DORA – Herausforderungen & Lösungen

Mit dem Digital Operational Resilience Act (DORA) wurde eine EU-Verordnung geschaffen, welche die digitale Widerstandsfähigkeit (Resilienz) von Finanzunternehmen erhöht und damit das Vertrauen in den Finanzsektor stärkt. Die weiteren wesentlichen Ziele sind:

EU-weite Harmonisierung der Regulierung von Finanzunternehmen (u.a. Banken, Versicherungen, Zahlungsdienstleister und Investmentfirmen)
Stärkere Überwachung und Steuerung von IKT-Drittanbietern (IKT = Informations- und Kommunikationstechnologien)
Verbesserung und weitere Harmonisierung der Berichterstattung und Meldepflichten in Hinblick auf Cybervorfälle und IT-Störungen
Stärkung des IKT-Risikomanagements und der Resilienz (u.a. durch erweiterte Tests der IKT-Systeme)

Auch nach Abschluss erster Umsetzungsinitiativen stehen Finanzunternehmen weiterhin vor der Aufgabe, ihre Prozesse und Strukturen kontinuierlich weiterzuentwickeln. Dies betrifft insbesondere die konsistente Verankerung der DORA-Anforderungen in den Bereichen IT-Risikomanagement, IT-Sicherheit und Dienstleistersteuerung – und zunehmend auch im Datenschutz.

Identifizierte Optimierungsbedarfe müssen laufend adressiert, Maßnahmen priorisiert und in bestehende Governance- und Kontrollsysteme integriert werden. Eine enge Zusammenarbeit zwischen den Funktionen der 1st-, 2nd- und 3rd-Line-of-Defense ist dabei unverzichtbar, um Wirksamkeit und Nachhaltigkeit sicherzustellen.

Ein effektives IKT-Risikomanagement, die Handhabung von IKT-Risiken und Cyberbedrohungen, das regelmäßige Testen der digitalen operationalen Resilienz und das Management der IKT-Dienstleister sind zentrale Erfolgselemente, um regulatorischen Anforderungen gerecht zu werden und die digitale Widerstandskraft langfristig sicherzustellen.

Finanzunternehmen müssen ein umfassendes IKT-Risikomanagement-Rahmenwerk pflegen und stetig weiterentwickeln, das auf ihre Größe, Komplexität und Risikoprofile zugeschnitten ist. Dieses Rahmenwerk muss sicherstellen, dass Risiken im Zusammenhang mit IKT-Systemen identifiziert, bewertet, gemindert und (laufend) überwacht werden.

Herausforderungen des IKT-Risikomanagements

Governance & Organisation: Die Geschäftsleitung und die Aufsichtsgremien sind direkt verantwortlich für ein effektives IKT-Risikomanagement sowie die Überwachung und Steuerung des IKT-Risikos. Hierzu müssen klare Zuständigkeiten und Prozesse zur Entscheidungsfindung sowie für ein regelmäßiges / ad hoc Reporting definiert werden (Management und die zuständigen Aufsichtsbehörden). Es ist zudem unerlässlich, dass ausreichend Ressourcen für ein angemessenes IKT-Risikomanagement zur Verfügung gestellt werden. Dies beinhaltet auch regelmäßige Schulungen der Geschäftsleitung sowie aller Mitarbeiterinnen und Mitarbeiter, um bezüglich möglicher IKT-Risiken ausreichend sensibilisiert zu sein.
DORA-Resilienz-Strategie: Für die digitale operationale Resilienz ist entweder eine eigene Strategie zu führen oder diese in bestehende Strategien gem. den DORA-Anforderungen zu integrieren.
Prävention, Detektion und Abwehr (kontinuierliches Monitoring): Unternehmen müssen Maßnahmen zur Prävention, Detektion und Abwehr von IKT-Risiken implementieren. Dazu gehören Sicherheitskontrollen, kontinuierliche Überwachung und strukturierte Notfallstrategien. Der Fokus liegt auf der Sicherstellung der kontinuierlichen Verfügbarkeit von kritischen Diensten und der Minimierung von Ausfallzeiten.

Lösungen

Ein strukturiertes Vorgehensmodell ist unverzichtbar für ein belastbares IKT-Risikomanagement. Wir unterstützen Sie mit Erfahrungen aus zahlreichen Gap-Analysen und Prüfungen, bei der Vorbereitung auf Prüfungssituationen, insbesondere im Hinblick auf Nachweisführung und Dokumentation. Durch die Integration von DORA in das interne Kontrollsystem (IKS) entsteht ein konsistentes und prüfungssicheres Risikomanagement, das DORA und weitere regulatorische Anforderungen vereint. Awareness Sessions stärken das Risikobewusstsein der Mitarbeiterinnen und Mitarbeiter.

Unternehmen können ihre digitale Resilienz stärken und den Anforderungen von DORA gerecht werden – mit einer strukturierten Herangehensweise und kontinuierlicher Verbesserung. Dies schafft nicht nur Sicherheit, sondern auch Vertrauen bei Kundinnen und Kunden sowie Partnerinnen und Partnern.

Ein weiterer wichtiger Aspekt von DORA ist die Handhabung von IKT-Störungen und Cyberbedrohungen. Finanzunternehmen müssen in der Lage sein, schnell und effektiv auf Sicherheitsvorfälle zu reagieren. Hierzu müssen Finanzunternehmen sicherstellen, dass sie über die notwendigen Ressourcen verfügen, um Cyberangriffe erfolgreich abzuwehren und die Auswirkungen von Vorfällen bestmöglich minimieren zu können.

Herausforderungen

Identifikation erfolgt bisher in Silos: DORA fordert jedoch eine zentrale Klassifizierung, Erfassung und Behandlung von IKT-Vorfällen und Cyberbedrohungen. Die Erfassung von schwerwiegenden Incidents, IS-Vorfällen, Security Incidents, Zahlungsverkehrs- sowie Datenschutzvorfällen liegt häufig in separaten Einheiten oder Prozessen, was eine ganzheitliche Sicht erschwert. Durch die DORA-Klassifizierung von schwerwiegenden IKT-Vorfällen / Cyberbedrohungen sollte eine zentrale Verantwortlichkeit zur Identifikation etabliert werden und auch die Modifikation der bisher eingesetzten Tools zum Incident-, Security, Zahlungsverkehr- und/oder Vorfall-Management ist erforderlich.
Klassifizierung anhand der DORA-Matrix: Die regelmäßige Überprüfung und Aktualisierung der DORA-Entscheidungsmatrix sowie der Kriterien zur Ableitung von schwerwiegenden IKT-Vorfällen / Cyberbedrohungen und deren Integration in den Zielprozess sind ebenfalls Herausforderungen, die es zu meistern gilt. Insbesondere die Anpassung oder Ergänzung der hierfür erforderlichen Datenbasis, um zügig oder sogar (teil-)automatisiert die Kategorisierung eines IKT-Vorfalls / -Cyberbedrohung anhand der definierten Kriterien vorzunehmen, ist herausfordernd.
IKT-Vorfallsmeldung: Die IKT-Vorfallsmeldung orientiert sich bezüglich des Meldeprozesses und der Meldefristen an den europäischen Vorgaben zur PSD2^[1] bzw. den bekannten Meldungen hinsichtlich schwerwiegender Zahlungssicherheitsvorfälle. Die Meldeinhalte sind dabei umfangreicher. Eine automatisierte Meldung unter Nutzung bereits etablierter Incident- und/oder Vorfall-Management-Tools ist ein möglicher Lösungsansatz, welchen wir bei diversen Mandanten im Kontext einer umfassenden SIEM Lösung realisieren.
IKT-Vorfallsbehandlung: Im Falle eines Sicherheitsvorfalls ist eine schnelle und zielgerichtete Reaktion notwendig. Dabei müssen die Dokumentation, Meldung und Bearbeitung durch kompetentes und geschultes Fachpersonal und nach geltenden Richtlinien erfolgen. Wenn kein eigenes Team zur Behandlung von Vorfällen existiert, muss im Vorfeld ein Abrufvertrag mit einem geeigneten Dienstleister geschlossen werden. Auch ist eine vorherige Registrierung im Meldeportal der BaFin sowie die Integration dieser Plattform in die internen Prozesse erforderlich.

^[1] National umgesetzt im Zahlungsdiensteaufsichtsgesetz [ZAG]

Lösungen

Harmonisierung von Security- und sonstigen Incident-Prozessen

Wir unterstützen bei der Etablierung eines integrierten Incident-Management-Frameworks, das Meldeprozesse, Entscheidungslogiken und Reporting-Pfade für Sicherheits- und Datenschutzvorfälle vereint und Ihre betriebliche Effizienz steigert.

BDO Cyber Security GmbH als BSI qualifizierter APT Response Dienstleister

Unser zertifiziertes und vom BSI qualifiziertes Notfallteam unterstützt Sie schnell und kompetent bei der Behandlung, Aufklärung und Aufarbeitung eingetretener Sicherheitsvorfälle. Wir bieten Retainer-Verträge mit zugesicherten Reaktionszeiten und eine Erreichbarkeit rund um die Uhr.

Die Umsetzung dieser Maßnahmen schafft eine robuste und widerstandsfähige IKT-Infrastruktur, die den aktuellen und zukünftigen Cyberbedrohungen gewachsen ist. Einheitliche Dashboards und abgestimmte Meldeprozesse sorgen für Transparenz, Effizienz und Nachvollziehbarkeit – zentrale Kriterien für DORA-Readiness und Audits.

DORA verpflichtet Finanzunternehmen und IKT-Drittdienstleister dazu, die digitale operationale Resilienz ihrer relevanten Anwendungen und Systeme regelmäßig einmal im Jahr zu testen. Dazu gehören eine Vielzahl von Testszenarien, darunter Stresstests und Penetrationstests.

Penetrationstests sind ein äußerst effektives Instrument, um potenzielle Sicherheitslücken aufzudecken, Behebungsmaßnahmen zu identifizieren und damit das Sicherheitsniveau zu erhöhen. Durch regelmäßige Penetrationstests können Unternehmen aktiv gegen Bedrohungen vorgehen und Ihre Daten sowie Geschäftsabläufe besser schützen.

Um sich bestmöglich auf den Ernstfall vorzubereiten und die Resilienz nachhaltig zu verbessern, schreibt DORA zusätzlich die regelmäßige Durchführung von Threat-Led Penetration Tests (TLPT) nach Threat Intelligence-based Ethical Red Teaming (TIBER DE/EU) für Finanzunternehmen mit besonderer Bedeutung für die Finanzstabilität vor. Dabei werden bereits etablierte Sicherheitsmechanismen gezielt überprüft, um Optimierungspotenziale in den Cyber Defense-Maßnahmen aufzuzeigen.

Herausforderungen

Erhöhte Anzahl von Penetrationstests: Digital Operational Resilience Testing ist einmal jährlich verpflichtend vorgeschrieben für alle kritischen und wichtigen Systeme und Anwendungen. Diese Tests sind in ein Programm zur Prüfung der digitalen Cyber Resilienz einzubinden und erfolgen nach einem risikobasierten Ansatz. Für Finanzunternehmen wird die Durchführung dieser Tests durch externe Dienstleister empfohlen.
Strukturierter Testprozess benötigt: Es ist ein Rahmenprogramm für Sicherheitstests zu schaffen. Neben der Identifikation zu untersuchender Systeme und deren Priorisierung ist auch die Erstellung eines Testkonzepts und Testplans erforderlich, welcher entsprechend zu dokumentieren und nachzuverfolgen ist. Zusätzlich ist ein Prozess zur Offenlegung von Schwachstellen erforderlich. Diese Tests müssen nicht nur technisch, sondern auch regulatorisch und datenschutzkonform umgesetzt werden. Die Verwendung produktiver oder personenbezogener Testdaten erfordert eine sorgfältige Bewertung der datenschutzrechtlichen Risiken.
Durchführung von Threat-Led Penetration Tests (TLPT): Für TLPT sind hochqualifizierte Testerinnen und Tester erforderlich, die einem formal vorgegebenen Prozess in Abstimmung mit der zuständigen Aufsichtsbehörde folgen. Seit Inkrafttreten der Delegierten Verordnung (EU) 2025/1190 im Juli 2025 gelten EU-weit harmonisierte Anforderungen an Durchführung und Qualifikation. In Deutschland erfolgt die Umsetzung über den TIBER-DE-Rahmen unter Federführung von BaFin und Bundesbank.
DORA Readiness: Die Herausforderungen der DORA sind vielfältig - von der Integration noch nicht umgesetzter Vorgaben über die Sicherstellung der Nachweisbarkeit bis zur Überprüfung der Wirksamkeit getroffener Maßnahmen. Weiterhin ist zu berücksichtigen, dass IKT-Drittdienstleister und indirekt von den DORA-Regelungen betroffene Unternehmen je nach Dienstleistungscharakter ebenfalls in Testprozesse eingebunden werden könnten oder diese ggf. selbst umsetzen müssen.

Lösungen

BDO als Dienstleister für Penetrationstests und TLPTs

Identifizieren Sie mit Hilfe unserer zertifizierten Penetrationstesterinnen und -tester Schwachstellen in Ihren Unternehmensnetzwerken, Anwendungen und Systemen. Unser Team untersucht Ihre Lösung aus der Perspektive eines realen Angriffs, um das Sicherheitsniveau zu ermitteln. Sie erhalten von uns einen detaillierten Bericht, der nicht nur die identifizierten Schwachstellen und deren Kritikalität auflistet, sondern auch mögliche Maßnahmen zur Behebung aufzeigt.

Um sich bestmöglich auf den Ernstfall vorzubereiten und die Resilienz nachhaltig zu verbessern, simulieren unsere erfahrenen Red-Teaming-Expertinnen und -Experten zusätzlich realistische Cyber-Angriffe auf Ihr Unternehmen. Wir unterstützen Sie bei der Planung und Durchführung von TLPTs auf Basis des TIBER Frameworks in enger Zusammenarbeit mit Ihnen und den zuständigen Aufsichtsbehörden.

Unsere Expertinnen und Experten stellen sicher, dass die Tests sowohl sicherheits- als auch datenschutzkonform ablaufen. Dazu gehören Richtlinien für anonymisierte Testdaten, die Prüfung von Auftragsverarbeitungsverträgen (AVV) und die Dokumentation der DSGVO-Konformität im Testkonzept.

Einbindung Testprogramm in IT-Prozesse und IT-Landschaft

Die Integration des Testprogramms bei genutzten IT-Dienstleistern und -Prozessen ist von entscheidender Bedeutung und muss daher zwingend erfolgen. Dazu müssen die zu untersuchenden Systeme identifiziert und priorisiert sowie wiederholbare Testszenarien in einem Testkonzept definiert werden, um spezifische Bedrohungen effektiv zu adressieren. Unsere Expertinnen und Experten unterstützen Sie weiterhin beim Testmanagement, mit der Planung, Vorbereitung und Durchführung von Penetrationstests.

Diese Maßnahmen sind unerlässlich für Finanzunternehmen, um die Cyber-Resilienz erheblich zu steigern und sich besser auf zukünftige IT-Vorfälle vorzubereiten.

Workshops zur nachhaltigen Umsetzung der DORA-Anforderungen

Viele Finanzunternehmen haben bereits Maßnahmen zur Umsetzung der DORA-Anforderungen ergriffen und einen gewissen DORA-Reifegrad hergestellt. Nun geht es darum, diese Vorgaben nachhaltig in Systeme und Prozesse zu integrieren und die eigene Widerstandsfähigkeit regelmäßig zu überprüfen. Wir unterstützen Sie dabei, bestehende Strukturen zu stärken, Optimierungsbedarfe zu adressieren und Ihre Organisation gezielt auf kommende Prüfungen und Tests vorzubereiten:

Angriffssimulation im Rahmen eines Pre-TLPT: Testen Sie die Resilienz Ihrer technischen und organisatorischen Maßnahmen im Vorfeld verpflichtender TLPT-Tests. So können Sie gezielt Schwachstellen identifizieren und Ihre Vorbereitung auf die regulären Resilienztests optimieren.
Gezielte Überprüfung bestimmter Systeme im Rahmen eines Penetrationstests: Sie haben ein neues System eingeführt und möchten dessen Sicherheitsmechanismen überprüfen? Gern führen wir für Sie gezielte Analysen einzelner Systeme durch und helfen Ihnen somit, ein homogenes Sicherheitsniveau zu erreichen und aufrechtzuerhalten.
Risiko- und Bedrohungsanalyse: Im Rahmen der Risiko- und Bedrohungsanalyse helfen wir Ihnen, frühzeitig potenzielle Gefährdungen zu identifizieren.
Beratung und Begleitung: Zusammen mit Ihnen analysieren wir Gaps bzgl. der Konformität Ihres Unternehmens im Bereich Resilience- und Threat-Led-Penetration-Testing. Im Anschluss entwickeln wir eine Roadmap, mit der Sie Ihre Maßnahmen gezielt weiterentwickeln und die regulatorischen Vorgaben zur Erhöhung der digitalen operationalen Resilienz dauerhaft erfüllen können.

Unternehmen müssen umfangreichere Prozesse zur Überwachung und Steuerung der Risiken entwickeln, die durch IKT-Dienstleister entstehen. Neben erweiterten Mindestvertragsstandards ist bei der Dienstleisterauswahl eine Due Diligence durchzuführen. Außerdem sind alle mit dem Leistungsbezug zusammenhängenden IKT-Risiken zu erheben und zu bewerten. Basierend auf den IKT-Risiken ist auch festzulegen, ob es sich um einen IKT-Drittdienstleister zur Unterstützung kritischer oder wichtiger Funktionen handelt, für welche erweiterte Vorgaben (bspw. ausreichende Resilienz und abgestimmte Notfallpläne) bestehen.

Herausforderungen

Herausfordernd ist die Aktualisierung der Bestandsverträge basierend auf den neuen Vertragsstandards. Ein weiteres zentrales Element ist das IKT-Informationsregister. Der Aufbau und die Pflege dieses Registers und die Etablierung der Meldestrecke und Einhaltung von Meldeprozessen müssen in Abhängigkeit zum bisher genutzten Auslagerungs-Management-Tool und DSGVO-konformer Auftragsverarbeitungsverträgen erfolgen. Eine sorgfältige Planung und Implementierung sind unerlässlich, um sicherzustellen, dass alle relevanten Informationen erfasst und gemeldet werden können.

Lösungen

Unser bewährtes Vorgehensmodell zur Risikobewertung und zum Risikomanagement ist die ideale Lösung für Unternehmen, die die Anforderungen effizient erfüllen wollen. Dieses Modell basiert auf Best Practices und Erfahrungen aus der Branche. So erfüllen Sie regulatorische Vorgaben effizient und stärken zugleich Ihre Governance-Strukturen nachhaltig.

Unsere Erfahrung mit Gap-Assessments zeigt: So lassen sich bestehende Lücken in der Compliance zuverlässig identifizieren und gezielt schließen. So können Prozesse und Systeme gezielt angepasst werden.
Die systematische Klassifikation der IKT-Drittdienstleister nach ihrem Risiko und ihrer Bedeutung für das Unternehmen ist ein unverzichtbarer Schritt im Risikomanagement. Dies hilft, die richtigen Prioritäten zu setzen und gezielte Maßnahmen zu ergreifen.
Tools für Vertragsanalyse (KI) und Datenerhebung (z. B. MS Forms): Der Einsatz von KI-gestützten Tools zur Vertragsanalyse und von MS Forms zur Datenerhebung ist die effizienteste und präziseste Methode zur Erfassung und Auswertung relevanter Informationen.
Für die Anpassung des Vertragswerkes selbst sowie die Vereinbarung von Qualitätsparametern der Dienstleistungserbringung (SLA) verfügen unsere Rechtsexperten über ein breites Portfolio von Entwurfsmustern und Formulierungsvorschlägen, über deren Einsatzmöglichkeiten und Reichweite in der Rechtspraxis weitreichende Erfahrungswerte vorliegen.
Erzeugen von Templates für die Aufsicht: Standardisierte Templates für die Berichterstattung an die Aufsichtsbehörden sind ein Muss. Sie sorgen für einen reibungslosen Prozess und stellen sicher, dass alle erforderlichen Informationen korrekt und vollständig übermittelt werden.