DORA: Der Countdown läuft – am 11.04.2025 muss das Informationsregister erstmals eingereicht werden

Seit dem 17. Januar 2025 ist der Digital Operational Resilience Act (DORA) in der EU verpflichtend anzuwenden. DORA zielt darauf ab, die digitale Widerstandsfähigkeit von Finanzunternehmen zu stärken und ihre IKT-Risiken systematisch zu überwachen. Finanzunternehmen müssen sicherstellen, dass ihre IKT-Systeme gegen Cyberangriffe, technische Störungen und Datenverluste geschützt sind.

Wesentliche Inhalte von DORA

• IKT-Risikomanagement: Finanzinstitute müssen robuste Strategien, Richtlinien und Verfahren zur Identifizierung, Bewertung und Steuerung von IKT-Risiken implementieren. Dazu gehören unter anderem regelmäßige Risikoanalysen, Sicherheitsmaßnahmen und Notfallpläne.
• Digitale Resilienz-Tests: Finanzunternehmen sind verpflichtet, regelmäßig Tests wie Schwachstellenanalysen, Stresstests und Penetrationstests durchzuführen, um die Widerstandsfähigkeit ihrer Systeme zu gewährleisten.
• IKT-Drittparteien-Risikomanagement: DORA verlangt eine umfassende Dokumentation und Kontrolle von externen IKT-Drittdienstleistern, inklusive Vertragsanpassungen, Risikoanalysen und Ausstiegsstrategien für relevante IKT-Drittdienstleister.
• Meldung von IKT-Vorfällen: Unternehmen müssen schwerwiegende IKT-Sicherheitsvorfälle zeitnah an die zuständigen Behörden melden, um eine schnelle Reaktion auf Cyberangriffe und Systemstörungen zu ermöglichen.

Der nächste wichtige Stichtag ist der 11. April 2025. Bis zu diesem Zeitpunkt müssen Finanzunternehmen erstmals ihr Informationsregister über ihre vertraglichen Vereinbarungen mit IKT-Drittdienstleistern bei den Aufsichtsbehörden einreichen. In Deutschland ist das Informationsregister über das Melde- und Informationsportal (MVP) bei der BaFin einzureichen. Die BaFin leitet die gesammelten Informationen anschließend bis zum 30. April 2025 an die Europäischen Aufsichtsbehörden (ESAs) weiter.