Skip to content
KundenreferenzPreiseSicherheitVergleichBlog
GlossarLänderleitfädenChecklistenROI-Rechner

Europe

Americas

Oceania

Zurück zum Glossar
RegulierungDORA

Digital Operational Resilience Act (DORA)

Der Digital Operational Resilience Act ist eine europäische Verordnung, die Finanzunternehmen strenge Anforderungen an die digitale operationelle Resilienz auferlegt. Seit dem 17. Januar 2025 anwendbar, umfasst er das IKT-Risikomanagement, die Meldung von Vorfällen, Resilienztests und die Überwachung kritischer Drittanbieter.

DORA begegnet der wachsenden Abhängigkeit des Finanzsektors von digitalen Technologien durch die Schaffung eines harmonisierten Rahmens für operationelle Resilienz auf EU-Ebene. Die Verordnung gilt für über 20 Kategorien von Finanzunternehmen: Banken, Versicherer, Vermögensverwalter, Handelsplattformen, Zahlungsdienstleister sowie als kritisch eingestufte IKT-Drittdienstleister.

Die Verordnung basiert auf fünf Säulen: IKT-Risikomanagement (Governance, Managementrahmen, Sicherheitsrichtlinien); Meldung schwerwiegender IKT-Vorfälle an die zuständigen Behörden; Tests der digitalen operationellen Resilienz, einschließlich fortgeschrittener Penetrationstests für bedeutende Unternehmen; Management von IKT-Drittparteienrisiken; und Informationsaustausch über Cyberbedrohungen zwischen Finanzunternehmen.

Für KYC- und Dokumentenprüfungsdienstleister hat DORA direkte Auswirkungen: Als IKT-Zulieferer des Finanzsektors können sie als kritische Anbieter eingestuft und der direkten Aufsicht der europäischen Aufsichtsbehörden unterstellt werden. Sie müssen die Servicekontinuität, die Sicherheit der verarbeiteten Daten und die Widerstandsfähigkeit gegen Cyberangriffe gewährleisten.

Vorschriften

doragdpr-rgpdpsd2-dsp2

Praxisbeispiele

  • 1.Eine europäische Bank muss alle ihre IKT-Dienstleister erfassen, einschließlich ihres Anbieters für Remote-Identitätsprüfung, und das Konzentrationsrisiko bewerten, wenn dieser Anbieter mehrere kritische Funktionen unterstützt.
  • 2.Ein Versicherer führt fortgeschrittene Penetrationstests an seinem Online-Zeichnungssystem durch, einschließlich des KYC-Moduls, um seine Widerstandsfähigkeit gegen ein gezieltes Cyberangriffsszenario zu validieren.
  • 3.Ein Zahlungsdienstleister meldet einen schwerwiegenden IKT-Vorfall der Aufsichtsbehörde innerhalb von 4 Stunden nach Erkennung eines Ausfalls seines Identitätsprüfungsdienstes, der das Onboarding neuer Kunden beeinträchtigt.

Verwandte Begriffe

Automatisieren Sie Ihre Compliance

Erfahren Sie, wie CheckFile die Dokumentenprüfung für Ihre Organisation vereinfacht.