Christopher Schütze, Chief Information Security Officer und Chief of Advisory bei KuppingerCole Analysts AG

DORA soll einen umfassenden Rahmen für effektive Cybersicherheit und die digitale operationale Resilienz bei der Bereitstellung von Finanzdienstleistungen schaffen. Dabei werden im Fokus nicht mehr nur einzelne Informations- und Kommunikationstechnologie (IKT)-Assets bewertet, wie man es im klassischen Risikomanagement in der Vergangenheit gemacht hat, sondern geht als wichtiger Ansatz direkt von den Ende-zu-Ende-Prozessen aus und überwacht diese aktiv.

Obwohl die europäische Finanzindustrie durch Aufsichtsbehörden wie die BaFin in Deutschland bereits reguliert ist und einen relativen Reifegrad in der Thematik erreicht hat, markiert DORA einen bedeutenden Schritt an digitale Resilienz. Christopher Schütze, Chief Information Security Officer und Chief of Advisory bei KuppingerCole Analysts AG erläutert, was dies für Finanzdienstleistungsunternehmen in der Praxis bedeutet: „DORA erweitert und vertieft bestehende Anforderungen, die Finanzdienstleister bereits aufgrund früherer Vorgaben umgesetzt haben. Aufgrund der umfassenden und strengen Vorgaben von DORA erfordert es jedoch eine gründliche Analyse und Anpassung der Geschäftspraktiken, um eine vollständige Compliance sicherzustellen. Ein wichtiger Aspekt ist, dass nun auch der physische Zugriff auf kritische Infrastrukturen, wie Serverräume, unter die erweiterten Sicherheitsmaßnahmen fällt. Dies bedeutet, dass digitale Zutrittssysteme, elektronische Ausweise und Zugangsberechtigungen in die Sicherheitsplanung integriert werden müssen.“

DORA erweitert und vertieft bestehende Anforderungen, die Finanzdienstleister bereits aufgrund früherer Vorgaben umgesetzt haben.

Zudem fallen in Abgrenzung zu MaRisk (die von der BaFin herausgegebenen Mindestanforderungen an das Risikomanagement für Banken und teilweise Versicherungen) mit DORA fast alle Akteure des europäischen Finanzsektors in den Anwendungsbereich: Investmentfirmen, Zahlungs- und Krypto-Dienstleister, die sogenannten Neo-Broker sowie alle jeweils dazugehörigen Ende-zu-Ende-Prozesse und Zulieferer: „Je mehr Lieferanten oder externe Dienstleister ich in den Prozessen habe, desto mehr Abhängigkeiten und Risiken können diese bergen. Diese möglichen Risiken aller dazugehörigen Drittanbieter in der Analyse zu berücksichtigen, stellt eine enorme Komplexität dar, die weit darüber hinausgeht, was bisher da war.“ Aber Christopher Schütze ist sich sicher: „Sowohl DORA als auch NIS2 haben das Potenzial, die Resilienz der digitalen Infrastruktur in Europa deutlich zu stärken und damit einen erheblichen Mehrwert für Europa und die deutsche Wirtschaft zu schaffen.“