DORA (Digital Operational Resilience Act): Was Unternehmen wissen sollten

DORA steht für „Digital Operational Resilience Act“. Das Gesetz ist im Januar 2023 ein Gesetz in Kraft getreten und regelt die Betriebsstabilität digitaler Systeme im Finanz- und Versicherungssektor. Bis zum 17. Januar 2025 bleibt verpflichteten Institutionen Zeit, die DORA-Verordnung umzusetzen. Mit dem Digital Operational Resilience Act der Verordnung (EU) 2022/2554 hat die Europäische Union eine finanzsektorübergreifende europäische Regulierung für folgende Themen geschaffen:

• digitale operationelle Resilienz
• IKT-Risiken
• Cybersicherheit

Verstärkte Kontrolle durch EU-Finanzaufsichtsbehörden

Der „Digital Operational Resilience Act“ ist eine neue wichtige Säule zur Stärkung der Sicherheit im EU-Finanzsektor. Nicht nur betriebsinterne IT steht im Fokus der Verordnung – auch kritische IKT-Dienstleister von Finanzunternehmen stehen mit der DORA unter verstärkter Kontrolle durch EU-Finanzaufsichtsbehörden. Unternehmen müssen sich spätestens jetzt mit der Resilienz & Redundanz Ihrer KYC-Prozesse befassen.

Fokus in Finanzmärkten verschiebt sich mit DORA

Bisher hatten Regulierungen in Finanzmärkten hatten häufig den Fokus, die finanzielle Widerstandsfähigkeit von Finanzunternehmen zu sichern und zu stärken. Mit der DORA-Verordnung verlagert sich dieser Fokus jetzt auf die Gewährleistung eines reibungslosen Betriebs eines Finanzunternehmens im Falle einer Betriebsunterbrechung durch den Ausfall oder die Beeinträchtigung von Informationssystemen.

Business Continuity Management: Betriebsstabilität als Grundbaustein von DORA

Ein elementarer Bestandteil der neuen Regulierung umfasst das Business Continuity Management. Unternehmen müssen sicherstellen, dass Datensicherungen, redundante Systeme und die Integrität der Daten nach einer Wiederherstellung gewährleistet sind. Doch genau das birgt für viele Unternehmen eine Hürde: Viele Firmen arbeiten im Customer-Onboarding mit lediglich einem Provider zusammen. Hier sollten Unternehmen nun Maßnahmen treffen, die das Onboarding neuer Kunden gewährleisten, wenn Ihr Provider ausfällt.

Aufsichtsmitteilung der BaFin zur DORA-Umsetzung

Die BaFin eine Aufsichtsmitteilung mit Hinweisen zur Umsetzung veröffentlicht. Diese enthält die Mindestvertragsinhalte, die gemäß DORA zwischen dem Finanzunternehmen und dem IKT-Drittdienstleister verpflichtend zu vereinbaren sind. Die Umsetzungshinweise sind in folgende Themenschwerpunkte gegliedert:

• Governance und Organisation
• Informationsrisiko- und Informationssicherheitsmanagement
• IT-Betrieb
• IKT-Geschäftsfortführungsmanagement
• IT-Projektmanagement und Anwendungsentwicklung
• IKT-Drittparteienrisikomanagement
• Operative Informationssicherheit
• Identitäts- und Rechtemanagement

Zur vollständigen Aufsichtsmitteilung gelangen Sie hier.

Haben Sie bereits Maßnahmen hinsichtlich der DORA-Verordnung für Ihr Institut getroffen, die das Onboarding neuer Kunden gewährleistet, wenn ihr Provider einmal ausfällt? Als BSI-zertifiziertes Unternehmen bieten wir von AUTHADA leistungsstarke Identity-Services an, die eine hohe Verfügbarkeit bei maximaler Datensicherheit gewährleisten!

Gemeinsam können wir Ihre digitale Resilienz im Kundenonboarding stärken! Vereinbaren Sie dazu ein kostenloses und unverbindliches Gespräch mit unseren Kollegen Thomas Hampf, Philipp Rosskopp oder Sinan Can.