DORA – Digital Operational Resilience Act Verordnung Nr. 2022/2554 (2 von 2)

Vom OpRisk zur ganzheitlichen operativen Resilienz.

Die zunehmende Bedeutung der IT-Sicherheit und von Cyberrisiken im Finanzsektor verbindet in diesem Kontext insbesondere zudem das Thema Business Continuity Management, bzw. Notfallmanagement. Und das nicht nur durch die zunehmende Digitalisierung des Bankgeschäfts und die pandemiebedingte Arbeit in Heimarbeit, sondern auch die derzeitige politische Lage und die damit verbundene zunehmende Bedrohung durch Cyberangriffe gehören in diesen Kontext

Der veröffentlichte Jahresbericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur Lage der IT-Sicherheit sieht dort ein zunehmendes Risiko durch Cyberattacken.

Die Verordnung DORA soll Lücken schließen, um die operative Widerstandsfähigkeit und Solidität des gesamten Finanzsystems gegen ungewünschte Vorfälle zu erreichen,

Was sind die Hintergründe zu DORA?

Bereits im Rahmen der Evaluierungen für eine Richtlinie über die Resilienz kritischer Einrichtungen sowie eine Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS2) im Jahr 2019 wurde deutlich, dass bestehende Vorschriften angesichts der zunehmenden Digitalisierung der Wirtschaft, den zunehmenden Auswirkungen des Klimawandels und den terroristischen Bedrohungen aktualisiert und weiter gestärkt werden müssen. 

Eine Veröffentlichung der finalen NIS-2-Richtlinie erfolgte dann Ende Dezember 2022 im EU-Amtsblatt. Ergänzend zur Stärkung der IT-Sicherheit von Finanzunternehmen wurde von der Kommission im September 2020 ein Vorschlag für eine Verordnung über die Betriebsstabilität digitaler Systeme (DORA) vorgelegt.

Welche aufsichtsrechtlichen Anforderungen gab es bereits vor DORA?

In Deutschland wurden erweiterte Anforderungen an die IT- Sicherheit von kritischen Infrastrukturen (KRITIS) und Banken, bzw. deren IT-Dienstleistern bereits im Jahr 2021 in verschiedenen rechtlichen Vorgaben umgesetzt.

Zum einen das IT-Sicherheitsgesetz 2.0 (Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme) – welches eigentlich eine Vielzahl von Änderungen einzelner Gesetze ist und zugleich eine Stärkung des Bundesamtes für Informationstechnik (BSI) . 

Die BAIT-Novelle aus 2021 mit den aktualisierten Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS), zur operativen Informationssicherheit mit der Durchführung von Penetrationstests und das allgemeine Notfallmanagement aus dem AT 7.3 der MaRisk. Das Thema IT-Sicherheit hat seit einigen Jahren bereits Priorität bei Prüfungen der Aufsicht. 

Wie können sich Unternehmen auf den Umsetzungstermin vorbereiten?

Die betroffenen Finanzinstitute und IKT-Dienstleister sollten daher die verbleibende Zeit bis zur Anwendung der DORA nutzen, um

  • mit Hilfe einer GAP-Analyse sich frühzeitig mit der Umsetzung der Anforderungen und ihrer aktuell bestehenden operationellen Widerstandsfähigkeit zu beschäftigen.
  • eine Orientierung an den aktuellen MaRisk-/BAIT-Anforderungen, EBA Outsourcing Guidelines und der einschlägigen Prüfungspraxis der Aufsichtaufzubauen. Als Orientierungshilfen gelten Nachbereitungen der aktuellen BAIT- Prüfungspraxis sowie die Verfolgung der aktuellen Initiativen von EBA/EZB. 
  • Zudem wird angeraten eine unmittelbare und wirksame Verankerung bestehender Melde- und Risikomanagementpflichten nach KWG, sowie BAIT/MaRisk im Unternehmen umzusetzen.

Es wird darauf hingewiesen, dass gemäß Erwägungsgrund 16 die DORA- Verordnung eine Lex specialis zur Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) verkörpert. 

Mit DORA wird die Harmonisierung in der EU in Bezug auf die verschiedenen Komponenten der digitalen Resilienz erhöht wird, indem Anforderungen an das IKT-Risikomanagement und die Meldung von IKT-Vorfällen eingeführt werden, die strenger sind als diejenigen Regelungen, die bislang im Finanzdienstleistungsrecht der Union galten. 

Es ist zu erwarten, dass für die bislang als KRITIS-Betreiber im deutschen Finanzsektor beim BSI registrierten Organisationen zu gegebener Zeit einschlägige zwischen BaFin und BSI abgestimmte Anforderungen in Bezug auf die Meldung von IKT-Störungen gemäß § 8b Abs. 4 BSIG sowie zur Sicherstellung der Anforderungen, die derzeit gemäß § 8a BSIG einzuhalten, bzw. umzusetzen sind, kommuniziert werden.

Welche Schritte gehören zu einem OpRisk auf Basis der Standards von COSO oder COBIT?

Für Überlegungen im Rahmen eines OpRisk nach bestehenden Standards wie COSO oder COBIT sind folgende Maßnahmen im Internen Kontroll-System (IKS) üblich:

  • Aufbau eines OpRisk Management Framework – Durchführung von Gap- Analysen und Compliance Checks (inkl. kundenspezifischer Optimierungsvorschläge) 
  • Identifizierung von OpRisk – Durchführung von Risk and Control Self Assessments (RCSA) auf Basis von Methoden und Werkzeugen 
  • Definition und Messung von Key Risk Indicators (KRI)
  • Quantifizierung von OpRisk nach CRR (Capital Requirement Regulation), bzw. CRV-IV (Capital Requirement Directive IV)
  • Einbindung des OpRisk Managements in die Gesamtbankrisikosteuerung (ICAAP der EZB) 
  • Prozessdokumentation – Unterstützung bei der Erstellung und Überarbeitung relevanter Prozessdokumentationen (Risikolandkarte, Prozessbeschreibungen, Flowcharts, Kontrollmatrizen)
  • Optimierung IKS – Konzeptionierung und Umsetzung eines risiko­orientierten, revolvierenden Ansatzes zur laufenden Analyse, Dokumentation und Optimierung des IKS, d.h. Identifizierung der risikoreichsten Prozesse (Scoping), Erstellung einer Risiko-/Kontrollmatrix, Identifizierung und Planung von Verbesserungspotenzialen zu bestehenden Kontrollen (inkl. Nachverfolgung)
  • Überprüfung von Wirksamkeit und Effizienz des IKS (Testing), Berichterstattung 
  • Dokumentation IKS – Umsetzung von Dokumentationserfordernissen im Bereich IKS (IKS-Handbuch, Risiko-/Kontrollmatrix) 


Letztlich sind die Unternehmen mit einem etablierten OpRisk deutlich näher an der erfolgreichen Umsetzung von DORA, wie andere Unternehmen, die bisher keine strukturierte Vorgehensweise in diesem Bereich haben.  Sie müssen nur die einzelnen Fäden verbinden.

Dieser zweite Blog zu DORA ist ein Teil der DORA Serie. Teil 1 finden Sie ebenfalls auf unserer Seite in der Rubrik Blogs. DORA – Digital Operational Resilience Act Verordnung Nr. 2022/2554 (1 von 2). Weitere Informationen zu NIS-2 finden Sie unter NIS2: EU-Cybersicherheit – Haftungsrisiken für Geschäftsleitungen

15. Februar 2024

Gerd Grimberger, 
Rechtsinformatiker

Weitere Beiträge

Nach oben scrollen