DORA: Neue Spielregeln für die digitale Resilienz im Finanzsektor

Im Januar 2025 wurde DORA zur Realität. Für viele Finanzdienstleister bedeutet das: mehr Aufwand, neue Prozesse – und zugleich die Chance, Sicherheit und Resilienz strategisch zu verankern.

Kaum ein anderer Sektor ist so stark von digitalen Infrastrukturen abhängig wie der Finanzbereich. Ob Zahlungsverkehr, Wertpapierhandel oder Kundenkommunikation – alles läuft heute über vernetzte Systeme. Und genau diese Systeme geraten zunehmend ins Visier von Cyberangriffen. Cyberattacken und Datenschutzverletzungen sind heutzutage leider fast schon alltäglich geworden, was den Bedarf für verschärfte regulatorische Rahmenbedingungen angekurbelt hat.

Die EU reagiert mit einem umfassenden Regelwerk, das den digitalen Schutzschirm für Finanzunternehmen aufspannt: dem Digital Operational Resilience Act (DORA). Doch was bedeutet das konkret – und wie können sich Finanzinstitute sinnvoll vorbereiten?

‍

Was ist DORA?

Als Antwort auf die steigende Bedrohungslage hat die Europäische Union mit DORA erstmals einen einheitlichen europäischen Rahmen für die digitale Resilienz im Finanzsektor geschaffen. DORA soll dabei jedoch nicht nur eine einheitliche Aufsichtsgrundlage schaffen, sondern auch für mehr IT-Sicherheit und verbesserte Krisenfestigkeit in der gesamten Branche sorgen.

Wer ist betroffen?
Kurz gesagt: nahezu alle regulierten Finanzinstitute – Banken, Versicherungen, Vermögensverwalter, Zahlungsdienstleister und ihre IT-Dienstleister, auch wenn letztere ausserhalb der EU sitzen.

Wichtige Frist:
Die Verordnung ist seit Januar 2023 in Kraft. Seit dem 17. Januar 2025 müssen alle Vorgaben umgesetzt sein – ohne Ausnahme.

‍

Warum DORA jetzt zählt

Cyberbedrohungen nehmen rasant zu – das zeigen die Zahlen aus der Schweiz wie auch aus Deutschland. Gleichzeitig wachsen die Erwartungen von Aufsichtsbehörden und Kunden: Sicherheit, Transparenz und Verfügbarkeit sind heute keine netten Extras mehr, sondern geschäftskritische Anforderungen.

Vor diesem Hintergrund bringt DORA Ordnung in eine bislang fragmentierte Landschaft von Regelwerken. Im Fokus steht hier nicht die Reaktion auf äussere Einflüsse, sondern aktiv gelebte digitale Resilienz: Systeme sollen Störungen abwehren, Geschäftsprozesse aufrechterhalten und schnell wieder an den Start gehen – selbst im Krisenfall.

In einer Zeit zunehmend komplexer IT-Landschaften – von hybriden Infrastrukturen bis hin zu Multi-Cloud-Umgebungen – stehen Finanzinstitute vor einer neuen Realität: Der reine Schutz der eigenen IT-Infrastruktur reicht nicht mehr aus; Finanzinstitute müssen jederzeit belegen können, wie sensible Daten intern und extern verarbeitet, gespeichert und weitergegeben werden – eine anspruchsvolle Aufgabe, aber auch eine enorme Chance, ihre digitale Infrastruktur auf ein neues Level zu heben.

‍

Was DORA verlangt: Die wichtigsten Anforderungen

1. ICT-Risikomanagement
   Ein umfassendes, dokumentiertes Rahmenwerk wird Pflicht. Die Verantwortung liegt dabei klar bei der Geschäftsleitung. Es reicht nicht mehr, IT-Risiken zu kennen – sie müssen systematisch bewertet und adressiert werden.
   
   
2. Meldepflichten für Vorfälle
   Schwerwiegende IT-Vorfälle, wie etwa solche, die erhebliche Dienstunterbrechungen, Datenschutzverletzungen oder Integritätsverluste verursachen, müssen umgehend an die Aufsicht gemeldet werden – auch wenn noch nicht alle Details bekannt sind. Klare Prozesse und eingespielte Teams sind hier entscheidend.
   
   
3. Resilienztests
   Finanzunternehmen müssen ihre Systeme regelmässig auf Herz und Nieren prüfen – etwa durch Penetrationstests, die realistische Angriffsszenarien simulieren. Je größer das Unternehmen, desto strenger die Anforderungen.
   
   
4. Drittanbieter im Blick
   Ein besonders sensibler Punkt ist das Management von IT-Dienstleistern. Verträge müssen DORA-konform sein, auch mit Dienstleistern außerhalb der EU – etwa indem vertragliche Klauseln vorgeschrieben werden, die die Einhaltung der Resilienz- und Sicherheitsstandards der EU sicherstellen.

Die Herausforderungen – und wie man ihnen begegnet

In Gesprächen mit Kunden erleben wir immer wieder ähnliche Fragen und Unsicherheiten:

• Wie dokumentieren wir unsere Datenprozesse lückenlos?
• Wie behalten wir in Multi-Cloud-Umgebungen die Übersicht?
• Wie stellen wir sicher, dass auch unsere Dienstleister DORA-konform agieren?

„Es reicht nicht mehr aus, die eigene technische Infrastruktur abzusichern. Banken und Finanzdienstleister müssen vielmehr jederzeit nachweisen können, wie sensible Daten verarbeitet, gespeichert und weitergegeben werden – intern wie extern.“

‍

"Es reicht nicht mehr aus, die eigene technische Infrastruktur abzusichern. Banken und Finanzdienstleister müssen vielmehr jederzeit nachweisen können, wie sensible Daten verarbeitet, gespeichert und weitergegeben werden – intern wie extern."

– Alexander Sommer, unser CEO bringt es auf den Punkt

‍

Was jetzt hilft:

• Durchführung einer Gap-Analyse zur Bewertung des aktuellen Stands
• Aufbau eines belastbaren Drittanbieter-Managements mit klaren Kriterien und Audits
• Einführung von automatisierten Tools für Monitoring, Reporting und Audit-Trails

‍

Fazit: Vom Regelwerk zur Resilienz-Strategie

DORA ist mehr als ein regulatorisches Muss. Es ist die Chance, digitale Sicherheit neu zu denken – als festen Bestandteil der Unternehmensstrategie. Wer jetzt handelt, wird nicht nur compliant, sondern auch resilient.

‍

‍

Für alle, die tiefer einsteigen wollen

In unserem ePaper haben wir DORA praxisnah aufbereitet – inklusive:

• Checklisten für jedes Handlungsfeld
• Konkrete Empfehlungen für die Umsetzung
• Einblick in technologische Lösungen, die bereits heute unterstützen können

👉 Jetzt kostenlos herunterladen