Skip to main content
Contact
Submit RFP

      Der Digital Operational Resilience Act (DORA) ist eine neue EU-Verordnung, die im Januar 2023 in Kraft getreten ist. Sie ist Teil des digitalen Finanzpakets der EU-Kommission mit dem Ziel, die digitale Widerstandsfähigkeit des europäischen Finanzmarkts zu erhöhen. Es soll sichergestellt werden, dass Finanzmarktteilnehmer auch bei größeren Vorfällen, die die  Informations- und Kommunikationstechnologie (IKT) betreffen, sicher und zuverlässig weiterarbeiten.

      Für von der Verordnung betroffene Unternehmen gilt für die vollständige Umsetzung der Verordnung eine Übergangsfrist bis Januar 2025. 

      Die neuen Anforderungen an die Sicherheit der IKT, die operative Widerstandsfähigkeit ebenso wie Meldepflichten bei zum Beispiel Cyberangriffen, werden im Folgenden erläutert.

      Bereit für ein Gespräch? Kontaktieren Sie uns
      auto_stories

      Ein Leitfaden zum Verständnis von DORA und ihrer Auswirkungen auf den Finanzsektor
      Jetzt herunterladen

      Anforderungen & aktuelle Entwicklungen

      DORA legt großen Wert auf die Gesamtverantwortung des Leitungsorgans für die digitale Betriebsstabilität. Das Management muss dafür sorgen, dass das Unternehmen ausreichend vor IKT-Störungen und Cyberangriffen geschützt ist.

      DORA sieht dafür ein ganzheitliches IKT-Risikomanagement-Rahmenwerk als grundlegend für die Schaffung resilienter Finanzunternehmen vor. Dieses befähigt, IKT-Risiken zu identifizieren, zu bewerten, zu steuern und zu überwachen.

      Ein Beispiel für die Umsetzung der DORA-Anforderungen ist die Etablierung von widerstandsfähigen IKT-Systemen nach einem einheitlichen Standard im gesamteuropäischen Wirtschaftsraum. 

      Finanzunternehmen müssen sicherstellen, dass ihre IT-Systeme und -Prozesse in der Lage sind, potenzielle Bedrohungen schnell und effektiv zu erkennen und darauf zu reagieren.

      Um die Reaktionsfähigkeit zu erhöhen, spezifiziert DORA unter anderem Anforderungen an Prozesse und Systeme zur umgehenden Erkennung und Abwehr potenzieller Gefährdungen. 

      Ein Beispiel für die Umsetzung dieser Anforderung ist die automatische Netzwerkisolierung im Falle von Cyberangriffen. Dadurch wird das Risiko von Datenverlusten oder Systemausfällen minimiert und die Wiederherstellung des Normalbetriebs erleichtert.

      Eine weitere DORA-Anforderung ist es, die Meldepflichten für schwerwiegende IKT-Vorfälle in der gesamten europäischen Finanzindustrie zu vereinheitlichen. Dies soll dazu beitragen, die Reaktion auf solche Vorfälle zu verbessern und eine effektive Zusammenarbeit zwischen den nationalen und europäischen Behörden zu gewährleisten. 

      Ein Beispiel für die Umsetzung dieser Anforderung ist die Einführung einheitlicher Verfahren zur Überwachung, Klassifizierung und Meldung von IKT-Vorfällen an die zuständigen Behörden.

      Die regelmäßige Überprüfung der Betriebsstabilität und Sicherheit von kritischen IT-Systemen ist von entscheidender Bedeutung für den reibungslosen Betrieb von Finanzunternehmen. Um sicherzustellen, dass mögliche IKT-Störungen erkannt und behoben werden, wird ein risikobasierter Testansatz gefordert.

      Ein Beispiel für die Umsetzung dieser Anforderung ist die Durchführung von Penetrationstests an Live-Produktionssystemen mindestens alle drei Jahre. Dabei werden gezielt Schwachstellen im System gesucht, um potenzielle Angriffsvektoren zu identifizieren und geeignete Gegenmaßnahmen zu ergreifen.

      DORA soll Finanzunternehmen eine effektive Überwachung der Risiken durch IKT-Drittanbieter ermöglichen. Dies ist insbesondere deshalb wichtig, da immer mehr Finanzunternehmen auf die Dienstleistungen von Drittanbietern für ihre IT-Systeme und -Prozesse angewiesen sind.

      Ein Beispiel für die Umsetzung dieser Anforderung ist die Einführung von Strafzahlungen und neuen Kündigungsoptionen für IKT-Drittanbieter, die Anforderungen der DORA-Verordnung nicht einhalten. Durch diese Maßnahmen werden Finanzunternehmen in die Lage versetzt, eine solide Überwachung des Risikos durch IKT-Drittanbieter sicherzustellen

      Mit dem Ende der Umsetzungsfrist von DORA im Januar 2025 hat die Prüfungspraxis begonnen. Die Umsetzung von DORA und damit die Resilienzfähigkeit der Finanzunternehmen, einschließlich der Dienstleister für Informations- und Kommunikationstechnologien (IKT), wird seitdem von der Internen Revision, dem Jahresabschlussprüfer und insbesondere von den nationalen (BaFin) und europäischen (European Supervisory Authorities) Aufsichtsbehörden geprüft. Ausgangspunkt dieser Prüfungen ist ein funktionsfähiges IKT-Risikomanagement. Basierend auf der Definition der kritischen und wichtigen Funktionen werden alle Themengebiete der DORA sowohl in Bezug auf Vorgaben als auch in ihrer effektiven Umsetzung überprüft.

      Bei diesen Prüfungen unterstützen wir Finanzunternehmen umfassend: Beginnend mit der Vorbereitung unserer Kunden begleiten wir die gesamte Prüfung und helfen anschließend dabei, die getroffenen Feststellungen strukturiert abzuarbeiten. Wir sorgen für einen professionellen Prüfungsablauf und eine transparente Kommunikation mit den Behörden. Durch eine GAP-Analyse vermeiden wir inhaltliche Überraschungen, können Auffälligkeiten schnell identifizieren, bewerten und kommunizieren.

      DORA beinhaltet auch die Konkretisierung der Anforderungen seitens der ESAs (European Supervisory Authorities) durch technische Regulierungs- und Implementierungs- bzw. Durchfühurungsstandards (RTS/ITS).

      Die nachfolgende Grafik zeigt nach DORA-Kapiteln gegliedert die Übersicht und Zeitleiste der in der ersten Runde bereitgestellten (pink) und in der nächsten Runde noch anstehenden (blau) Konkretisierungen. Die aktuelle öffentliche Konsultationsphase der ersten Runde läuft seit dem 19.6.2023 bis zum 11.9.2023. Die Europäische Kommission soll dann bis zum 17.1.2024 die überarbeiteten Entwürfe erhalten. Die RTS/ITS der zweiten Runde zur öffentlichen Konsultation werden Ende November/Anfang Dezember 2023 erwartet:

      dora-regulations

      Herausforderungen für Kund:innen

      Die Einführung der DORA-Verordnung kann für Finanzunternehmen eine Reihe von Herausforderungen mit sich bringen, da diese möglicherweise nicht ausreichend auf die Umsetzung der neuen Anforderungen vorbereitet sind. 

      Um den Anforderungen gerecht zu werden und die Geschäftstätigkeit weiterhin angemessen und erfolgreich auszuüben, müssen IKT-Systeme auf den neuesten Stand gebracht, Prozesse optimiert und Mitarbeitende geschult werden. 

      Rechtliche Aspekte

      Mit Blick auf das Vertragsmanagement bestimmt DORA unter anderem Anforderungen an Verträge mit IKT-Drittparteien, die in das Vertragsmanagement der Finanzunternehmen Eingang finden müssen. In der Umsetzung gilt es daher (Bestands-) Verträge zu kategorisieren, Soll-Anforderungen festzulegen, Gap-Analysen durchzuführen und potentielle Lücken zu schließen.

      Weiterhin verändert DORA die Anforderungen an die Verantwortung und Haftungsrisiken der Unternehmen und Geschäftsleiter im Hinblick auf IKT-Drittrisiken. Hier gilt es Beispielsweise den Umfang und die Bedingungen des Versicherungsschutzes zu überprüfen und ggfs. anzupassen.

      So unterstützt Sie KPMG

      • KPMG verfügt über ein umfassendes fachliches Repertoire bezüglich aller relevanten Disziplinen im Bereich der DORA-Verordnung, einschließlich Managementberatung, ISM (Information Security Management), IRM (Information Risk Management), BCM (Business Continuity Management), Outsourcing und Cloud-Lösungen. Wir sind darauf spezialisiert, unsere Kund:innen in allen Belangen dieser Disziplinen zu beraten und zu unterstützen.
      • Wir verfügen über ein tiefes Verständnis für Prozesse, Risiken und Kontrollen sowie Governance-Strukturen. Unsere Expertise und unser Know-how ermöglichen es uns, unsere Kund:innen bei der Implementierung von effektiven Kontrollmechanismen und Risikomanagement-Strategien zu unterstützen.
      • Unsere umfangreiche Projekterfahrung mit Unternehmen der Branche hat uns wertvolle Einblicke und Erkenntnisse verschafft, die uns helfen, Herausforderungen und Anforderungen unserer Kund:innen besser zu verstehen. Mit unserem bewährten Vorgehensmodell setzen wir diese Erkenntnisse gezielt ein und entwickeln maßgeschneiderte Lösungen, optimal zugeschnitten auf die individuellen Bedürfnisse unserer Kund:innen.
      • Wir profitieren von einem direkten Zugang zu weltweiter Expertise und Erfahrung durch unser Unternehmensnetzwerk. Wir arbeiten eng mit unseren internationalen Teams zusammen und können auf ein breites Spektrum an Erfahrung und Fachwissen zugreifen, das speziell auf den Finanzsektor zugeschnitten ist.
      • Neben unserer fachlichen und methodischen Expertise bieten wir außerdem Know-how für die Umsetzung von Tools. Wir unterstützen unsere Kund:innen bei der Implementierung von marktüblichen GRC-Tools, um Risiken und Kontrollen effizient zu managen und zu steuern. Darüber hinaus bieten wir Tools für das effektive Management von Drittanbietern und deren Verträgen im Bereich Informationstechnologie (IKT).
      Interessiert an unseren Services? Kontaktieren Sie uns
      Jetzt herunterladen

      Neue Meldeanforderungen im Third-Party-Risk-Management - Key-Learnings und Take-Aways zum Informationsregister

      Jetzt herunterladen
      Jetzt herunterladen

      Digital Operational Resilience Act

      Jetzt herunterladen
      Jetzt herunterladen

      Digital Operational Resilience Act - Warum Sie jetzt handeln sollten

      Jetzt herunterladen

      KPMG Webcast – DORA: So gelingt die Umsetzung

      Unterlagen des Webcasts Live vom 27. April 2023, 9:00 - 11:30 Uhr

      Jetzt Webcast abrufen
      Frau mit cafe schaut auf Telefon

      Weitere interessante Inhalte zum Thema

      Ihre Ansprechpersonen