Am 4. Dezember 2024 haben die Europäischen Aufsichtsbehörden (ESAs) ihre Erwartungen hinsichtlich der Umsetzung des Digital Operational Resilience Act (DORA) veröffentlicht. Diese Erwartungen für die Finanzdienstleistungsbranche von entscheidender Bedeutung, da sie klare Leitlinien bieten, wie Unternehmen die Anforderungen von DORA effektiv umsetzen können, um ihre digitale Unternehmnesresilienz zu stärken.

Ein zentrales Element der Erwartungen der ESAs ist die Notwendigkeit einer umfassenden Risikobewertung. Unternehmen sind aufgefordert, ihre digitalen Infrastrukturen systematisch zu analysieren, um potenzielle Schwachstellen und Risiken zu identifizieren. Dies umfasst nicht nur interne Systeme, sondern auch die Abhängigkeiten von Drittanbietern. Die ESAs betonen, dass eine kontinuierliche Überwachung und regelmäßige Aktualisierung dieser Risikobewertungen unerlässlich sind, um auf sich verändernde Bedrohungen und technologische Entwicklungen reagieren zu können.

Darüber hinaus legen die ESAs großen Wert auf die Entwicklung und Implementierung robuster Notfall- und Wiederherstellungspläne. Diese Pläne sollten spezifische Szenarien auf der Grundlage der identifizierten Risiken abdecken und klare Verfahren für die Reaktion auf Vorfälle festlegen. Die ESAs erwarten, dass Unternehmen regelmäßig Übungen und Tests durchführen, um die Wirksamkeit dieser Pläne zu überprüfen und sicherzustellen, dass alle Mitarbeiter mit den Abläufen vertraut sind.

Ein weiterer wichtiger Aspekt ist die Schulung und Sensibilisierung der Mitarbeiter. Die ESAs fordern Unternehmen auf, umfassende Schulungsprogramme zu implementieren, die sicherstellen, dass alle Mitarbeiter die Bedeutung der digitalen Resilienz verstehen und wissen, wie sie im Falle eines Vorfalls reagieren müssen. Dies schließt auch die Förderung einer Unternehmenskultur ein, die Sicherheit und Resilienz priorisiert.

Die Zusammenarbeit mit Drittanbietern wird ebenfalls als kritisch angesehen. Die ESAs erwarten, dass Unternehmen sicherstellen, dass ihre Dienstleister die gleichen hohen Standards in Bezug auf digitale Resilienz einhalten. Dies erfordert regelmäßige Audits und Überprüfungen der Sicherheitspraktiken von Drittanbietern sowie klare vertragliche Vereinbarungen, die die Anforderungen von DORA widerspiegeln.

Zusammenfassend lässt sich sagen, dass die Erwartungen der ESAs an die DORA-Umsetzung einen klaren Rahmen für Unternehmen bieten, um ihre digitale Unternehmensresilienz zu stärken. Durch die proaktive Identifizierung von Risiken, die Entwicklung robuster Notfallpläne, die Schulung von Mitarbeitern und die Sicherstellung der Compliance von Drittanbietern können Unternehmen nicht nur regulatorische Anforderungen erfüllen, sondern auch ihre Widerstandsfähigkeit gegenüber digitalen Bedrohungen erheblich verbessern. Die Umsetzung dieser Erwartungen ist entscheidend für den langfristigen Erfolg und die Stabilität der Finanzdienstleistungsbranche in einer zunehmend digitalen Welt.