Blog

Seit dem 17. Januar 2025 ist der Digital Operational Resilience Act (DORA) der Europäischen Union vollständig in Kraft. Finanzinstitute und ihre kritischen Informations- und Kommunikationstechnologie (IKT)-Dienstleister müssen diese Verordnung nun einhalten. DORA verbessert die Cybersicherheit im gesamten Finanzsektor, indem es einheitliche Anforderungen an die digitale Betriebsresilienz festlegt. In diesem Blog gehen wir darauf ein, was DORA ist, welche Konsequenzen die Nichteinhaltung der Vorschriften haben kann und wie Lösungen wie Impossible Cloud Finanzunternehmen dabei helfen können, die Vorschriften zu erfüllen und einzuhalten.

Was ist das Digital Operational Resilience Act (DORA)?

Der Digital Operational Resilience Act (DORA) ist ein von der Europäischen Union geschaffener Rechtsrahmen, der die Widerstandsfähigkeit von Finanzunternehmen gegen digitale und Cyber-Bedrohungen verbessern soll. Die DORA-Verordnung entstand aus der Besorgnis über zunehmende digitale Abhängigkeiten und Cyberangriffe und schreibt strenge Protokolle für das digitale Risikomanagement vor. Durch die Festlegung einheitlicher Regeln in der gesamten EU konzentriert sich das Gesetz auf die Verringerung von Betriebsstörungen und die Verbesserung der digitalen Widerstandsfähigkeit von Finanz- und IKT-Systemen, die an Dienstleistungen beteiligt sind.
DORA stellt sicher, dass Finanzunternehmen IKT-Störungen widerstehen, auf sie reagieren und sich von ihnen erholen können. Das Gesetz deckt verschiedene Elemente ab, wie z. B. die Meldung von Vorfällen, Risikomanagementstrategien und Widerstandsfähigkeitstests, um die Dienste zu schützen, auf die sich die Verbraucher verlassen. Es wurde 2023 eingeführt und trat Anfang 2025 in Kraft.
Im Gegensatz zu früheren Richtlinien ist DORA rechtlich durchsetzbar und dehnt seinen Geltungsbereich sowohl auf interne Systeme als auch auf externe Dienstleister aus, einschließlich Cloud-Speicherplattformen.

Sanktionen bei Nichteinhaltung der Vorschriften

Die Nichteinhaltung von DORA birgt erhebliche finanzielle, operative und Reputationsrisiken. Institute, denen ein Verstoß nachgewiesen wird, müssen mit folgenden Konsequenzen rechnen.

• Geldbußen bis zu 2 % des gesamten weltweiten Jahresumsatzes oder 1 % des durchschnittlichen Tagesumsatzes
• Einzelne Bußgelder bis zu 1.000.000 €
• Für kritische IKT-Drittanbieter Geldbußen von bis zu 5.000.000 € oder 500.000 € für Einzelpersonen
  

Die Datenschutz-Grundverordnung (GDPR) und das Gesetz über die digitale Betriebsbereitschaft (DORA) sind beides von der Europäischen Union geschaffene Regelwerke, die bei Nichteinhaltung erhebliche Strafen vorsehen. Hier finden Sie einen vergleichenden Überblick über die jeweiligen Sanktionsstrukturen.

Während die Datenschutz-Grundverordnung höhere Höchststrafen vorsieht, führt DORA spezifische Strafen für Einzelpersonen und kritische IKT-Dienstleister ein und spiegelt damit den gezielten Ansatz zur Gewährleistung der Widerstandsfähigkeit der digitalen Operationen des Finanzsektors wider.

Maßnahmen für Finanzinstitute zur Einhaltung des DORA

Der Digital Operational Resilience Act (DORA) hat weitreichende Auswirkungen auf den Finanzsektor, insbesondere auf die Art und Weise, wie Institute ihre Beziehungen zu IKT- und Cloud-Dienstleistern verwalten. Im Folgenden sind die wichtigsten Maßnahmen aufgeführt, die Finanzinstitute ergreifen sollten, um die Einhaltung der Vorschriften zu gewährleisten:

• Durchführung von Risikobewertungen: Überprüfen und kategorisieren Sie alle IKT- und Cloud-Service-Anbieter, um festzustellen, ob sie als kritische Drittanbieter (CTPPs) gelten. Ein wichtiger erster Schritt ist es, zu verstehen, welche Anbieter unter die strengeren Aufsichtsanforderungen von DORA fallen.
• Durchführung von Tests zur digitalen Ausfallsicherheit (Digital Operational Resilience Testing): Die DORA verlangt von Finanzunternehmen, dass sie regelmäßig ihre Fähigkeit testen, IKT-Störungen zu widerstehen und sich von ihnen zu erholen. Dazu gehört die Simulation verschiedener Bedrohungsszenarien, wie z. B. Cyberangriffe und Systemausfälle, um die Robustheit interner Systeme und Verfahren zu bewerten. 
• Wählen Sie den richtigen Cloud-Anbieter: Finanzinstitute sollten mit Anbietern zusammenarbeiten, die strenge Compliance-Anforderungen erfüllen können, einschließlich solider Informationssicherheitspraktiken, regelmäßiger Audits und Ausfallsicherheitstests.

Cloud-Anbieter, die als kritisch für den Betrieb des Finanzsektors gelten, können als CTPP eingestuft werden und unterliegen damit der direkten Aufsicht durch die Europäischen Aufsichtsbehörden (ESAs). Diese Einstufung schreibt die Einhaltung strenger Compliance-Anforderungen vor.

Wie Impossible Cloud die Einhaltung von DORA unterstützt

Bei Impossible Cloud sind Compliance und Sicherheit grundlegende Elemente unserer Serviceangebote.

• Hergestellt in Deutschland: Alle Daten werden in GDPR-konformen, ISO-zertifizierten Rechenzentren gespeichert, was die Datensouveränität sicherstellt und sich nahtlos in die DORA-Vorgaben zu Datenstandort und Datenschutz einfügt.
• Branchenführende Sicherheit: Zu den Funktionen gehören Multi-Faktor-Authentifizierung (MFA), Objektsperre, dreifache Verschlüsselung, Unveränderbarkeit, programmierbares Identitäts- und Zugriffsmanagement (IAM) und Unterstützung von Cross-Origin Resource Sharing (CORS).
• Nahtlose Integration mit führenden Backup-Lösungen: Wir haben Integrationen mit Partnern wie Veeam, Veritas und Acronis eingerichtet, die die Implementierung von konformen, sicheren Backup- und Disaster-Recovery-Lösungen für Finanzdienstleister erleichtern.

Sind Sie bereit, Ihre Cloud-Strategie DORA-konform zu gestalten?

Impossible Cloud versetzt Finanzunternehmen und IT-Dienstleister in die Lage, die heutigen Compliance-Standards zu erfüllen und sich gleichzeitig auf die digitalen Anforderungen von morgen vorzubereiten. Wenn Sie sich für Impossible Cloud entscheiden, entscheiden Sie sich nicht nur für hochleistungsfähigen, S3-kompatiblen Speicher, sondern machen einen strategischen Schritt hin zu einer belastbaren, sicheren und regulierungsfähigen digitalen Infrastruktur.
Wenn Sie weitere Unterstützung benötigen oder spezielle Fragen zur DORA-Compliance haben, können Sie sich gerne an unser Team wenden.

Quelle:
[1] Europäische Kommission, Durchführungs- und delegierte Rechtsakte - DORA
[2] Europäische Union, Digital operational resilience for the financial sector
[2] N2WS, DORA Regulation Explained: Anforderungen, Sanktionen und Einhaltung
[3] The Guardian, GDPR Geldbußen

‍