehen oder Daten in lokalen Rechenzentren zu parken – solange eben die administrative Kontrolle im Ausland verbleibt. Echte Digitale Souveränität bedeutet nun, digitale Prozesse so zu gestalten, dass sie rechtlich und technisch immun gegen außereuropäische Zugriffe sind. Vor dem Hintergrund von NIS-2 und DORA wird digitale Unabhängigkeit damit von der IT-Aufgabe zur zentralen Management-Disziplin. FTAPI-Experten sehen in diesem Zusammenhang drei zentrale Grundpfeiler, auf denen die Digitale Souveränität ruht.

1. Grundpfeiler Digitaler Souveränität Europas: Software „Made in Europe“

Echte Souveränität erfordere die Kontrolle auf zwei Ebenen: Die technologische Kompetenz und die architektonische Verantwortung für den Quellcode müssten im europäischen Rechtsraum liegen. „Nur wer den Kern der Software selbst beherrscht, kann administrative Hintertüren ausschließen und die Integrität des Systems garantieren.“

• Darüber hinaus müsse der Betrieb der Software im Kontrollbereich des Nutzers liegen.

„Souveränität endet dort, wo Wartungsschnittstellen (,Admin-Access’) aus Drittstaaten bedient werden.“ Denn über diesen administrativen Zugriff könnten ausländische Gesetze (wie etwa der „Cloud Act“) unmittelbar in europäische Infrastrukturen eingreifen – „völlig ungeachtet dessen, wo die Server physisch stehen!“

2. Grundpfeiler Digitaler Souveränität Europas: „Sovereignty-by-Design“

Ein vertragliches Versprechen gegen Datenzugriff (Stichwort: „Cloud Act“) sei im Ernstfall oft wirkungslos, wenn nationale Gesetze des Anbieter-Heimatlandes juristische Vereinbarungen im Ausland überlagern könnten. „Wahre Souveränität benötigt eine Architektur, die den Zugriff technisch unmöglich macht!“ Souveränität sei somit kein juristisches Versprechen, sondern ein technischer Standard.

Die konsequente Ende-zu-Ende-Verschlüsselung sei hier der einzige verlässliche Schutz gegen drei Risiken gleichzeitig:

• Juristischer Zugriff: Ohne Schlüssel keine Datenherausgabe an Drittstaaten.
• Wirtschaftsspionage: Schutz vor Datendiebstahl durch externe Angreifer.
• Internes Risiko: Schutz vor Fehlern oder Missbrauch durch Administratoren beim Dienstleister.

3. Grundpfeiler Digitaler Souveränität Europas: „Vendor Lock-in“-Vermeidung

Souveränität zeige sich im Moment des Wechsels. Ein System sei nur dann souverän, „wenn keine dauerhafte Abhängigkeit besteht“. Wenn beispielsweise Migrationskosten einen Anbieterwechsel wirtschaftlich unmöglich machten, sei die Entscheidungsfreiheit verloren.

• Unabhängigkeit erfordere daher offene Schnittstellen (APIs) und standardisierte Prozesse, damit Organisationen jederzeit die Hoheit über ihre eigene IT-Strategie behalten könnten.

„Echte Unabhängigkeit entsteht dort, wo wir in Europa die Kontrolle über unsere technologische Substanz zurückgewinnen”, kommentiert Ari Albertini, CEO bei FTAPI. Abschließend gibt er zu bedenken: „Wer seine digitale Freiheit an internationale Monopole delegiert, verliert morgen seine unternehmerische Entscheidungsfreiheit. Souveränität ist kein ,Nice-to-have’, sondern die wichtigste Investition in die Zukunftsfähigkeit unserer Wirtschaft!”

Weitere Informationen zum Thema:

ftapi
Die #1 Plattform für sicheren Datenaustausch. / Die beste Wahl, um sensible Dateien sicher und gesetzeskonform auszutauschen. Made & hosted in Germany.

heise business services
Ari Albertini – CEO, FTAPI

datensicherheit.de, 04.02.2026
Digitale Souveränität als Standortvorteil: Europa im Spannungsfeld Ethik vs. Innovation / Mit dem „EU AI Act“ und der NIS-2-Richtlinie möchte Europa zum Vorreiter für sichere und ethische Technologie werden

datensicherheit.de, 26.01.2026
IT made in Europe: Basis für Digitale Souveränität Deutschlands und Europas / Franz Kögl moniert, dass bislang trotz zahlreicher Lippenbekenntnisse vielfach fast schon reflexartig die Vergabe milliardenschwerer öffentlicher Aufträge an US-amerikanische IT-Konzerne erfolgte

datensicherheit.de, 01.01.2026
Cybersicherheit und Digitale Souveränität: Wie Europa die Kontrolle zurückgewinnen kann / Pierre-Yves Hentzen kommentiert aktuelle Entwicklungen und skizziert Wege zur Digitalen Souveränität Europas

datensicherheit.de, 30.11.2025
Handlungsbedarf: Digitale Souveränität von strategischer Relevanz für Unternehmen / Zunehmendes Streben nach echter Digitaler Souveränität – Unternehmen fordern die Kontrolle über ihre Daten, ihre „Cloud“-Infrastruktur und ihren technologischen Kurs zurück

datensicherheit.de, 12.06.2025
Blick über den eigenen Tellerrand: Cybersicherheit als Frage nationaler Souveränität / Ari Albertini warnt davor, die größte Schwachstelle im Alltag zu unterschätzen: Das aufgrund von Zeitdruck oft ungeschützte Teilen sensibler Informationen gefährdet die Cybersicherheit

[datensicherheit.de, 22.01.2026] Der 17. Januar 2026 hat den ersten Jahrestag des Inkrafttretens des „Digital Operational Resilience Act“ (DORA) der EU markiert. Zusammen mit den britischen Regeln zur Operationalen Resilienz und dem gesetzlichen Rahmenwerk für Kritische Drittanbieter (Critical Third Parties, CTP) bestimmen diese Vorschriften nun, wie Finanzinstitute in Europa in der digitalen Hemisphäre agieren müssen.

DORA soll Basis bieten, dass Banken und Versicherer Cyberangriffen und IT-Ausfällen standhalten

„Die Absicht von DORA ist ein einheitliches Rahmenwerk für das Management von Drittanbieter-Risiken im Finanzsektor“, erläutert Cynthia Overby, „Director of Strategic Security Solutions, ZCOE“ bei Rocket Software.

• Dieses soll demnach sicherstellen, dass Institutionen wie Banken und Versicherer Cyberangriffen und IT-Ausfällen standhalten, darauf reagieren und sich davon erholen können.

Inzwischen sollte die DORA-„Compliance“ bereits weitgehend in die Unternehmensrichtlinien und Resilienzprogramme aller Finanzinstitute innerhalb der EU sowie derjenigen, die regelmäßig Geschäfte in der Region tätigen, integriert sein.

Auswirkungen von DORA entlang einer vollständig zu schützenden Lieferkette

Overby führt aus: „Die Auswirkungen von DORA gehen über die bloße Funktionsweise von Finanzinstituten hinaus. Obwohl der Großteil der Verantwortung bei ihnen liegt, ist das Ziel des Rahmenwerks eine vollständig geschützte Lieferkette!“

• Daher seien nun auch Kritischen Drittanbietern von Informations- und Kommunikationstechnologie (IKT-Dienstleistern) spezifische und direkte Pflichten auferlegt.

Dazu gehörten die Implementierung von Risikomanagement-Rahmenwerken, die Meldung von Vorfällen, die Gewährleistung der Geschäftskontinuität durch strenge Disaster-Recovery-Pläne und die Einhaltung technischer Standards.

DORA: Schadensfall im Kontext ungenügender „Compliance“ wird teuer

„Diese geteilte Rechenschaftspflicht bedeutet, dass jeder Akteur innerhalb der Kette genau wissen muss, welche Regeln für ihn gelten – was mit einer gründlichen Überprüfung der eigenen Verträge beginnt“, so Overby.

• Sie verwendet eine Analogie: „,Compliance’ ist ein bisschen wie zu schnelles Fahren – ein Autofahrer kann das Tempolimit überschreiten und ungeschoren davonkommen, bis er angehalten wird. Und wenn nichts passiert, erfährt es niemand…“

Abschließend warnt sie indes: „Aber wenn es zu einem Vorfall kommt und man sich außerhalb der ,Compliance’ bewegt, kommen Bußgelder, Reputationsschäden und die finanziellen Kosten der Fehlerbehebung ins Spiel!“ 

Weitere Informationen zum Thema:

Rocket software
About us / Rocket Software powers the world’s most innovative companies

Linkedin
Cynthia Overby: Director Strategic Security Solutions, zCOE at Rocket Software

Rocket software
Don’t wait for DORA / View the Rocket Software webinar, Countdown to DORA

BaFin Bundesanstalt für Finanzdienstleistungsaufsicht, 28.08.2025
DORA – Digital Operational Resilience Act

datensicherheit.de, 29.09.2025
Alarmstufe DORA: Digital Operational Resilience Act als Weckruf für den Finanzsektor / Das im Januar 2025 eingeführte Gesetz auf DORA-Grundlage konzentriert sich auf die Meldung von Vorfällen, die Überwachung von Drittanbietern und die Prüfung der Widerstandsfähigkeit

datensicherheit.de, 31.07.2025
DORA – Europäische Union präzisiert Umgang mit Lieferketten-Risiken / Die Europäische Kommission hat Anfang Juli eine Ergänzung zur Verordnung über die digitale operationale Resilienz im Finanzsektor (DORA) in Form finaler technischer Regulierungsstandards (RTS) veröffentlicht. Damit konkretisiert sie Anforderungen an das Risikomanagement oftmals komplexer IKT-Lieferketten im durch DORA regulierten Bereich. Im Fokus stehen dabei Untervergaben. Der TÜV SÜD fasst die wichtigsten Punkte praxisorientiert zusammen.

datensicherheit.de, 21.07.2025
DORA Oversight Guide publiziert: Finanzunternehmen sollten sich dringend mit Verschlüsselung und Schlüsselhoheit befassen / Am 15. Juli 2025 wurde der neue „DORA Oversight Guide“ von den europäischen Aufsichtsbehörden veröffentlicht – Finanzunternehmen, IT-Dienstleister und „Cloud-Provider“ werden mit teils weitreichenden Auswirkungen konfrontiert

[datensicherheit.de, 29.09.2025] Offensichtlich gibt es nur wenige Branchen, welche so stark reguliert sind wie der Finanzsektor – in regelmäßigen Abständen erscheinen jedenfalls neue Gesetzesrahmen. „Und das aus gutem Grund: Finanzdienstleister gehören zum Rückgrat nationaler Infrastruktur und sind deshalb ein Hauptziel von Cyberangriffen und Betrugsmaschen. Jede neue Regulierung muss daher wasserdicht sein!“, kommentiert Andre Troskie, „EMEA Field Chief Information Security Officer“ bei Veeam. Der „Digital Operational Resilience Act“ (DORA) der EU sei hier die jüngste in einer langen Liste von Maßnahmen.

Foto: Veeam

Andre Troskie rät Unternehmen, das Thema Ausfallsicherheit umfassend zu betrachten

Stärkste DORA-Nebenwirkungen: Zusätzliche Belastung der IT- und Sicherheitsfachleute

Sämtliche Regulierungen hätten zum Ziel, die Messlatte anzuheben, wie sich Finanzinstitute und ihre Drittanbieter auf Bedrohungen vorbereiten, ihnen widerstehen und sich von ihnen erholen können müssen. Das im Januar 2025 eingeführte Gesetz auf der Grundlage von DORA konzentriere sich auf die Meldung von Vorfällen, die Überwachung von Drittanbietern und die Prüfung der Widerstandsfähigkeit. Sechs Monate später räumten in einer Umfrage jedoch fast alle befragten Finanzdienstleister (96%) ein, dass sie ihre Widerstandsfähigkeit noch verbessern müssten, um die Anforderungen der Verordnung zu erfüllen.

• Troskie wirft die Fragen auf: „Wie kommt es zu diesen Verzögerungen? Was also bringt die Datenresilienz von Unternehmen tatsächlich voran?“

Eine der stärksten Nebenwirkungen von DORA sei nun die zusätzliche Belastung der IT- und Sicherheitsfachleute. „41 Prozent der Befragten Unternehmen nannten diesen Punkt als große Herausforderung bei der Erfüllung der Anforderungen. Die allgemeine Sicherheitslage ist heikel und daher ist der Cybersicherheitssektor eine Branche, die unter hohem Druck steht. Es ist also keine Überraschung, dass Burnout unter IT-Sicherheitsfachkräften ein grassierendes Phänomen ist.“ Die Erfüllung der DORA-Anforderungen sollte dieses Problem jedoch nicht noch weiter befeuern.

Einhaltung von DORA als Teil eines ganzheitlichen Resilienzplans

Die Antwort liege also nicht darin, DORA als ein weiteres Projekt auf einer bereits überbordenden Liste abzuarbeiten. Troskie führt aus: „Stattdessen müssen Unternehmen das Thema Ausfallsicherheit umfassend betrachten!“ Die Verwendung von „Data Resilience Maturity Models“ (DRMMs) könne ein Ausweg sein. Dies ermögliche Unternehmen, die Einhaltung von DORA als Teil eines größeren Resilienzplans zu betrachten – und eben nicht nur als als isolierte Übung. Dieser Ansatz entlaste nicht nur die Teams, sondern verbessere auch die Datenresilienz von Unternehmen als Ganzes.

• „Ein weiterer Knackpunkt bei der Erfüllung der Compliance-Anforderungen sind die Herausforderungen beim Testen.“ Circa ein Viertel der befragten Unternehmen verfüge noch immer nicht über Wiederherstellungs- und Kontinuitätstests. Fast ebenso viele hätten noch gar nicht mit Tests zur Ausfallsicherheit begonnen. „Das ist riskant, um nicht zu sagen: fahrlässig!“

Ohne regelmäßige Tests lass sich nicht feststellen, „ob die neuen Kontrollen tatsächlich funktionieren, wenn sie gebraucht werden“. Der erste Test sei oft ernüchternd und könne entmutigend wirken. „Probleme aufzudecken, deren Behebung mühsam wird, kann für Frust sorgen.“ Doch in Wirklichkeit sei das Testen eine der besten Möglichkeiten, um Fortschritte in der Sicherheitsarchitektur zu erzielen. Zudem seien Tests ohnehin eine klare DORA-Anforderung. „Aber was noch wichtiger ist: Härtetests schaffen Vertrauen, dass die Systeme einem echten Cybervorfall standhalten werden.“

DORA-Konformität: Sicherheitsfaktor Drittanbieter

Die letzte große Hürde auf dem Weg zur DORA-Konformität sei die Überwachung Dritter – „sprich von Partnern und externen Anbietern in der Lieferkette“. Mehr als ein Drittel der Unternehmen bezeichne diese als „größte Herausforderung bei der Umsetzung“, und ein Fünftel habe sich überhaupt nicht damit befasst.

• „Das Hauptproblem: Die meisten Unternehmen unterschätzen, auf wie viele externe Anbieter sie angewiesen sind. Ein durchschnittliches Unternehmen hat 88 externe Partner. Das ist weit mehr als in den meisten Resilienzstrategien berücksichtigt wird.“ Damit einher gehe eine enorme Anzahl von zu verwaltenden Verbindungen. In der Vergangenheit seien Finanzunternehmen oft davon ausgegangen, dass diese Anbieter über eine eingebaute Ausfallsicherheit verfügten. DORA verlange aber mehr als das: Klare Verantwortungsmodelle und transparente Service-Level-Agreements (SLAs), „die genau festlegen, wer wofür verantwortlich ist“.

Die Konsequenz lautet demnach, dass Verträge neu verhandelt werden müssen. Zudem müssten Teams für Sicherheit, Risiko, Recht und Management zusammengebracht werden, um dies zu erreichen. „Das ist keine kleine Aufgabe, aber sie ist notwendig, wenn Unternehmen echtes Vertrauen in ihre Widerstandsfähigkeit schaffen wollen.“

DORA-„Compliance“ fördert langfristiges Vertrauen in die eigene Datensicherheit

Die „Compliance“-Probleme im Zusammenhang mit DORA könnten nicht über Nacht gelöst werden. Schließlich brauche der Aufbau von Widerstandsfähigkeit seine Zeit. „Dabei wird es unweigerlich Unebenheiten auf dem Weg geben.“ Doch Unternehmen, die DORA als Teil eines umfassenderen Resilienzkonzepts, statt als eigenständiges „Compliance“-Projekt angehen, werden laut Troskie gestärkt daraus hervorgehen.

• „Am besten beginnt man damit, sich folgende folgenden Fragen zu stellen und diese ehrlich zu beantworten: Wo sind die Schwachstellen des Unternehmens? Weiß man wirklich, wie widerstandsfähig die Zulieferer sind? Testet man ausreichend, um den Schutzmaßnahmen zu vertrauen?“

Die Antworten mögen kurzfristig unangenehm sein. „Aber sie sind die Grundlage für DORA-,Compliance’ und langfristiges Vertrauen in die eigene Datensicherheit und die Zementierung der Geschäftsfähigkeit“, betont Troskie anschließend.

Weitere Informationen zum Thema:

veeam
We’re the home of Data Resilience

veeam
Posts by Andre Troskie

veeam
96% of EMEA Financial Services Organizations Believe They Need to Improve Their Resilience to Meet DORA Requirements / New Veeam survey uncovers top compliance challenges and the urgent need for holistic data resilience, six months after the DORA deadline

SC Media, Daniel Thomas, 20.01.2023
Cloud Security / Third-party risks: What organizations face / Risky business: Third-party endeavors

datensicherheit.de, 31.07.2025
DORA – Europäische Union präzisiert Umgang mit Lieferketten-Risiken / Die Europäische Kommission hat Anfang Juli eine Ergänzung zur Verordnung über die digitale operationale Resilienz im Finanzsektor (DORA) in Form finaler technischer Regulierungsstandards (RTS) veröffentlicht. Damit konkretisiert sie Anforderungen an das Risikomanagement oftmals komplexer IKT-Lieferketten im durch DORA regulierten Bereich. Im Fokus stehen dabei Untervergaben. Der TÜV SÜD fasst die wichtigsten Punkte praxisorientiert zusammen.

datensicherheit.de, 21.07.2025
DORA Oversight Guide publiziert: Finanzunternehmen sollten sich dringend mit Verschlüsselung und Schlüsselhoheit befassen / Am 15. Juli 2025 wurde der neue „DORA Oversight Guide“ von den europäischen Aufsichtsbehörden veröffentlicht – Finanzunternehmen, IT-Dienstleister und „Cloud-Provider“ werden mit teils weitreichenden Auswirkungen konfrontiert

datensicherheit.de, 07.07.2025
Neuer ISACA-Leitfaden: Navigationshilfe für Unternehmen durch NIS-2- und DORA-Vorschriften / Selbst nach der ersten Jahreshälfte 2025 haben viele Unternehmen ihre Verpflichtungen im Rahmen der NIS-2-Richtlinie und der DORA-Verordnung noch nicht vollständig verstanden

datensicherheit.de, 16.04.2025
DORA macht deutlich: Europas Finanzsektor benötigt neue digitale Risikokultur / Cyber-Sicherheit längst kein technisches Randthema mehr, sondern elementarer Bestandteil der Finanzstabilität

[datensicherheit.de, 06.08.2025] Derweil noch viele mittelständische Unternehmen auf der Suche nach der passenden IT-Sicherheitsstrategie sind, wird das Umfeld offenkundig immer komplexer: Neue Regulierungen wie NIS-2 oder DORA erhöhten den Druck – gleichzeitig fehlten intern häufig die nötigen Ressourcen, Strukturen oder klaren Zuständigkeiten. Im Ergebnis bleibe die IT-Sicherheit Stückwerk – und dies in zunehmend digitalisierten Geschäftsmodellen. Maurice Kemmann, Geschäftsführer der Cosanta GmbH, Teil der plusserver-Gruppe, betont in seiner aktuellen Stellungnahme, dass es dabei funktionierende Vorbilder gebe. Unternehmen aus dem KRITIS-Sektor seien seit Jahren dazu verpflichtet, hohe Sicherheitsstandards umzusetzen: Dies umfasse klare Rollen, durchdachte Prozesse und ein gelebtes Notfallmanagement. Fünf dieser Prinzipien lassen sich demnach direkt auf mittelständische Strukturen übertragen – und zwar ganz ohne Konzernbudgets.

Foto: plusserver

KRITIS-Betriebe als funktionierende Vorbilder für IT-Sicherheit – auch für den Mittelstand

In vielen mittelständischen Unternehmen läuft IT-Sicherheit noch zu sehr unter dem Radar

Kemmann führt aus: „In vielen mittelständischen Unternehmen läuft das Thema IT-Sicherheit noch zu sehr unter dem Radar. Es fehlen zum Beispiel klare Rollenverteilungen, die nötige Transparenz sowie definierte Notfallpläne. Es gibt jedoch funktionierende Vorbilder aus dem KRITIS-Bereich und fünf Prinzipien, die sich sofort übernehmen lassen.“

• In puncto Cybersicherheit navigierten viele mittelständische Unternehmen im „Blindflug“. Laut einer Deloitte-Studie vom April 2025 fehlten 45 Prozent der befragten Unternehmen einheitliche Standards und konkrete Leitlinien für ihre Sicherheitsstrategie. Trotz wachsender Bedrohungslage mangele es oft an einem strategischen Kompass – und das in zunehmend digitalisierten Geschäftsmodellen.

Der Mittelstand stehe vor einer doppelten Herausforderung: „Einerseits wächst der Druck durch neue Vorgaben wie NIS-2 oder DORA, andererseits fehlen intern Zeit, Ressourcen und Fachwissen für eine tragfähige Sicherheitsarchitektur.“ Umso wichtiger sei es, sich an funktionierenden Vorbildern zu orientieren, statt das „Security-Rad“ neu zu erfinden.

5 entscheidende Prinzipien für IT-Sicherheit in der Praxis von KRITIS-Unternehmen als Vorbild

Eine solche Orientierung biete der KRITIS-Sektor. „Dort ist professionelles Sicherheitsmanagement bereits gelebte Praxis“, unterstreicht Kemmann. Die Prozesse gingen oft über die gesetzlichen Mindestanforderungen hinaus.

• Sie seien keine Konzern-Spezifika, sondern vielfach modular übertragbar. „Das gilt gerade für mittelständische Unternehmen mit begrenzten Ressourcen.“

Nachfolgend ausgeführte fünf Prinzipien haben sich laut Kemmann in der Praxis von KRITIS-Unternehmen als entscheidend erwiesen und könnten auch im Mittelstand den Unterschied in IT-Sicherheitsfragen machen:

1. KRITIS-Prinzip: IT-Sicherheit keine IT-, sondern Führungsaufgabe!

Was in jedem Unternehmen Standard sein sollte, sei im KRITIS-Sektor bereits gang und gäbe: IT-Sicherheit sei kein untergeordnetes Thema der IT-Abteilung, sondern fest in die Gesamtstrategie integriert. Es gebe einen guten Grund dafür, „denn wenn Ausfälle das Leben gefährden oder staatliche Versorgung beeinträchtigt werden könnte, müssendie Rollen klar verteilt sein“.

• „,Governance‘, Verantwortlichkeiten und Budgets sind auf C-Level verankert.“ Der Mittelstand könne genau dort ansetzen. Laut Deloitte sähen zwar 73 Prozent der Unternehmen IT-Sicherheit als zentrale Aufgabe, doch nur ein kleiner Teil verankere sie operativ im Management.

Ein umfassender organisatorischer Umbau sei dafür oft gar nicht nötig: „Es reicht, Verantwortung sichtbar darzustellen, Entscheidungswege zu klären und das Thema ins Reporting zu holen. Ganz wie es KRITIS-Betriebe vormachen.“

2. KRITIS-Prinzip: Monitoring mehr als eine Alarmglocke – nämlich „Business Intelligence“!

KRITIS-Unternehmen verließen sich nicht mehr auf einfache Schwellenwert-Warnsysteme, sondern auf intelligentes Monitoring mit Korrelationen, Heuristiken und Anomalieerkennung.

• „Dieses Monitoring ist nicht reaktiv, sondern lernend. Es beobachtet, klassifiziert und bewertet kontinuierlich. Sie setzen automatisierte Systeme ein, die kontinuierlich große Mengen an Log- und Netzwerkdaten auswerten.“

Laut Deloitte seien im Mittelstand hingegen nur 26 Prozent der Unternehmen in der Lage, verdächtige Aktivitäten zeitnah zu erkennen. Erprobte Monitoring-Konzepte aus dem KRITIS-Bereich ließen sich modular übernehmen und böten auch Mittelständlern Sichtbarkeit.

3. KRITIS-Prinzip: Partnerschaftliche Sicherheit bindet Dienstleister ein!

In der KRITIS-Welt hätten externe Sicherheitsanbieter einen festen Platz in der Sicherheitsarchitektur – als Sparringspartner, Systemarchitekten und Krisenmanager. Dieses partnerschaftliche Modell sei auch für den Mittelstand essenziell.

• Statt reiner Produktlieferung unterstützten viele Dienstleister Unternehmen ganzheitlich – von der Architekturplanung über die Auswahl und Integration bis hin zu Betrieb und Weiterentwicklung.

„Solche Kooperationen eröffnen nicht nur Zugang zu aktuellem Know-how, sondern entlasten interne Ressourcen gezielt und fördern eine strategische Weiterentwicklung der Sicherheitsorganisation.“ Ein entscheidender Vorteil – gerade angesichts des Fachkräftemangels.

4. KRITIS-Prinzip: SOC Rückgrat moderner Sicherheitsarchitektur!

Viele Unternehmen assoziierten ein „Security Operations Center“ (SOC) mit Komplexität und hohen Kosten. Im KRITIS-Bereich sei das SOC – intern oder als „Managed Service“ – hingegen bereits etabliert.

• Es bilde das Rückgrat für Frühwarnung, Ereignisanalyse und orchestrierte Reaktion auf Angriffe.

Nicht die Größe, sondern die Wirksamkeit zähle. Bewährte Dienstleistungsmodelle machten SOCs auch für kleinere Unternehmen realisierbar und erschwinglich.

5. KRITIS-Prinzip: Notfallpläne als gelebte Betriebspraxis!

„Unternehmen in der KRITIS-Kategorie verfügen im Ernstfall über klare Notfallpläne, die regelmäßig getestet, trainiert und aktualisiert werden.“

• Solche Pläne definierten „Recovery“-Ziele (RTO/RPO), Eskalationswege, Rollen und Replikationsmechanismen. Durch praxisnahe Übungen und regelmäßige Audits werde sichergestellt, „dass das Notfallmanagement gelebte Praxis wird“.

Ein IT-Ausfall betreffe schließlich auch andere Bereiche – wie Logistik, Kommunikation, Personal und Kunden.

Vom IT-Nachzügler zum -Vorreiter in Sicherheitsfragen

KRITIS-Unternehmen zeigten, wie IT-Sicherheit als strategisches Fundament funktioniert:

• mit klaren Zuständigkeiten, durchdachten Prozessen und starken Partnern.

Der Mittelstand müsse nicht bei null beginnen. „Wer bewährte Methoden übernimmt und anpasst, kann Sicherheitsdruck in Zukunftsfähigkeit umwandeln“, gibt Kemmann abschließend zu bedenken.

Weitere Informationen zum Thema:

Cosanta
Über Cosanta – Ihr Managed Security Service Provider

Deloitte, Research, 15.04.2025
Cybersecurity im Mittelstand / Steigende Cyber-Bedrohung, erhöhtes Risikobewusstsein, verbleibende Lücken: Die Einschätzungen deutscher Mittelständler

datensicherheit.de, 01.08.2025
DSGVO und NIS-2 können und sollten Hand in Hand gehen / Wer sich bereits datenschutzkonform gemäß DSGVO aufgestellt hat, dem fällt auch die Cyberresilienz im NIS-2-Kontext leichter

datensicherheit.de, 07.07.2025
Neuer ISACA-Leitfaden: Navigationshilfe für Unternehmen durch NIS-2- und DORA-Vorschriften / Selbst nach der ersten Jahreshälfte 2025 haben viele Unternehmen ihre Verpflichtungen im Rahmen der NIS-2-Richtlinie und der DORA-Verordnung noch nicht vollständig verstanden

datensicherheit.de, 20.11.2023
DORA und NIS2 – Cybersicherheit im Finanzsektor der EU / Auditverfahren der Regularien harmonisieren und Zuständigkeiten zusammenzuführen

[datensicherheit.de, 31.07.2025] IKT-Dienstleistungs-Lieferketten sind oft sehr komplex – eine Herausforderung für Finanzunternehmen, die unter DORA fallen, da eine adäquate Risikokontrolle anspruchsvoll ist. Aus diesem Grund legt die EU-Kommission auf knapp sieben Seiten in der sogenannten „delegierten Verordnung über technische Regulierungsstandards für die Vergabe von Unteraufträgen für IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen” – kurz RTS – dar, wie Finanzunternehmen mit ihren kritischen IKT-Dienstleistern und Unterdienstleistern umgehen müssen. Das am 2. Juli 2025 im Amtsblatt der Compliance AuditsEuropäischen Union veröffentlichte Dokument ist seit dem 22. Juli voll inkraftgetreten.
„Die Europäische Kommission erkennt an, dass Dienstleistungsketten im Bereich IKT schwer durchschaubar sein können. Für ein robustes Cyber-Resilienzniveau im Finanzsektor ist es jedoch unerlässlich, auch ausgelagerte kritische Funktionen und deren Risiken zu verstehen und zu steuern“, erklärt Richard Skalt, Advocacy Manager Cybersecurity bei TÜV SÜD. „Die RTS bieten hierfür einen verbindlichen Rahmen, der durch Best Practices ergänzt werden sollte, insbesondere wenn Transparenz und vertragliche Klarheit in Lieferketten fehlen. TÜV SÜD unterstützt Finanzunternehmen bei der Risikobeurteilung und IKT-Dienstleister bei der Nachweiserbringung.“

Vorgaben für den durch DORA regulierten Bereich

Die wichtigsten Vorgaben im Überblick:

• Vertragliche Regelungen: Verträge spielen eine zentrale Rolle in der Umsetzung der DORA-Anforderungen. So sollten vertragliche Vereinbarungen zwischen Finanzunternehmen und IKT-Drittdienstleistern insbesondere Regelungen zur Planung und Genehmigung von Unterauftragsvereinbarungen, zur Durchführung von Risikobewertungen sowie zur Erfüllung der Sorgfaltspflichten enthalten. Zudem empfielt es sich vertraglich festzulegen, ob entweder der weitervergebene Dienstleister oder das Finanzunternehmen selbst, die Fachkenntnisse, die Organisationsstruktur und das Risikomanagement potenzieller Unterauftragnehmer bewerten kann.
• Leistungsüberwachung und Informationsweitergabe: Um Sicherheitsrisiken in mehrstufigen IT-Lieferketten frühzeitig zu erkennen und zu minimieren, sollten Finanzunternehmen Vorkehrungen treffen, um über alle relevanten Änderungen rechtzeitig informiert zu werden bevor diese wirksam werden. Das gilt besonders bei neuen Untervergaben oder wesentlicher Anpassung bestehender Vereinbarungen. Stellt sich dabei heraus, dass diese Änderungen die Risikotoleranz des Unternehmens überschreiten, sollten Unternehmen das Recht auf Kündigung oder Anpassung des Vertrages sichern.
• Risikobasierte Analyse und Steuerung: Wer kritische IT-Dienstleistungen auslagert, muss über ausreichende Fachkenntnisse, Ressourcen und interne Prozesse verfügen, um damit verbundene Risiken wirksam zu überwachen. Dazu zählen etwa Maßnahmen zur Informationssicherheit, Notfallmanagement und interne Kontrollmechanismen. Unternehmen müssen außerdem bewerten, welche Auswirkungen ein Ausfall eines IT- Unterauftragnehmers sowohl auf ihre digitale Stabilität als auch auf ihre finanzielle Lage hätte. Zudem ist zu prüfen, ob der Standort des Dienstleisters oder seiner Muttergesellschaft zusätzliche Risiken birgt, die in die Bewertung einbezogen werden sollten.
• Bedingungen für Untervergaben: IT-Drittdienstleister, die Aufträge weitervergeben, sind angehalten, die damit verbundenen Risikensorgfältig zu bewerten. Dazu gehört insbesondere eine Analyse der Standortbedingungen, der Konzernstrukturen sowie der tatsächlichen Erbringungsorte der Leistungen. Auch wenn nicht alle Aspekte zwingend vertraglich geregelt werden müssen, empfiehlt es sich, Klarheit über diese Risiken herzustellen und gegebenenfalls vertraglich abzusichern.

Zukünftig werden die zuständigen Aufsichtsbehörden die Prüfung und Bewertung von kritischen Drittanbietern unter anderem durch Risikoanalysen und Vor-Ort-Prüfungen koordinieren. Orientierung bietet der ebenfalls kürzlich veröffentlichte DORA Oversight Guide der Europäischen Aufsichtsbehörden. Das Dokument liefert eine praxisorientierte Übersicht über das Aufsichtsverfahren für kritische IKT-Drittdienstleister im Rahmen des Digital Operational Resilience Act (DORA).

Risk Assessments und Compliance Audits

Finanzunternehmen, die vor dem Hintergrund der neuesten EU-Veröffentlichungen ihre bestehenden Verträge und bisher ergriffenen Maßnahmen von einem neutralen Dritten überprüfen lassen möchten, können mithilfe von Compliance Audits durch TÜV SÜD mögliche Lücken in der Umsetzung der Verordnung aufdecken und einen klaren Fahrplan zu deren Schließung entwickeln.

„Wir helfen sowohl bei der Identifikation von Umsetzungs- oder Dokumentationslücken als auch bei der Entwicklung eines praxisnahen Maßnahmenplans“, so Skalt. „Auch IKT-Dienstleister von Finanzunternehmen, die künftig im Rahmen ihrer vertraglichen Pflichten gegenüber ihren Auftraggebern die Einhaltung bestimmter Vorgaben nachweisen müssen, kann TÜV SÜD mit Risk Assessments unterstützen.“

Weitere Informationen zum Thema:

TÜV SÜD
Digital Operational Resilience Act (DORA)

datensicherheit.de, 21.07.2025
DORA Oversight Guide publiziert: Finanzunternehmen sollten sich dringend mit Verschlüsselung und Schlüsselhoheit befassen

[datensicherheit.de, 21.07.2025] Am 15. Juli 2025 wurde der neue „DORA Oversight Guide“ von den europäischen Aufsichtsbehörden mit teils weitreichenden Auswirkungen für Finanzunternehmen, IT-Dienstleister und „Cloud-Provider“ veröffentlicht. Demnach können unter anderem spezielle Teams Kontrollen auch hinsichtlich der Verschlüsselungstechnologie durchführen – wenn also z.B. ein Finanzunternehmen „Cloud“-Dienste von Microsoft, AWS oder Google nutzt, muss es in der Lage sein, jederzeit die Hoheit über die verwendeten Schlüssel nachzuweisen, auch bei redundanten oder ausgelagerten Systemen. Was Unternehmen jetzt im Bereich der Verschlüsselungstechnologie beachten sollten, erörtert Andreas Steffen, CEO von eperi, in seiner aktuellen Stellungnahme:

Foto: eperi

Andreas Steffen legt Finanzunternehmen im DORA-Kontext dringend nahe, die volle Kontrolle – sowohl technisch als auch rechtlich und organisatorisch – zu übernehmen

Das DORA-Inkrafttreten zwingt betroffene Organisationen sich auf ein neues Kontrollniveau vorzubereiten

Steffen berichtet: „Am 15. Juli 2025 veröffentlichten die europäischen Aufsichtsbehörden (ESA) den ersten ,DORA Oversight Guide’, ein entscheidendes Dokument, das die künftige Überwachung kritischer IKT-Drittdienstleister konkretisiert.“ Im Zentrum stehe der Aufbau sogenannter Joint Examination Teams (JETs) zur europaweiten Kontrolle von „Cloud“-Anbietern, Softwarelieferanten und anderen wichtigen Drittparteien.

• Doch diese Anleitung enthalte weit mehr als nur organisatorische Hinweise: „Insbesondere Artikel 5.4.1 des Leitfadens stellt klar, dass Aufsichtsbehörden künftig Empfehlungen zu Subcontracting und Verschlüsselungstechnologien aussprechen dürfen – mit gravierenden Folgen für alle Finanzunternehmen, die ,Hyperscaler’ wie Microsoft, Amazon oder Google nutzen.“

Er kommentiert: „Warum das jetzt relevant ist? Weil sich mit Inkrafttreten von DORA im Januar 2025 alle betroffenen Organisationen auf ein neues Kontrollniveau vorbereiten mussten und die Zeit drängt, falls es noch nicht bereits geschehen ist.“

„DORA Oversight Guide“ im Kurzüberblick

Der 32-seitige Leitfaden beschreibe detailliert, wie die ESA (EBA, ESMA und EIOPA) ihre Aufsichtsbefugnisse gegenüber kritischen IKT-Dienstleistern künftig ausübten. Ein zentraler Mechanismus seien die „Joint Examination Teams“ (JETs), welche grenzüberschreitend Audits, technische Inspektionen und Vor-Ort-Besuche durchführten.

• Ziel sei es, einheitliche Standards durchzusetzen und sicherzustellen, dass Anbieter Kritischer Infrastrukturen (KRITIS) das Risiko- und Resilienzprofil des Finanzsektors nicht gefährdeten.

Besonders relevant, so Steffen: „Die ESA kann Empfehlungen zu kritischen Sicherheitsmaßnahmen aussprechen, darunter:

1. Sicherheitsvorgaben für Subunternehmer (Subcontracting),
2. Verwendung starker Verschlüsselung,
3. Nachweis der Schlüsselhoheit durch das Finanzunternehmen selbst.

Artikel 5.4.1 im „DORA Oversight Guide“ von weitreichender Bedeutung

Artikel 5.4.1 im „Oversight Guide“ sei besonders bedeutsam: „Dort heißt es sinngemäß, dass Aufsichtsbehörden Empfehlungen abgeben dürfen, die auch kryptographische Schutzmaßnahmen betreffen, insbesondere im Hinblick auf Subdienstleister und ausgelagerte IT-Umgebungen.“

• Das bedeutet konkret: „Wenn ein Finanzunternehmen ,Cloud’-Dienste von Microsoft, AWS oder Google nutzt, muss es in der Lage sein, jederzeit die Hoheit über die verwendeten Verschlüsselungsschlüssel nachzuweisen – auch bei redundanten oder ausgelagerten Systemen.“

Damit rücke ein bislang oft vernachlässigter Punkt in den Fokus. „Wer kontrolliert die Daten und wer hält die Schlüssel in der Hand?“

Klassische „Cloud“-Verschlüsselung reicht nicht mehr aus

Viele Finanzunternehmen setzten bereits auf Verschlüsselung. Doch oft würden Schlüssel in der „Cloud“ selbst gespeichert oder durch den Anbieter verwaltet. Das Problem dabei laut Steffen:

• „Die Datenhoheit ist nicht vollständig gewährleistet.
• Im Fall von Subcontracting (z.B. bei global verteilten Rechenzentren) fehlt der Überblick.
• Die Aufsichtsbehörden könnten dies als Mangel werten, inkl. ,Compliance’-Risiken.“

Die Anforderungen aus dem „DORA Oversight Guide“ verlangten somit ein „neues Niveau an Transparenz und Kontrolle“.

DORA-Anforderungen einhalten – Schlüsselhoheit behalten

Steffen führt aus: „Eine Verschlüsselungslösung, die perfekt auf die Anforderungen aus DORA zugeschnitten ist, verschlüsselt Daten, bevor sie die ,Cloud’ erreichen – client-seitig und format-erhaltend, damit sie im Hintergrund weiterverarbeitet werden können.“

Eine Verschlüsselungsarchitektur sollte vier wichtige Aspekte sicherstellen:

1. Die Schlüsselkontrolle bleibt vollständig beim Unternehmen. Weder „Cloud“-Anbieter noch Dritte haben Zugriff.
2. Sie ist kompatibel mit „Microsoft 365“, „Salesforce“ und anderen Web-Applikationen.
3. Sie erfüllt strengste regulatorische Vorgaben – inklusive DORA, NIS-2, DSGVO.
4. Es ergeben sich keine Funktionseinbußen – Suchfunktionen, Sortierung und Kollaboration.

Mit dieser Architektur könnten Unternehmen gegenüber Aufsichtsbehörden nachweisen, dass die kryptographischen Schutzmaßnahmen vollständig unter ihrer Kontrolle stehen – eben genau das, was Artikel 5.4.1 fordert.

Schlüssel in der Hand – Kontrolle anerkannt

Der neue „DORA Oversight Guide“ zeige unmissverständlich, dass Aufsichtsbehörden die ITK-Drittdienstleister künftig genau unter die Lupe nähmen.

• „Für Finanzunternehmen bedeutet das, dass nur wer Datenhoheit und Schlüsselkontrolle nachweisen kann, die Anforderungen erfüllt.“

Als Lösung benennt Steffen beispielhaft „eperi sEcure“: Damit behielten Finanzunternehmen die volle Kontrolle – sowohl technisch, rechtlich und organisatorisch, um die Voraussetzungen für eine zukunftssichere, resiliente IT-Strategie im Finanzumfeld zu schaffen.

Weitere Informationen zum Thema:

eba European Banking Authority & eiopa European Insurance and Occupational Pensions Authority & ESMA European Securities and Markets Authority, 15.07.2025
Digital Operational Resilience Act (DORA): Oversight of critical third-party providers / Guide on oversight activities

EPERI
eperi® – Und Ihre Daten sind sicher. Punkt.

EPERI, 20.07.2023
eperi ernennt Andreas Steffen zum neuen CEO / Sein Ziel: Mit der eperi Verschlüsselungstechnologie zum führenden Anbieter für den Datenschutz in der Cloud zu werden

datensicherheit.de, 07.07.2025
Neuer ISACA-Leitfaden: Navigationshilfe für Unternehmen durch NIS-2- und DORA-Vorschriften / Selbst nach der ersten Jahreshälfte 2025 haben viele Unternehmen ihre Verpflichtungen im Rahmen der NIS-2-Richtlinie und der DORA-Verordnung noch nicht vollständig verstanden

datensicherheit.de, 16.04.2025
DORA macht deutlich: Europas Finanzsektor benötigt neue digitale Risikokultur / Cyber-Sicherheit längst kein technisches Randthema mehr, sondern elementarer Bestandteil der Finanzstabilität

datensicherheit.de, 17.03.2025
DORA in der Praxis: Stolpersteine und Empfehlungen für Unternehmen / Die Verordnung der EU soll die Cyberresilienz des Finanzsektors durch einheitliche und verbindliche Vorgaben verbessern

datensicherheit.de, 21.01.2025
DORA: Europas neue Cyber-Sicherheitsverordnung stellt nicht nur den Finanzsektor vor Herausforderungen / Selbst Unternehmen außerhalb der EU fallen unter DORA, wenn sie Dienstleistungen für EU-Finanzunternehmen erbringen

datensicherheit.de, 16.01.2025
DORA zwingt Finanzinstitute zum Handeln, um operative Widerstandsfähigkeit zu sichern / DORA-Ziel ist es, den Finanzsektor besser vor den ständig wachsenden Cyber-Bedrohungen zu schützen

[datensicherheit.de, 07.07.2025] Dies sei ein entscheidendes Jahr für die neuen rechtlichen Rahmenbedingungen für Cybersicherheit in Europa. Doch selbst nach der ersten Jahreshälfte 2025 hätten viele Unternehmen ihre Verpflichtungen im Rahmen der NIS-2-Richtlinie und der DORA-Verordnung noch nicht vollständig verstanden – oder hätten Schwierigkeiten, diese in die Praxis umzusetzen. Mit dem Inkrafttreten von DORA und der offiziellen Anwendung von NIS-2 kommt das neue Whitepaper von ISACA nun zu einem entscheidenden Zeitpunkt für die digitale Sicherheit in Europa – der neue Leitfaden von ISACA soll Unternehmen bei der Navigation durch NIS-2- und DORA-Vorschriften helfen.

Abbildung: ISACA

ISACA-Whitepaper „Resilience and Security in Critical Sectors: Navigating NIS2 and DORA Requirements“ – NIS-2 und DORA im vergleichenden Überblick

Nur ein Teil der EU-Mitgliedstaaten hat Frist zur NIS-2-Umsetzung in nationales Recht eingehalten

Viele Unternehmen – vor allem kleinere und mittlere (KMU) und Informations- und Kommunikationstechnologie-Anbieter (IKT-Unternehmen) – wüssten nur bedingt, „welche Anforderungen diese Verordnungen stellen, wie sie erfolgreich umgesetzt werden können und welche Vorteile sie bieten“. Dabei seien beide von zentraler Bedeutung für die digitale Widerstandsfähigkeit der Europäischen Union (EU). Dennoch mache sich nach wie vor große Verwirrung breit.

Hinzu komme, dass nur eine Handvoll EU-Mitgliedstaaten die Frist zur Umsetzung der NIS-2 in nationales Recht bis Oktober 2024 eingehalten habe. In Irland z.B., eine der digital am weitesten entwickelten Volkswirtschaften Europas, gaben demnach 38 Prozent der Unternehmen zu, dass sie nicht vorbereitet sind. Dies verdeutliche das Ausmaß der Herausforderung selbst in reifen Märkten. Diese unzureichende Vorbereitung dürfte sich in weiten Teilen der EU widerspiegeln, insbesondere bei KMU und Nicht-Finanzunternehmen. „Sie unterliegen nun neuen, strengen Rechenschafts-, Prüfungs- und Berichtspflichten!“

DORA und NIS-2 markieren grundlegenden Wandel für Herangehensweise an Resilienz- und Cybersicherheitsmanagement

Da sich also viele Unternehmen noch in der Anfangsphase der Umsetzung befänden, hat ISACA kürzlich das Whitepaper „Resilience and Security in Critical Sectors: Navigating NIS2 and DORA Requirements” veröffentlicht. Es diene als strategischer Leitfaden für Unternehmen, Finanzinstitute, öffentliche Verwaltungen und Technologieanbieter. „Es enthält eine klare Gliederung der beiden Vorschriften und zeigt auf, wie Unternehmen deren Einhaltung umsetzen und gleichzeitig ihre Cyberresilienz stärken können.“

„Die Herausforderung besteht nicht nur darin, die Vorschriften zu verstehen, sondern auch sicherzustellen, dass die Unternehmen wissen, wie sie diese effektiv anwenden können“, betont Chris Dimitriadis, „Chief Global Strategy Officer“ bei ISACA. Er erläutert: „DORA und NIS-2 markieren einen grundlegenden Wandel in der Herangehensweise von Unternehmen an Resilienz- und Cybersicherheitsmanagement. Die Konsequenzen für die Nichteinhaltung der Vorschriften sind gravierend – und noch wichtiger sind die Risiken einer Betriebsunterbrechung.“ ISACA engagiere sich, um Einzelpersonen und Organisationen bei der Vorbereitung auf diese neue Ära zu unterstützen.

Kernpunkte, die es laut ISACA bei der Einhaltung der Vorschriften zu beachten gilt:

Das ISACA-Whitepaper soll Unternehmen, welche auf die Einhaltung von Vorschriften hinarbeiten, essenzielle Anleitungen bieten:

• Kenntnis des Geltungsbereichs
  „Bestimmen Sie, ob Ihr Unternehmen unter NIS-2, DORA oder beide Richtlinien fällt!“ Auch Nicht-EU-Unternehmen könnten indirekt betroffen sein.
• Aufbau eines belastbaren IKT-Rahmens
  „Erstellen Sie umfassende IKT-Risikomanagementstrategien und stimmen Sie diese mit den Unternehmenszielen ab; überprüfen und testen Sie regelmäßig Kontinuitäts- und Wiederherstellungspläne!“
• Das Risiko Dritter ernst nehmen
  „Stellen Sie sicher, dass die Verträge mit IKT-Anbietern spezielle Klauseln zu Kontinuität, Sicherheit und Audit-Rechten enthalten!“ Viele Technologieanbieter – darunter Softwareentwickler, „Cloud“-Anbieter und Anbieter von „Managed Services“ – seien sich nicht bewusst, dass DORA sie aufgrund ihrer Verträge mit Finanzinstituten direkt betreffe.
• Vorbereitung auf die Meldepflichten
  „DORA und NIS-2 haben strenge und unterschiedliche Fristen für die Meldung von Vorfällen. Die Reaktionsteams müssen wissen, was, wann und wie zu melden ist!“
  -> NIS-2: „Vorabmeldung innerhalb von 24 Stunden und Abschlussbericht innerhalb eines Monats erforderlich.“
  -> DORA: „Größere IKT-Vorfälle müssen innerhalb von vier Stunden nach ihrer Einstufung gemeldet werden.“
• Schulung von Führungskräften und Mitarbeitern
  Auf allen Ebenen sollten obligatorische Schulungen zum Thema Cybersicherheit durchgeführt werden. Besonders erwähnenswert sei, dass der von der Europäischen Zentralbank (EZB) entwickelte „TIBER-EU“-Rahmen vollständig an DORA angepasst worden sei. „Er verlangt erstklassige Fähigkeiten und Zertifizierungen für Red-Team-Tester und Threat-Intelligence-Anbieter, die über qualifiziertes und zertifiziertes Personal verfügen müssen, um ihre Aufgaben ordnungsgemäß zu erfüllen!“
• Proaktive Audits
  „Führen Sie regelmäßig interne und externe Audits durch. Gemäß DORA müssen die IKT-Auditfunktionen unabhängig und qualifiziert sein!“
• Testen und Verbesserungen
  „DORA verlangt von den Finanzunternehmen, bedrohungsorientierte Penetrationstests durchzuführen und ihre betriebliche Widerstandsfähigkeit zu testen!“
• Dokumentieren allumfassend konzipieren
  „Führen Sie eine aktuelle Dokumentation über Richtlinien, Risikobewertungen, Kontrollen und Reaktionen!“ Dies sei entscheidend für die Transparenz und die aufsichtsrechtliche Überprüfung.

Im Falle der Nichteinhaltung von NIS-2 drohten laut EU Geldbußen von bis zu sieben Millionen Euro und für größere Unternehmen von bis zu zehn Millionen Euro. DORA überlasse die Anwendung von Sanktionen hingegen den nationalen Behörden.

Eine vergleichende Analyse von DORA und NIS-2 in Kombination mit praktischen Empfehlungen

Das Whitepaper solle nicht nur „Compliance“-Teams helfen, die Erwartungen der Regulierungsbehörden zu verstehen, sondern auch CISOs, IT-Leiter und Risikofachleute dabei unterstützen, langfristige Widerstandsfähigkeit und digitales Vertrauen aufzubauen. Die vergleichende Analyse von DORA und NIS-2 in Kombination mit praktischen Empfehlungen mache dieses Whitepaper zu einem wichtigen Referenzpunkt für die Navigation durch die sich entwickelnde Cyberregulierungs-Landschaft in Europa. Es diene sowohl Unternehmen als auch deren Technologiepartnern und Lieferanten als Leitfaden.

Ein kostenloses Exemplar des Whitepapers „Resilience and Security in Critical Sectors: Navigating NIS2 and DORA Requirements” ist online verfügbar. Weitere für Finanzinstitute nützliche Publikationen seien das „ISACA IT Risk Framework“, der „IT Risk Professional’s Guide“ und der „IT Risk Fundamentals Study Guide“. Zusätzliche risikobezogene IT-Ressourcen sind ebenfalls online zu finden.

Weitere Informationen zum Thema:

ISACA, 22.05.2025
White Paper: Resilience and Security in Critical Sectors: Navigating NIS2 and DORA Requirements

ISACA
Risk IT Framework, 2nd Edition | Print | English

ISACA
Expert guidance and practical tools to stay ahead of the curve in your IT risk career

datensicherheit.de, 16.04.2025
DORA macht deutlich: Europas Finanzsektor benötigt neue digitale Risikokultur / Cyber-Sicherheit längst kein technisches Randthema mehr, sondern elementarer Bestandteil der Finanzstabilität

datensicherheit.de, 17.03.2025
DORA in der Praxis: Stolpersteine und Empfehlungen für Unternehmen / Die Verordnung der EU soll die Cyberresilienz des Finanzsektors durch einheitliche und verbindliche Vorgaben verbessern

datensicherheit.de, 08.02.2025
NIS-2-Umsetzung: Gesetzgebungsverfahren offenbar vorerst gescheitert / 5 Schritte zur Vorbereitung auf deutsche NIS-2-Umsetzung jetzt für Unternehmen entscheidend – Entscheider sollten ihre neue Verantwortung ernst nehmen

datensicherheit.de, 07.02.2025
Dennis Weyel erinnert im NIS-2-Kontext daran: Firmenleitung haftet bei Cyber-Attacken! / Laut aktueller Manager-Umfrage ist sich nur knapp die Hälfte ihrer Verantwortung für Cyber-Sicherheit bewusst

[datensicherheit.de, 16.04.2025] In seiner aktuellen Stellungnahme geht Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, auf das Inkrafttreten der EU-Verordnung DORA („Digital Operational Resilience Act“) ein – nun wird demnach deutlich: „Cyber-Sicherheit ist längst kein technisches Randthema mehr, sondern elementarer Bestandteil der Finanzstabilität! Was bislang oft als nationale Aufgabe gehandhabt wurde, erhält nun einen verbindlichen, europäischen Rahmen – ein Novum, das weit über die Finanzbranche hinaus Signalwirkung entfaltet.“

Foto: KnowBe4

Dr. Martin J. Krämer rät dem Finanzsektor zu gelebter Sicherheitskultur, klaren Zuständigkeiten, transparenten Prozessen und regelmäßigen Schulungen

DORA greift dort, wo Finanzinstitute besonders angreifbar sind

„DORA greift dort, wo Finanzinstitute besonders angreifbar sind – bei ihrer wachsenden Abhängigkeit von digitalen Systemen und externen Dienstleistern.“ Diese Verordnung verlange weitreichende Maßnahmen in fünf zentralen Bereichen:

1. dem IKT-Risikomanagement,
2. dem Vorfallmanagement,
3. der operativen Resilienzprüfung,
4. dem Drittparteienrisiko sowie dem
5. Informationsaustausch.

Insbesondere Letzteres sei bemerkenswert – denn der Austausch über Cyber-Bedrohungen innerhalb der Branche werde erstmals ausdrücklich gefördert.

Viele Finanz-Unternehmen nutzen DORA-Einführung als Katalysator

Ein zentrales Element sei das Management von Drittanbieter-Risiken: Banken, Versicherungen und Kapitalverwaltungsgesellschaften müssten künftig deutlich striktere Prüfungen ihrer IT-Dienstleister vornehmen – insbesondere „Cloud“-Anbieter gerieten in den Fokus. Verträge müssten angepasst, Risiken regelmäßig bewertet und Notfallpläne etabliert werden. Krämer betont: „Diese Anforderungen führen dazu, dass sich die Anbieterlandschaft verändern wird: Nur wer robuste Sicherheitsstandards nachweisen kann, wird sich langfristig behaupten.“

Gleichzeitig werde auch das unternehmensinterne Krisenmanagement neu ausgerichtet. Unternehmen müssten sicherstellen, „dass sie Vorfälle schnell erkennen, koordinieren und wirksam bewältigen können“. Dies erfordere eine stärkere Verzahnung zwischen IT, Risiko- und Compliance-Funktionen sowie den jeweiligen Fachabteilungen. Viele Unternehmen nutzten die Einführung von DORA daher als Katalysator, um bestehende „Silostrukturen“ aufzubrechen und Sicherheitsprozesse ganzheitlicher aufzustellen.

Es geht um den Aufbau einer neuen digitalen Risikokultur der Finanzbranche

Doch der gesetzliche Rahmen allein reiche nicht: „DORA fordert mehr als nur eine formale Erfüllung technischer Vorgaben – es geht um den Aufbau einer neuen digitalen Risikokultur.“ Dazu gehörten regelmäßige Schulungen, klare Kommunikationswege im Krisenfall, eine transparente Fehlerkultur und die Bereitschaft, aus Sicherheitsvorfällen zu lernen. „Der Wandel beginnt also nicht bei der Technik, sondern im Denken!“

Nicht zuletzt werde sichtbar, wo die EU offensichtlich noch Nachholbedarf hat: „Die Umsetzung verläuft national sehr unterschiedlich – mit weitreichenden Folgen für international tätige Finanzunternehmen.“ Während Länder wie Deutschland, die Niederlande oder Luxemburg proaktiv handelten und konkrete Leitlinien erlassen hätten, blieben andere Mitgliedstaaten hinter den Erwartungen zurück. Dies berge die Gefahr „regulatorischer Unwucht“ und begünstige sogenannte Arbitrage-Effekte – also das gezielte Ausweichen in Länder mit laxerer Aufsicht.

EU-Rahmenwerke sollen Unternehmen Orientierung und Verbindlichkeit bieten – insbesondere in Kritischen Sektoren wie dem Finanzwesen

Mit DORA und der parallel wirkenden NIS2-Richtlinie etabliere Europa wichtige Rahmenwerke, welche Unternehmen Orientierung und Verbindlichkeit geben sollten – insbesondere in Kritischen Sektoren wie dem Finanzwesen. „Doch Regelwerke allein schaffen noch keine Sicherheit!“

Entscheidend sei, dass Unternehmen den Geist dieser Vorschriften verinnerlichten, unterstreicht Krämer zum Abschluss und rät zu einer gelebten Sicherheitskultur, klaren Zuständigkeiten, transparenten Prozessen und nicht zuletzt zu regelmäßige Schulungen, um das Sicherheitsbewusstsein aller Mitarbeiter stärken. „Nur so lässt sich die digitale Resilienz erreichen, die Europa in Zeiten wachsender Cyber-Bedrohungen dringend braucht!“

Weitere Informationen zum Thema:

BaFin Bundesanstalt für Finanzdienstleistungsaufsicht, 09.04.2025
DORA – Digital Operational Resilience Act

datensicherheit.de, 13.04.2025
DORA-Frist vom 14. und dem 28. April 2025: Lieferkettensicherheit als Herausforderung / DORA-Registrierungspflicht umfasst nicht nur die Meldung an die BaFin, sondern auch noch umfassende Prüfpflichten – von der Risikoanalyse bis hin zur Auditfähigkeit

datensicherheit.de, 17.03.2025
DORA in der Praxis: Stolpersteine und Empfehlungen für Unternehmen / Die Verordnung der EU soll die Cyberresilienz des Finanzsektors durch einheitliche und verbindliche Vorgaben verbessern

datensicherheit.de, 06.02.2025
Finanzsektor: Herausforderungen und zugleich Chancen durch DORA / Zahlreiche Unternehmen im Finanzsektor benutzen veraltete IT-Systeme, die nicht in der Lage sind, den hohen DORA-Anforderungen zu genügen

datensicherheit.de, 21.01.2025
DORA: Europas neue Cyber-Sicherheitsverordnung stellt nicht nur den Finanzsektor vor Herausforderungen / Selbst Unternehmen außerhalb der EU fallen unter DORA, wenn sie Dienstleistungen für EU-Finanzunternehmen erbringen

datensicherheit.de, 16.01.2025
DORA zwingt Finanzinstitute zum Handeln, um operative Widerstandsfähigkeit zu sichern / DORA-Ziel ist es, den Finanzsektor besser vor den ständig wachsenden Cyber-Bedrohungen zu schützen

[datensicherheit.de, 13.04.2025] Der eco – Verband der Internetwirtschaft e.V. weist in einer aktuellen Stellungnahme darauf hin, dass zwischen dem 14. und dem 28. April 2025 Finanzinstitute in der EU ihre IT-Dienstleister bei der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) registriert haben müssen. Mit dem Inkrafttreten des „Digital Operational Resilience Act“ (DORA) geraten damit auch viele IT-Dienstleister ohne bisherige unmittelbare Regulierung in den Fokus von Aufsichtsbehörden. Gleichzeitig sorgt die bevorstehende Umsetzung der europäischen NIS-2-Richtlinie in weiteren Branchen für erhöhten Handlungsdruck, der sich auch auf die von DORA betroffenen Unternehmen beispielgebend auswirken könnte.

NIS-2-Rezeption am Markt könnte für Umgang mit DORA beispielgebend sein

„Etliche Dienstleister stehen aktuell vor der Aufgabe, Sicherheitsnachweise, Risikoanalysen und Vertragskonformität kurzfristig zu dokumentieren – oft, ohne dass sie bisher mit vergleichbaren Anforderungen konfrontiert waren“, berichtet Ulrich Plate, Leiter der eco-Kompetenzgruppe „Kritische Infrastrukturen“.

• Auch außerhalb des Finanzsektors zeige sich bereits eine zunehmende Dynamik: „Unternehmen, die künftig unter NIS-2 fallen, fordern schon heute von ihren Zulieferern konkrete Nachweise zur Cyber-Sicherheit.“ Diese Richtlinie verpflichtet Unternehmen unter anderem dazu, auch ihre IKT-Lieferkette auf ein Mindestmaß an Sicherheit zu verpflichten.

Plate: „Was wir beobachten, ist eine Art regulatorische Vorwirkung – viele Auftraggeber fordern vertraglich bereits heute de facto NIS-2-konforme Sicherheit, obwohl die Anforderungen noch nicht in nationales Recht überführt wurden.“

Vertragsdruck steigt – NIS-2 und künftig auch DORA als Treiber

Laut aktuellen Schätzungen werden rund 30.000 Unternehmen in Deutschland künftig direkt unter die NIS-2-Regelung fallen. Doch auch nicht unmittelbar betroffene Dienstleister könnten die Auswirkungen spüren: In der Praxis werden Verträge angepasst, Sicherheitsfragebögen verschickt und Anbieter nur bei entsprechender „Compliance“ beauftragt. „Zulieferer geraten häufig früher in die Pflicht als ihre Auftraggeber“, warnt Plate und betont: „Wer sich nicht vorbereitet, wird bei Ausschreibungen künftig nicht mehr berücksichtigt.“

• DORA konkretisiere diese Entwicklung im Finanzbereich mit einem klaren Stichtag. Die Registrierungspflicht umfasse nicht nur eine Meldung an die BaFin, sondern auch umfassende Prüfpflichten – von der Risikoanalyse bis hin zur Auditfähigkeit.

Die Aufsicht könne künftig auch IT-Dienstleister kontrollieren, die nicht direkt reguliert sind. „DORA bringt IT-Dienstleister in die direkte Sichtbarkeit der Aufsicht“, erläutert Plate. Die Marktgrenze für Cyber-Sicherheit verschiebe sich – „wer im Geschäft bleiben möchte, muss sich der Regulierung anpassen“.

NIS-2- bzw. DORA-Compliance als Wettbewerbsvorteil nutzen

Besonders mittelständische Dienstleister stehen laut Plate vor der Aufgabe, ihre internen Prozesse auf neue Anforderungen auszurichten – etwa mit Zertifizierungen, Notfallplänen oder strukturierten Nachweisverfahren.

• Dabei könne eine frühzeitige Positionierung zum Vorteil werden. IT-Dienstleister sollten daher jetzt prüfen, wie gut sie auf regulatorische Anforderungen vorbereitet sind – und mögliche Lücken zügig schließen.

„IT-Compliance ist ein Differenzierungsmerkmal“, so Plates Fazit. Er rät: „Wer heute in Sicherheitsstandards investiert, stärkt die eigene Resilienz und gewinnt Vertrauen – auch bei neuen Auftragnehmern.“

Weitere Informationen zum Thema:

BaFin Bundesanstalt für Finanzdienstleistungsaufsicht, 11.04.2025
Informationsregister und Anzeigepflichten / Die BaFin informiert über Kapitel V, Abschnitt I, Artikel 28 Absatz 3 DORA

BaFin Bundesanstalt für Finanzdienstleistungsaufsicht, 09.04.2025
DORA – Digital Operational Resilience Act

datensicherheit.de, 17.03.2025
DORA in der Praxis: Stolpersteine und Empfehlungen für Unternehmen / Die Verordnung der EU soll die Cyberresilienz des Finanzsektors durch einheitliche und verbindliche Vorgaben verbessern

datensicherheit.de, 06.02.2025
Finanzsektor: Herausforderungen und zugleich Chancen durch DORA / Zahlreiche Unternehmen im Finanzsektor benutzen veraltete IT-Systeme, die nicht in der Lage sind, den hohen DORA-Anforderungen zu genügen

datensicherheit.de, 21.01.2025
DORA: Europas neue Cyber-Sicherheitsverordnung stellt nicht nur den Finanzsektor vor Herausforderungen / Selbst Unternehmen außerhalb der EU fallen unter DORA, wenn sie Dienstleistungen für EU-Finanzunternehmen erbringen

datensicherheit.de, 16.01.2025
DORA zwingt Finanzinstitute zum Handeln, um operative Widerstandsfähigkeit zu sichern / DORA-Ziel ist es, den Finanzsektor besser vor den ständig wachsenden Cyber-Bedrohungen zu schützen

datensicherheit.de, 31.10.2024
Fit für DORA in 3 Schritten: Birol Yildiz rät zum effektiven Incident Management zwecks Stärkung der Cyber-Sicherheit im Finanzsektor / Der „Digital Operational Resilience Act“ (DORA) verlangt von Unternehmen im Finanzsektor, ihre Prozesse im Vorfallsmanagement gründlich zu überprüfen