[datensicherheit.de, 21.04.2025] Laut einer eigenen Meldung der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Dr. Louisa Specht-Riemenschneider, hat sie eine Reise nach Washington D.C. angetreten, um die Datenschutz-Situation in den USA und im globalen Kontext zu erörtern. So sollen hierzu Gespräche unter anderem mit Vertretern des US-Department of Commerce, des US-Department of Justice und dem Privacy and Civil Liberties Oversight Board geführt werden.

Foto: BfDI/DH

Prof. Dr. Louisa Specht-Riemenschneider plädiert für international abgestimmte einheitliche Datenschutz-Standards und -Prinzipien

Personenbezogene Daten europäischer Bürger sollen auch künftig in den USA geschützt bleiben

Specht-Riemenschneider zeigt sich besorgt, ob die mit der EU vereinbarten Zusagen der USA im Rahmen des „EU-U.S. Data Privacy Framework“ weiter Bestand haben werden: „Für deutsche und europäische Bürgerinnen und Bürger ist es entscheidend, dass ihre personenbezogenen Daten auch künftig geschützt bleiben, wenn sie beispielsweise Dienste von US-Unternehmen nutzen oder die Dienste von deutschen oder europäischen Unternehmen, die auf Datentransfers in die USA angewiesen sind.“ Auch Unternehmen brauchten Klarheit darüber, ob darauf weiterhin Verlass ist.

Anlass ihrer Reise nach Washington D.C. ist die Teilnahme der BfDI am „Global Privacy Summit“ der International Association of Privacy Professionals (IAPP), der weltweit größten Konferenz im Bereich des Datenschutzes mit zahlreichen Teilnehmern aus Regulierungsbehörden, Regierungen, Wirtschaft, Wissenschaft und Zivilgesellschaft.

Auch im Zuge der rasanten Entwicklungen im KI-Bereich Datenschutz gewährleisten

„Der internationaler Schulterschluss mit meinen europäischen und internationalen Kolleginnen und Kollegen ist mir sehr wichtig“, so Specht-Riemenschneider. Sie betont: „Wir werden einen starken Grundrechtsschutz gewährleisten, selbst wenn die USA einen anderen Weg einschlagen sollten – was ich nicht hoffe.“

Geplant sind demnach auch Gespräche mit Unternehmensvertretern. Datenschutz im Zuge der rasanten Entwicklungen im Bereich Künstliche Intelligenz (KI) zu gewährleisten sei eine der Prioritäten der BfDI: „Nur international abgestimmt wird es uns gelingen, einheitliche Standards und Prinzipien im Datenschutz und in Bezug auf digitale Technologien und Dienste in einem globalen Marktumfeld voranzubringen und umzusetzen.“ Ziel seien sichere, grundrechtsfreundliche KI-Anwendungen für alle.

Weitere Informationen zum Thema:

iapp25
IAPP Global Privacy Summit 2025 / WASHINGTON, DC

datensicherheit.de, 03.09.2024
BfDI-Amtsantritt: Prof. Dr. Louisa Specht-Riemenschneider benennt Schwerpunkte ihres Wirkens / BfDI möchte vor allen Dingen lösungsorientierten Umgang beim Thema Datenschutz erreichen

[datensicherheit.de, 16.04.2025] In seiner aktuellen Stellungnahme geht Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, auf das Inkrafttreten der EU-Verordnung DORA („Digital Operational Resilience Act“) ein – nun wird demnach deutlich: „Cyber-Sicherheit ist längst kein technisches Randthema mehr, sondern elementarer Bestandteil der Finanzstabilität! Was bislang oft als nationale Aufgabe gehandhabt wurde, erhält nun einen verbindlichen, europäischen Rahmen – ein Novum, das weit über die Finanzbranche hinaus Signalwirkung entfaltet.“

Foto: KnowBe4

Dr. Martin J. Krämer rät dem Finanzsektor zu gelebter Sicherheitskultur, klaren Zuständigkeiten, transparenten Prozessen und regelmäßigen Schulungen

DORA greift dort, wo Finanzinstitute besonders angreifbar sind

„DORA greift dort, wo Finanzinstitute besonders angreifbar sind – bei ihrer wachsenden Abhängigkeit von digitalen Systemen und externen Dienstleistern.“ Diese Verordnung verlange weitreichende Maßnahmen in fünf zentralen Bereichen:

1. dem IKT-Risikomanagement,
2. dem Vorfallmanagement,
3. der operativen Resilienzprüfung,
4. dem Drittparteienrisiko sowie dem
5. Informationsaustausch.

Insbesondere Letzteres sei bemerkenswert – denn der Austausch über Cyber-Bedrohungen innerhalb der Branche werde erstmals ausdrücklich gefördert.

Viele Finanz-Unternehmen nutzen DORA-Einführung als Katalysator

Ein zentrales Element sei das Management von Drittanbieter-Risiken: Banken, Versicherungen und Kapitalverwaltungsgesellschaften müssten künftig deutlich striktere Prüfungen ihrer IT-Dienstleister vornehmen – insbesondere „Cloud“-Anbieter gerieten in den Fokus. Verträge müssten angepasst, Risiken regelmäßig bewertet und Notfallpläne etabliert werden. Krämer betont: „Diese Anforderungen führen dazu, dass sich die Anbieterlandschaft verändern wird: Nur wer robuste Sicherheitsstandards nachweisen kann, wird sich langfristig behaupten.“

Gleichzeitig werde auch das unternehmensinterne Krisenmanagement neu ausgerichtet. Unternehmen müssten sicherstellen, „dass sie Vorfälle schnell erkennen, koordinieren und wirksam bewältigen können“. Dies erfordere eine stärkere Verzahnung zwischen IT, Risiko- und Compliance-Funktionen sowie den jeweiligen Fachabteilungen. Viele Unternehmen nutzten die Einführung von DORA daher als Katalysator, um bestehende „Silostrukturen“ aufzubrechen und Sicherheitsprozesse ganzheitlicher aufzustellen.

Es geht um den Aufbau einer neuen digitalen Risikokultur der Finanzbranche

Doch der gesetzliche Rahmen allein reiche nicht: „DORA fordert mehr als nur eine formale Erfüllung technischer Vorgaben – es geht um den Aufbau einer neuen digitalen Risikokultur.“ Dazu gehörten regelmäßige Schulungen, klare Kommunikationswege im Krisenfall, eine transparente Fehlerkultur und die Bereitschaft, aus Sicherheitsvorfällen zu lernen. „Der Wandel beginnt also nicht bei der Technik, sondern im Denken!“

Nicht zuletzt werde sichtbar, wo die EU offensichtlich noch Nachholbedarf hat: „Die Umsetzung verläuft national sehr unterschiedlich – mit weitreichenden Folgen für international tätige Finanzunternehmen.“ Während Länder wie Deutschland, die Niederlande oder Luxemburg proaktiv handelten und konkrete Leitlinien erlassen hätten, blieben andere Mitgliedstaaten hinter den Erwartungen zurück. Dies berge die Gefahr „regulatorischer Unwucht“ und begünstige sogenannte Arbitrage-Effekte – also das gezielte Ausweichen in Länder mit laxerer Aufsicht.

EU-Rahmenwerke sollen Unternehmen Orientierung und Verbindlichkeit bieten – insbesondere in Kritischen Sektoren wie dem Finanzwesen

Mit DORA und der parallel wirkenden NIS2-Richtlinie etabliere Europa wichtige Rahmenwerke, welche Unternehmen Orientierung und Verbindlichkeit geben sollten – insbesondere in Kritischen Sektoren wie dem Finanzwesen. „Doch Regelwerke allein schaffen noch keine Sicherheit!“

Entscheidend sei, dass Unternehmen den Geist dieser Vorschriften verinnerlichten, unterstreicht Krämer zum Abschluss und rät zu einer gelebten Sicherheitskultur, klaren Zuständigkeiten, transparenten Prozessen und nicht zuletzt zu regelmäßige Schulungen, um das Sicherheitsbewusstsein aller Mitarbeiter stärken. „Nur so lässt sich die digitale Resilienz erreichen, die Europa in Zeiten wachsender Cyber-Bedrohungen dringend braucht!“

Weitere Informationen zum Thema:

BaFin Bundesanstalt für Finanzdienstleistungsaufsicht, 09.04.2025
DORA – Digital Operational Resilience Act

datensicherheit.de, 13.04.2025
DORA-Frist vom 14. und dem 28. April 2025: Lieferkettensicherheit als Herausforderung / DORA-Registrierungspflicht umfasst nicht nur die Meldung an die BaFin, sondern auch noch umfassende Prüfpflichten – von der Risikoanalyse bis hin zur Auditfähigkeit

datensicherheit.de, 17.03.2025
DORA in der Praxis: Stolpersteine und Empfehlungen für Unternehmen / Die Verordnung der EU soll die Cyberresilienz des Finanzsektors durch einheitliche und verbindliche Vorgaben verbessern

datensicherheit.de, 06.02.2025
Finanzsektor: Herausforderungen und zugleich Chancen durch DORA / Zahlreiche Unternehmen im Finanzsektor benutzen veraltete IT-Systeme, die nicht in der Lage sind, den hohen DORA-Anforderungen zu genügen

datensicherheit.de, 21.01.2025
DORA: Europas neue Cyber-Sicherheitsverordnung stellt nicht nur den Finanzsektor vor Herausforderungen / Selbst Unternehmen außerhalb der EU fallen unter DORA, wenn sie Dienstleistungen für EU-Finanzunternehmen erbringen

datensicherheit.de, 16.01.2025
DORA zwingt Finanzinstitute zum Handeln, um operative Widerstandsfähigkeit zu sichern / DORA-Ziel ist es, den Finanzsektor besser vor den ständig wachsenden Cyber-Bedrohungen zu schützen

[datensicherheit.de, 14.04.2025] Der eco – Verband der Internetwirtschaft e.V. hat seine Stellungnahme zum „AI Continent Action Plan“ der EU-Kommission am 9. April 2025 veröffentlicht und fordert für Europa eine „mutige Umsetzung der KI-Innovationswende“.

Foto: eco

Oliver Süme: Europa muss eine echte technologische Souveränität im KI-Bereich erreichen!

Der „AI Continent Action Plan“ soll seitens der EU-Kommission ein ambitioniertes Signal setzen

Mit dem am 9. April 2025 veröffentlichten „AI Continent Action Plan“ soll seitens der EU-Kommission ein ambitioniertes Signal gesetzt werden: „Europa will KI-Standort Nummer 1 werden – mit gezielten Investitionen in Rechenleistung, Daten-Infrastrukturen, Fachkräften und Anwendungsförderung.“

Aus Sicht des eco ist dies ein „dringend nötiger Paradigmenwechsel in der europäischen KI-Politik“ – hin zu mehr Innovation, Skalierbarkeit und Wettbewerbsfähigkeit und auch, um die KI-Anwendung tatsächlich in die Breite zu bekommen.

Europa darf nicht länger der globalen KI-Entwicklung hinterherlaufen

„Der ,AI Action Plan’ kommt zur richtigen Zeit. Europa darf nicht länger der globalen KI-Entwicklung hinterherlaufen!“, fordert der eco-Vorstandsvorsitzende, Oliver Süme, und er betont: „Jetzt braucht es Umsetzungskraft, statt weiterer regulatorischer Blockaden.“

Besonders begrüßt der eco demnach, dass die Kommission mit Initiativen wie den sogenannten AI-Fabriken und geplanten Gigafactories, dem „InvestAI“-Programm sowie der angestrebten „Cloud“- und Datenstrategie echte Hebel identifiziert hat, um KI-Innovationen in Europa zu beschleunigen.

Bekenntnis zur Verdreifachung der europäischen Rechenzentrumskapazität bis 2030

Auch das Bekenntnis zur Verdreifachung der europäischen Rechenzentrumskapazität bis 2030 wertet Süme als „ein positives Signal“, welches nun mit konkreten Förder- und Vereinfachungsmaßnahmen untermauert werden müsse.

Positiv sei zudem, „dass erste Schritte zur Entlastung von Unternehmen beim ,AI Act’ angekündigt wurden, etwa durch einen zentralen ,AI Act Service Desk’ und vereinfachte Informationszugänge“. Entscheidend sei nun, dass diesen Worten konkrete, schnell wirksame Maßnahmen folgten – insbesondere für kleine und mittlere Unternehmen (KMU).

Der eco fordert laut Süme für Europa:

• eine verbindliche, praxisnahe KI-Förderstrategie auf EU-Ebene
• einen „Digital-Omnibus“ zur Vereinfachung bestehender Vorschriften
• mehr Unterstützung für KMU bei der Umsetzung des „AI Act“
• strategische Maßnahmen zur Fachkräftegewinnung, u.a. durch gezielte Zuwanderung, Aus- und Weiterbildungsangebote
• eine systematische Einbindung der Wirtschaft in allen Phasen der Umsetzung
• gezielte Investitionen in europäische Rechen- und Dateninfrastrukturen und deren Nachhaltigkeit mit „Gigafactories“ als zentralen Ankern in Europa

Nur so könne Europa eine echte technologische Souveränität im KI-Bereich erreichen und im globalen Wettbewerb mit den USA und China bestehen.

Weitere Informationen zum Thema:

European Commission
Shaping Europe’s leadership in artificial intelligence with the AI continent action plan

bitkom
Bitkom zum AI Continent Action Plan der EU

Digital Austria
Künstliche Intelligenz / AI Continent Action Plan

datensicherheit.de, 17.03.2025
Deutsche Wirtschaft sollte KI als Chance begreifen

[datensicherheit.de, 11.04.2025] „Der Datenschutz ist ein wichtiger Indikator für das Werteverständnis eines Landes oder eines Staatenbundes“, so Alain Blaes, Gründer und Geschäftsführer der Kommunikationsagentur PR-COM, in seiner aktuellen Stellungnahme. Gleichzeitig sei er aber auch ein elementarer Faktor im weltweiten Ringen um wirtschaftliche, politische und militärische Macht. Die einflussreichsten Wirtschaftsregionen – USA, China und EU – hätten dabei sehr unterschiedliche Vorstellungen über den Sinn, den Zweck und die Grenzen von Datenschutz.

Foto: PR-COM GmbH

Alain Blaes: Zielvorstellungen, Zuständigkeiten und konkrete Ausgestaltung des Datenschutzes zeigen in der EU, in China und den USA sehr viele Facetten…

Differenzen in Datenschutzgesetzen und -regularien

Die Zielvorstellungen, Zuständigkeiten und konkrete Ausgestaltung des Datenschutzes zeigten in der EU, in China und den USA sehr viele Facetten: „Das ist schon an der Entstehungsgeschichte der entsprechenden Regularien abzulesen.“

• In der EU seien sie das einheitliche, für alle verbindliche Verhandlungsergebnis der europäischen Staaten als Kompromiss (kooperativ).
• In den USA dagegen existiere ein Flickenteppich verschiedener Gesetze und Regularien (fragmentiert),
• während in China der Staat den Datenschutz regele und kontrolliere, und dabei sowohl Gemeinwohl- als auch Eigeninteressen verfolge (zentralistisch).

„Diese Differenzen spiegeln sich in den Datenschutzgesetzen und -regularien, in den Rechten Betroffener wie auch im Umgang mit Verstößen“, erläutert Blaes.

1. Datenschutz-Aspekt: Die grundsätzlichen Wertvorstellungen

In der EU werde der Datenschutz als unveräußerliches Grundrecht, Teil der Menschenwürde und des Individualschutzes betrachtet. „Die EU legt größten Wert auf den Schutz der Privatsphäre und die Autonomie des Einzelnen in einer Welt, in der Daten als Faktor und Wert (Macht, Kriminalität, Wirtschaft) immer wichtiger werden.“

• In den USA werde Datenschutz dagegen primär als Schutz der persönlichen Freiheiten verstanden, wobei individuelle Vereinbarungen eine größere Rolle spielten. „Datenschutz wird dort nicht als Grundrecht betrachtet, sondern als Teil des Verbraucherschutzes.“
• In China liege die Betonung nicht auf der Privatsphäre des Individuums oder seiner Freiheit, sondern auf dem Interesse des Staates. „Er leitet seine Legitimität, persönliche Daten kontrollieren und nutzen zu dürfen, daraus ab, das gesellschaftliche Wohl zu fördern, die politische Stabilität zu wahren und das Land im internationalen Wettbewerb zu stärken.“

2. Datenschutz-Aspekt: Art und Umfang der Regulierungen

Seit 2018 habe die EU mit der Datenschutz-Grundverordnung (DSGVO) den weltweit umfassendsten und strengsten Datenschutzrahmen. „Ihr zentrales Prinzip ist die Sicherung der persönlichen Datensouveränität und die Informationelle Selbstbestimmung. Daher regelt sie vor allem die Anforderungen an die Erhebung, Verarbeitung und Speicherung von personenbezogenen Daten.“ Sie gelte unmittelbar und einheitlich in allen EU-Mitgliedstaaten, solle den freien Verkehr personenbezogener Daten innerhalb der EU fördern und gleichzeitig die Rechte der betroffenen Personen und die Durchsetzungsbefugnisse der Aufsichtsbehörden stärken.

• In den USA gelte kein landesweites einheitliches Datenschutzgesetz. „Stattdessen gibt es unterschiedliche Verordnungen in den einzelnen Bundesstaaten, wie den ,California Consumer Privacy Act’ (CCPA) oder den ,Colorado Privacy Act’ (CPA).“ Außerdem existierten Datenschutzgesetze für spezifische Branchen, Bereiche und Sektoren, etwa für Gesundheitsdaten (HIPAA) oder den Datenschutz von Kindern im Internet (COPPA). Auf übergeordneter Ebene überwache die Federal Trade Commission (FTC) die Einhaltung der Richtlinien.
• In China liege der Datenschutz in der Hand des Staates, sei zentralistisch geregelt und gelte für öffentliche und private Unternehmen, die personenbezogene Daten in China verarbeiten. „Das Gesetz über den Schutz persönlicher Daten (Personal Information Protection Law / PIPL) wurde 2021 eingeführt.“ Ähnlich wie die DSGVO regele es die Rechte von betroffenen Personen und die Vorgaben für Unternehmen. Die größten Unterschiede beträfen die Rolle und die Rechte des Staates bei der Überwachung und der Datenkontrolle.

3. Datenschutz-Aspekt: Die Rechte der Betroffenen

Die DSGVO der EU gebe strenge Vorgaben für die Einwilligung zur Datennutzung vor, die transparent und mit freiwilligem Einverständnis erfolgen müsse. „Sie gewährt EU-Bürgern zudem weitreichende Rechte in Bezug auf Auskunft über die gespeicherten Daten, deren Berichtigung und Löschung (,Recht auf Vergessenwerden’).“

• In den USA hingen Art und Umfang dieser Rechte von dem jeweiligen Staat oder dem betroffenen Sektor ab. „In der Regel sind sie jedoch nicht so weitreichend wie die Regelungen der DSGVO.“
• Das chinesische PIPL gewähre zwar ähnlich wie die DSGVO ebenfalls individuelle Rechte bezüglich des Zugangs und der Korrektur von Daten – sie reichten aber nicht so weit. „Es sieht zudem staatlich verordnete Einschränkungen für die Möglichkeit der Datenlöschung oder des Widerspruchs gegen die Verarbeitung von Daten vor.“

4. Datenschutz-Aspekt: Durchsetzung, Kontrolle und Sanktionierung

In der EU drohten bei Verstößen hohe Bußgelder : Die DSGVO sehe empfindliche Beträge vor, wenn Unternehmen gegen Datenschutzvorgaben verstoßen. „Diese Strafen können bis zu vier Prozent des weltweiten Jahresumsatzes oder 20 Millionen Euro betragen, je nachdem, welcher Wert höher ist.“ Zuständig für die Verfolgung von Datenschutzverletzungen seien die Europäische Datenschutzbehörde (EDPB) und die nationalen Aufsichtsbehörden.

• Kontrolle, Strafverfolgung und Bestrafung von Datenschutzverstößen hingen in den USA von dem jeweiligen Staat, respektive dem industriellen Sektor ab. „Übergreifend spielt die Federal Trade Commission (FTC) eine wichtige Rolle bei der Überwachung.“ Ihre Befugnisse seien allerdings vergleichsweise begrenzt.
• Die Einhaltung der PIPL-Verordnungen werde in China grundsätzlich vom Staat überwacht und sehe bei Übertretungen ebenfalls hohe Strafen vor. „Gleichzeitig steuert er die Strafverfolgung in Abhängigkeit davon, ob Interessen des Staates betroffen sind.“ Der Datenschutz werde also instrumentell je nach Eigeninteresse behandelt. „Entscheidend ist, was dem Staat dient, etwa beim Thema ,Social Scoring’.“

Datenschutz in den USA, China und der EU mit sehr unterschiedlichem Stellenwert

„Der Datenschutz genießt in den USA, China und der EU einen sehr unterschiedlichen Stellenwert, obwohl die rechtlichen Rahmenbedingungen teilweise gar nicht so furchtbar weit auseinanderliegen“, bilanziert Blaes.

So seien einige Regularien von DSGVO und PIPL recht ähnlich. „Doch entscheidend ist der Umgang mit diesen Gesetzen und deren praktische Umsetzung. Und die könnten konträrer kaum sein.“

Weitere Informationen zum Thema:

datensicherheit.de, 01.04.2025
Nur 4 Länder verbesserten sich 2024: Europas Datenschutz weiter im Krisenmodus / Analyse der Datenschutz-Verstoßstatistiken weist auf weitgehend alarmierenden Rückgang der Sicherheitsstandards hin

datensicherheit.de, 27.01.2025
Umfrage zum Europäischen Datenschutztag: Mehrheit der Deutschen findet Datenschutz im Netz zu kompliziert / eco-Verband gibt Tipps zum verantwortungsbewussten Umgang mit Datenschutzrichtlinien

datensicherheit.de, 20.01.2025
Pseudonymisierung: Europäischer Datenschutzausschuss hat Leitlinien beschlossen / Berliner Beauftragte für Datenschutz und Informationsfreiheit begrüßt Beschluss

[datensicherheit.de, 08.04.2025] In der aktuellen Debatte um mögliche „Gegenzölle“ und wirtschaftspolitische Maßnahmen warnt der eco – Verband der Internetwirtschaft e.V. vor den „negativen Folgen einer Digitalsteuer“. Eine solche Maßnahme würde nicht nur internationale Tech-Konzerne treffen, sondern könnte auch die deutsche und europäische Digitalwirtschaft erheblich belasten.

Bild: eco

Oliver Süme mahnt angesichts der aktuellen aufgeregten Diskussion um „Gegenzölle“ zu Weitsicht

Digitale Transformation der Wirtschaft droht ins Stocken zu geraten

Der eco-Vorstandsvorsitzende, Oliver Süme, mahnt daher zu Weitsicht und warnt vor einem Rückschlag für den digitalen Fortschritt: „Eine Digitalsteuer ist insofern problematisch, als dass sie insbesondere auch die deutsche und europäischen Digitalwirtschaft treffen würde!“

Es sieht daher die Gefahr, dass die Digitale Transformation der Wirtschaft ins Stocken geraten könnte.

Digitalisierung muss aber mehr denn je konsequent vorangetrieben werden

Süme appelliert: „Wir müssen Digitalisierung aber mehr denn je konsequent vorantreiben, um im globalen Technologie- und KI-Wettbewerb aufzuholen und wettbewerbsfähig zu bleiben!“

Man müsse bei der Diskussion um „Gegenzölle“ unbedingt darauf achten, „dass wir uns mit Blick auf Maßnahmen im Bereich der Digitalwirtschaft nicht ins eigene Knie schießen“.

Weitere Informationen zum Thema:

datensicherheit.de, 03.04.2025
Digitale Souveränität Europas: IT-Sicherheit „Made in EU“ als Basis

WIKIPEDIA
Digitalsteuer

IHK München und Oberbayern
Ökonomische und fiskalische Folgen der EU-Digitalsteuer / Die Besteuerung der Digitalwirtschaft

golem.de, Achim Sawall, 08.04.2025
Globaler Handelskrieg: Bitkom warnt vor Digitalsteuer gegen US-Zölle / Eine zollpolitische Frage mit neuen Steuern zu beantworten, sei „grundfalsch“, sagt der Bitkom. Nötig sei aber eine robuste Reaktion gegen Trump.

zdfheute, Simon Pfanzelt, 05.04.2025
Reaktion auf Trump-Zölle:Kommt die Digitalsteuer für Tech-Giganten? / Meta, Google, Amazon: Soll Europa US-Tech-Konzerne zur Kasse bitten? Trumps Zoll-Hammer befeuert die Diskussion um eine Digitalsteuer. Was dafür spricht – und was dagegen.

[datensicherheit.de, 06.04.2025] „Unternehmen, die dem ,EU Cyber Resilience Act’ (CRA) unterliegen, sollten sich beeilen, ihre Produkte den Anforderungen des CRA anzupassen“, betont Jan Wendenburg, „CEO“ von ONEKEY. Er erinnert daran, dass die ersten Vorschriften des CRA bereits ab September 2026 und alle weiteren ab dem 11. Dezember 2027 Anwendung finden. „Ab diesem Zeitpunkt müssen alle vernetzten Produkte die Cyber-Sicherheitsanforderungen des ,Cyber Resilience Act’ vollständig erfüllen“, stellt Wendenburg klar. Hersteller, Importeure und Händler seien gleichermaßen gefordert: Ohne CRA-Konformität dürfe das CE-Kennzeichen nicht vergeben, und so die betroffenen Produkte nicht mehr in der EU verkauft werden.

CRA stellt bisher umfassendste Regelung zur Cyber-Sicherheit vernetzter Produkte in Europa dar

Der am 10. Dezember 2024 verabschiedete CRA der Europäischen Kommission stelle die bisher umfassendste Regelung zur Cyber-Sicherheit vernetzter Produkte in Europa dar. Für alle Hersteller von Geräten „mit digitalen Elementen“, d.h. alle sogenannten Smarten Produkte, egal ob für Industrie, „Consumer“ oder Unternehmen, drängt demnach die Zeit, denn die neuen Sicherheitsvorgaben müssen bereits innerhalb der Produktentwicklung berücksichtigt werden:

„Angesichts Produktlebens­zyklen, die in der Regel viele Jahre umfassen, sollte dem Thema CRA also höchste Priorität eingeräumt werden, um auch künftig auf dem EU-Markt verkaufen zu können“, legt Wendenburg nahe. Zentrale Elemente für die CRA-Compliance sind das Prinzip „Security by Design“ sowie eine kontinuierliche Risikobewertung und Schwachstellenbehebung.

Darüber hinaus fordert der EU CRA eine „Software Bill of Materials“ (SBOM), um Softwarekomponenten rückverfolgbar zu machen und Risiken in der Lieferkette frühzeitig zu erkennen. Der CRA kategorisiert Produkte in die drei Sicherheitsklassen: „Kritisch“, „Wichtig“ und „Sonstige“. In jeder Klasse sind entsprechende Anforderungen zu erfüllen. Die Sicherheit der Lieferkette ist hierbei besonders relevant, da Schwachstellen in Drittanbieter- und Open-Source-Komponenten die Integrität des Gesamtsystems gefährden können.

Neben dem CRA müssen weitere regulatorische Rahmenbedingungen wie „RED II“ (EN 18031) und „IEC 62443-4-2“ Berücksichtigung finden

Die Umsetzungsfrist von 24, bzw. 36 Monaten seit Inkrafttreten am 10. Dezember 2024 stellt Hersteller vor große Herausforderungen, da Produktentwicklungen oft Jahre dauern. Um den Anforderungen des CRA gerecht zu werden, sollten Unternehmen schnellstmöglich „Best Practices“ zur Cyber-Sicherheit implementieren.

Dabei gilt es, neben dem CRA weitere regulatorische Rahmenbedingungen wie „RED II“ (EN 18031) und „IEC 62443-4-2“ zu berücksichtigen. „Spezielle Compliance-Tools können helfen, die heutigen und künftigen Anforderungen zu erfüllen, indem sie eine schnelle, einfache und damit effiziente Cyber-Sicherheitsbewertung der Software von Produkten ermöglichen.“ Beispielhaft hierfür stehe der zum Patent angemeldete „Compliance Wizard“ von ONEKEY.

Wendenburg gibt zu bedenken: „Unternehmen, die ihre Produktstrategie rechtzeitig anpassen, sichern nicht nur ihre Marktzulassung in der EU, sondern auch ihre Wettbewerbsfähigkeit. Product-Lifecycle-Cybersecurity, proaktive ,Compliance’ und ,Supply Chain’-Transparenz werden zu unverzichtbaren Erfolgsfaktoren für alle Hersteller auf dem EU Markt.“

CRA-Anforderungen und ihre Auswirkungen

Um den neuen Anforderungen gerecht zu werden, müssten Unternehmen in der Lage sein, Sicherheitslücken in ihren Produkten zu erkennen und eine kontinuierliche Überwachung über den Produktlebenszyklus durchzuführen. „Das bedeutet, dass jede Softwareversion geprüft und – solange aktiv – ununterbrochen auf mögliche neue Schwachstellen überwacht werden muss.“ Neue Schwachstellen seien laufend zu bewerten und bei Bedarf zu melden und/oder Maßnahmen zur Reparatur zu ergreifen.

„Die CRA-Vorgaben betreffen den gesamten Lebenszyklus Smarter Produkte – von der Planung und Entwicklung bis hin zum Betrieb und der anschließenden Außerbetriebnahme.“ Hersteller seien verpflichtet, Sicherheitsupdates für ihre Produkte über einen Zeitraum von mindestens fünf Jahren anzubieten. Sollte die Nutzung des Produkts kürzer sein, könne dieser Zeitraum entsprechend verkürzt werden. „In vielen Industriebereichen jedoch sind Produktlaufzeiten von zehn oder 20 Jahren – oder sogar länger – keine Seltenheit. Das bedeutet, dass auch die Überwachung, Wartung, das Schwachstellen-Management und die Patch-Strategien über einen entsprechend langen Zeitraum aufrechterhalten werden müssen“, stellt Wendenburg klar.

Sein Fazit: „Die Umsetzung des ,Cyber Resilience Act’ stellt Hersteller vor erhebliche praktische Herausforderungen.“ Er nennt konkrete Beispiele:

• „In der Industriellen Fertigung, in der Steuerungs- und Produktionsanlagen über Jahrzehnte genutzt werden und regelmäßige Sicherheitsupdates erforderlich sind, um die Konformität zu gewährleisten.
• In der IoT-Industrie, etwa bei Smarten Haushaltsgeräten, ist die ständige Pflege der ,Software Bill of Materials’ ebenfalls notwendig, um potenzielle Schwachstellen schnell zu identifizieren und zu beheben.“

Die Unternehmen müssten mit ihren Zulieferern eng zusammenarbeiten und Werkzeuge zur Prüfung von Fremdsoftware, wie Binär-Analyse-Lösungen einsetzen, um eine Sicherheitsüberwachung bei Wareneingang und über den gesamten Lebenszyklus des Produkts hinweg zu gewährleisten. „Nur automatisierte Prozesse und Werkzeuge zur Schwachstellen- und ,Compliance’-Analyse ermöglichen die neuen gesetzlichen Anforderungen wirtschaftlich vertretbar und effizient zu erfüllen.“

Weitere Informationen zum Thema:

ONEKEY
Prepare for the EU Cyber Resilience Act with a Tailored Assessment

datensicherheit.de, 07.11.2024
ONEKEY-Report warnt Industrie vor Einkauf von Cyber-Sicherheitslücken / „Smart Factory“ ein großartiges Konzept – aber ONEKEY-CEO sieht damit verbundene Cyber-Risiken noch zu oft als vernachlässigt an

datensicherheit.de, 09.10.2024
SBOM: Software-Stücklisten laut ONEKEY-Studie noch immer kein Standard in der Industrie / Eine SBOM gilt inzwischen als unverzichtbare Voraussetzung für wirksamen Schutz gegen Cyber-Angriffe

datensicherheit.de, 24.10.2024
CRA-Verabschiedung ein Paradigmenwechsel für die Produkt-Cyber-Sicherheit / CRA erzwingt, vernetzte Produkte über gesamten Lebenszyklus hinweg mit neuen Updates zu versehen

datensicherheit.de, 06.06.2024
Smarte Produkte mit bekannten Sicherheitslücken: Cyber Resilience Act gebietet Lieferstopp / Laut Cyber Resilience Act dürfen Geräte mit bekannten ausnutzbaren Schwachstellen demnächst nicht mehr ausgeliefert werden

[datensicherheit.de, 03.04.2025] Die geopolitischen Herausforderungen der letzten Jahre zeigen laut ESET: „Europa muss unabhängiger werden – auch in der IT-Sicherheit!“ Es wird davor gewarnt, sich auf Anbieter außerhalb der EU zu verlassen – ESET richtet daher an Unternehmen sowie Behörden die Forderung, sich bewusst für europäische Lösungen zu entscheiden.

Abbildung: ESET

IT-Sicherheitslösungen: Europäische Hersteller spielen inzwischen eine Schlüsselrolle

44 Prozent der deutschen Unternehmen setzen bereits auf IT-Sicherheitslösungen aus der EU

Die Fakten sprechen demnach eine klare Sprache: Laut aktuellen Analysen gehört Europa zu den am stärksten von Cyber-Angriffen betroffene Regionen weltweit. „Allein in Deutschland waren 81 Prozent der Unternehmen von digitaler Kriminalität in verschiedensten Formen betroffen. Gleichzeitig wird deutlich, dass Cyber-Sicherheit nicht nur ein technisches, sondern auch ein geopolitisches Thema ist.“ Die Frage sei daher nicht, ob Unternehmen eine solche Lösung benötigten, sondern welche.

„In Zeiten politischer Unsicherheiten darf es keine Zweifel an der Verlässlichkeit von IT-Sicherheitslösungen geben“, unterstreicht Thorsten Urbanski, Leiter der TeleTrust Initiative „IT Security made in EU“ und „Director of Marketing DACH“ bei ESET. Er führt erläuternd aus: „Nur wer auf europäische Anbieter setzt, kann sichergehen, dass Cyber-Sicherheit nicht von geopolitischen Spannungen oder externen Interessen beeinflusst wird. Denn: Im Vergleich zu anderen Bereichen ist Europa im Bereich Cyber-Abwehr und IT-Sicherheit technologisch gut aufgestellt. Bisher mangelte es aber nicht selten am Bewusstsein auf Seiten der Einkäufer.“

Ein Umdenken auf Unternehmensseite hat indes nach Einschätzung von ESET bereits begonnen: „Ganze 44 Prozent der deutschen Unternehmen setzen demnach auf IT-Sicherheitslösungen aus der EU. Zu diesem Ergebnis kommt eine von ESET durch Yougov durchgeführte repräsentative Umfrage. Die gesamten Ergebnisse werden in Kürze veröffentlicht.“

Zeichen stehen auf Wechsel: In Zukunft werden Unternehmen vermehrt IT-Sicherheitslösungen aus Europa beziehen

Die EU habe erkannt, dass Sicherheit nicht nur auf dem physischen, sondern zukünftig auch auf dem „digitalen Schlachtfeld“ gewährleistet werden müsse. Die EU investiere bis zu 800 Milliarden Euro in die Verteidigung – einschließlich der Cyber-Sicherheitsinfrastruktur. Denn Hacker-Angriffe auf Kritische Infrastrukturen (KRITIS) könnten verheerende Auswirkungen haben und die Nationale Sicherheit ebenso bedrohen wie konventionelle Angriffe, beispielsweise weitläufige Blackouts.

Europäische Hersteller wie z.B. ESET spielten hierbei eine Schlüsselrolle: „IT-Sicherheitslösungen ‚Made in EU‘ stehen für Datenschutz, Transparenz, Rechtsstaatlichkeit“, betont Urbanski. Ihre Kunden könnten sich darauf verlassen, dass es in ihren Lösungen keine „versteckten Hintertüren“ oder sogar „Kill-Switches“ für staatliche Akteure gebe.

„Alle Zeichen stehen auf Wechsel: In Zukunft werden europäische und deutsche Unternehmen vermehrt auf IT-Sicherheitslösungen aus Europa setzen. Sie entsprechen damit nicht nur der hiesigen strengen Gesetzeslage, sondern stärken mit ihren Entscheidungen den Standort Europa.“ Für Distributoren, Systemhäuser und Reseller bedeutet dies laut ESET: Der Markt wird sich hin zu mehr europäischen Produkten und Dienstleistungen entwickeln – der Bedarf nach starken Sicherheitslösungen ist da und das nicht erst seit den aktuellen Ereignissen.

IT-Reseller sollten ihr Portfolio mit starken Anbietern aus der EU ergänzen

Die IT-Sicherheit sei ein Wachstumsmarkt – insbesondere in global herausfordernden Zeiten. IT-Reseller sollten daher ihr Portfolio mit starken Anbietern aus der EU ergänzen. Die jüngsten Entwicklungen hätten nämlich gezeigt, dass IT-Sicherheitslösungen nicht nur ein technisches, sondern auch ein strategisches Thema seien. „Die aktuelle Lage sollte ein Weckruf für alle Unternehmen sein, sich unabhängiger aufzustellen!“

Mit einer europäischen IT-Sicherheitslösung setzten Unternehmen auf starken Schutz und umgingen gleichzeitig viele Gefahren. „Versteckte Hintertüren“, „Kill Switches“ und bewusst offengelassene Sicherheitslücken stellten eine große Gefahr für die Integrität von Netzwerken dar.

Urbanskis Fazit: „Es gibt keinen Grund mehr, auf außereuropäische IT-Sicherheitslösungen zu setzen: Europäische Unternehmen müssen ihre Digitale Souveränität stärken und sich für eine sichere, unabhängige Zukunft entscheiden!“

Weitere Informationen zum Thema:

bitkom, 28.08.2024
Angriffe auf die deutsche Wirtschaft nehmen zu

TeleTrusT
IT Security made in EU

eseT
IT-Sicherheit ist Vertrauenssache

datensicherheit.de, 21.03.2025
Zero Trust noch sicherer durch europäische Datensouveränität / IT-Security in hybriden IT-Infrastrukturen

datensicherheit.de, 21.03.2025
US-Clouds: Erste Warnungen vor Gefährdung der Datensouveränität in Europa / Unternehmen und Organisationen speichern und verarbeiten sensible Daten bei US-basierten „Cloud“-Anbietern – mangels europäischer Alternativen

datensicherheit.de, 20.03.2025
Neuer TeleTrusT-Podcast zur Digitalen Souveränität online / Im neuen TeleTrusT-Podcast „IT Security made in EU“ werden unter anderem die Kapazitäten der EU bezüglich der IT-Sicherheit näher beleuchtet

[datensicherheit.de, 20.03.2025] Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) widmet sich angesichts aktueller geopolitischer Spannungen und wachsender Cyber-Bedrohungen der Frage, wie die Europäische Union (EU) ihre Digitale Souveränität stärken kann, welche Abhängigkeiten von außereuropäischen Anbietern bestehen und welche Investitionen für eine resiliente IT-Sicherheitsstrategie erforderlich sind. So sollen im neuen TeleTrusT-Pod­cast „IT Security made in EU“ (s.u.) unter anderem die Kapazitäten der EU bezüglich IT-Sicherheit näher beleuchtet werden.

Erörterung u.a., warum die EU noch keine Souveränität in der IT-Sicherheit erreicht hat

In diesem neuen TeleTrusT-Podcast „IT Security made in EU“ behandeln Moderator Carsten Vossel (CCVOSSEL) und Interview-Gast Thorsten Urbanski (ESET) u.a. diese Inhalte:

• Welche aktuellen Veränderungen haben Auswirkungen auf die IT-Sicherheit im EU-Raum?
• Hat die EU die Ressourcen, um bei IT-Sicherheit Souveränität zu erlangen?
• Weshalb hat Europa bisher noch keine Souveränität in der IT-Sicherheit erreicht?
• Wie abhängig ist die EU von außereuropäischen Anbietern?
• Welche Aussagekraft hat das Vertrauenszeichen „IT Security made in EU“ und für wen?
• Wieviel investieren Unternehmen in der EU in IT-Sicherheit pro Kopf und allgemein?

IT-Sicherheit sollte bei allen EU-Mitgliedstaaten ganz oben auf der Agenda stehen

Thorsten Urbanski, „Director of Marketing ESET DACH“ und Leiter der TeleTrusT-Arbeitsgruppe „IT Security made in EU“, führt hierzu aus: „IT-Sicherheit muss bei allen EU-Mitgliedstaaten ganz oben auf der Agenda stehen! Eine umfassende europäische Cyber-Sicherheitsstrategie ist zwingend erforderlich, wenn wir die Digitale Souveränität in Europa schützen wollen.“ Unternehmen und staatliche Institutionen müssten wissen, auf welche Hersteller sie zukünftig technologisch und geopolitisch setzen können.

Keine Kompromisse eingehen und bewusst auf „IT Security made in EU“ setzen

Wenn man die vergangenen Jahre genau analysiere, so müsse man resümieren, „dass die vielfach proklamierte Zeitenwende bereits weit vor dem Ukraine-Krieg in der IT-Sicherheit begonnen hat“. Von daher sollten die politischen und ökonomischen Verantwortlichen keine Kompromisse mehr eingehen und bewusst auf „IT Security made in EU“ setzen. „Im Vergleich zu anderen Technologiebereichen sind wir hier hervorragend aufgestellt“, kommentiert Urbanski.

Weitere Informationen zum Thema:

TeleTrusT Bundesverband IT-Sicherheit e.V.
TeleTrusT-Podcast

datensicherheit.de, 03.03.2025
Neue Bitkom-Publikationsreihe: Studienbericht zur Digitalen Souveränität erschienen / 90 Prozent der Unternehmen mit Bezug digitaler Technologien oder Leistungen aus dem Ausland können darauf nicht verzichten

datensicherheit.de, 29.11.2024
Datensouveränität: Bedeutung der Self Sovereign Identities / Annahme der novellierte eIDAS-Verordnung durch das EU-Parlament

datensicherheit.de, 03.01.2022
Stärkung der Digitalen Souveränität Europas: Eine Reihe von Initiativen der Europäischen Kommission / Online-Diskussion der Europäischen Akademie für Informationsfreiheit und Datenschutz zum Europäischen Datenschutztag

datensicherheit.de, 16.06.2021
TeleTrusT veröffentlicht Handreichung: Secure Platforms für Digitale Souveränität / Technische Empfehlungen des TeleTrusT-Arbeitskreises „Secure Platform“ für das europäische IT-Ökosystem

[datensicherheit.de, 03/18/2025] The Digital Operational Resilience Act (DORA) has been in force since January 17, 2025. The EU regulation aims to improve the cyber resilience of the financial sector through uniform and binding requirements. It affects not only banks, insurance companies and investment companies, but also IT service providers that provide critical infrastructure for these institutions.

However, two months of practice show that even after the implementation deadline, banks, insurance companies and capital managers still have a lot to do. Individual reporting deadlines have been postponed, requirements have been specified late in some cases and many service provider contracts have not yet been updated. Due to the complexity of the new requirements, they run the risk of not implementing the directive in a compliant manner. The integration into existing compliance processes, the management of IT third-party risks and the implementation of robust reporting processes are particularly challenging.

Ari Albertini, CEO von FTAPI, Bild: FTAPI

DORA: Challenging companies

According to the BSI report The State of IT Security in Germany in 2024, 120 cyberattacks on companies in the financial and insurance sector were reported last year – almost double the figure for 2023, when 61 incidents were registered. This development shows that the threat situation for the financial sector continues to escalate and that increased protective measures are more urgent than ever. Banks, insurance companies and their IT service providers are increasingly being targeted by cyber criminals, which underlines the need for robust security strategies.

To address these challenges, DORA defines requirements in several key fields, including IT risk management, reporting obligations, operational resilience testing and the management of third-party IT providers. The aim of the regulation is to make financial companies more resilient to cyberattacks and to establish a uniform security strategy in the EU. However, implementation often proves to be complex.

Five obstacles and possible solutions

1. Optimize reporting processes and response times: Companies must report cyber attacks to the relevant supervisory authority within 24 hours. In practice, however, there is often a lack of clear internal processes. One solution is to implement automated detection systems that identify attacks at an early stage and generate standardized reports.
   Manage IT third-party risks effectively: Financial companies remain responsible for the security of their IT service providers. Many have not yet established end-to-end risk assessments. Contractually defined security requirements and regular audits help to ensure the compliance of external providers.
2. Realistically test crisis management: DORA requires practical stress tests to check cyber resilience. However, there is often a lack of realistic scenarios. Companies should carry out regular simulations and ensure that their emergency plans are aligned with their overall strategy.
3. Integrate DORA into existing compliance frameworks: Many companies already rely on NIS-2, ISO 27001 or BSI IT-Grundschutz. One challenge is the seamless integration of DORA without unnecessary duplicate structures. Harmonizing existing processes with the new requirements reduces the administrative effort and facilitates implementation.
4. Ensuring secure data transfer and encryption: DORA demands robust security measures for the digital exchange of sensitive information. In practice, however, many companies still rely on outdated transmission methods such as unencrypted emails or insecure file transfer solutions. One solution is the use of end-to-end encrypted platforms that not only offer DORA-compliant security, but also guarantee the integrity and traceability of data.

DORA as an opportunity for Europe’s digital sovereignty

“DORA is a decisive step for Europe’s digital sovereignty. The regulation not only ensures uniform security standards, but also strengthens the financial sector’s resilience to cyber attacks”, says Ari Albertini, CEO of FTAPI. “Companies that invest in resilient and secure structures now will benefit from greater trust and regulatory certainty in the long term”.

With DORA, the EU is setting new standards for cyber resilience – and requires companies to take a proactive approach. Those who act early not only minimize risks and regulatory hurdles, but also secure long-term competitive advantages in an increasingly digitalized financial world.

Further information on this topic:

datensicherheit.de, 21.01.2025
DORA: Europas neue Cyber-Sicherheitsverordnung stellt nicht nur den Finanzsektor vor Herausforderungen

[datensicherheit.de, 17.03.2025] Seit dem 17. Januar 2025 ist der Digital Operational Resilience Act (DORA) in Kraft. Die Verordnung der EU soll die Cyberresilienz des Finanzsektors durch einheitliche und verbindliche Vorgaben verbessern. Betroffen sind nicht nur Banken, Versicherungen und Investmentgesellschaften, sondern auch IT-Dienstleister, die kritische Infrastrukturen für diese Institutionen bereitstellen.

Zwei Monate Praxis zeigen jedoch: Auch nach der Umsetzungsfrist bleibt für Banken, Versicherungen und Kapitalverwalter viel zu tun. Einzelne Meldefristen haben sich verschoben, Anforderungen wurden teils spät konkretisiert und viele Dienstleisterverträge sind noch nicht aktualisiert. Durch die Komplexität der neuen Anforderungen laufen sie Gefahr, die Richtlinie nicht Compliance-konfrom umzusetzen. Besonders herausfordernd sind die Integration in bestehende Compliance-Prozesse, das Management von IT-Drittrisiken und die Implementierung belastbarer Meldeprozesse.

Ari Albertini, CEO von FTAPI, Bild: FTAPI

DORA: Neue Herausforderungen für Unternehmen

Laut dem BSI-Bericht zur Lage der IT-Sicherheit in Deutschland 2024 wurden im vergangenen Jahr 120 Cyberangriffe auf Unternehmen im Finanz- und Versicherungssektor gemeldet – fast eine Verdopplung im Vergleich zu 2023, als noch 61 Vorfälle registriert wurden. Diese Entwicklung zeigt, dass die Bedrohungslage für den Finanzsektor weiter eskaliert und verstärkte Schutzmaßnahmen dringlicher denn je sind. Banken, Versicherungen und deren IT-Dienstleister stehen zunehmend im Visier von Cyberkriminellen, was die Notwendigkeit robuster Sicherheitsstrategien unterstreicht.

Um diesen Herausforderungen zu begegnen, definiert DORA Anforderungen in mehreren zentralen Bereichen, darunter IT-Risikomanagement, Meldepflichten, operative Resilienztests und das Management von IT-Drittanbietern. Ziel der Verordnung ist es, Finanzunternehmen widerstandsfähiger gegen Cyberangriffe zu machen und eine einheitliche Sicherheitsstrategie in der EU zu etablieren. Doch die Umsetzung erweist sich oft als komplex.

Fünf Stolpersteine und Lösungsansätze

1. Meldeprozesse und Reaktionszeiten optimieren: Unternehmen müssen Cyberangriffe innerhalb von 24 Stunden an die zuständige Aufsichtsbehörde melden. In der Praxis fehlen jedoch oft klare interne Prozesse. Eine Lösung ist die Implementierung automatisierter Erkennungssysteme, die Angriffe frühzeitig identifizieren und standardisierte Berichte generieren.
2. IT-Drittrisiken effektiv managen: Finanzunternehmen bleiben für die Sicherheit ihrer IT-Dienstleister verantwortlich. Viele haben noch keine durchgehenden Risikobewertungen etabliert. Hier helfen vertraglich festgelegte Sicherheitsanforderungen und regelmäßige Audits, um die Compliance externer Anbieter sicherzustellen.
3. Krisenmanagement realistisch testen: DORA verlangt praxisnahe Stresstests zur Überprüfung der Cyberresilienz. Häufig mangelt es jedoch an realistischen Szenarien. Unternehmen sollten regelmäßig Simulationen durchführen und sicherstellen, dass ihre Notfallpläne mit der Gesamtstrategie abgestimmt sind.
4. DORA in bestehende Compliance-Frameworks integrieren: Viele Unternehmen setzen bereits auf NIS-2, ISO 27001 oder BSI IT-Grundschutz. Eine Herausforderung ist die nahtlose Einbindung von DORA ohne unnötige Doppelstrukturen. Die Harmonisierung bestehender Prozesse mit den neuen Anforderungen reduziert den administrativen Aufwand und erleichtert die Umsetzung.
5. Sicherer Datentransfer und Verschlüsselung gewährleisten: DORA fordert robuste Sicherheitsmaßnahmen für den digitalen Austausch sensibler Informationen. In der Praxis setzen viele Unternehmen jedoch noch auf veraltete Übertragungsmethoden wie unverschlüsselte E-Mails oder unsichere File-Transfer-Lösungen. Eine Lösung ist der Einsatz von Ende-zu-Ende-verschlüsselten Plattformen, die nicht nur DORA-konforme Sicherheit bieten, sondern auch die Integrität und Nachverfolgbarkeit von Daten gewährleisten.

DORA als Chance für die digitale Souveränität Europas

„DORA ist ein entscheidender Schritt für die digitale Souveränität Europas. Die Verordnung sorgt nicht nur für einheitliche Sicherheitsstandards, sondern stärkt auch die Widerstandsfähigkeit des Finanzsektors gegen Cyberangriffe“, sagt Ari Albertini, CEO von FTAPI. „Unternehmen, die jetzt in resiliente und sichere Strukturen investieren, profitieren langfristig von mehr Vertrauen und regulatorischer Sicherheit.“

Mit DORA setzt die EU neue Maßstäbe für Cyberresilienz – und fordert von Unternehmen ein proaktives Vorgehen. Wer frühzeitig handelt, minimiert nicht nur Risiken und regulatorische Hürden, sondern sichert sich langfristige Wettbewerbsvorteile in einer zunehmend digitalisierten Finanzwelt.

Weitere Informationen zum Thema:

datensicherheit.de, 21.01.2025
DORA: Europas neue Cyber-Sicherheitsverordnung stellt nicht nur den Finanzsektor vor Herausforderungen