DORA: Warum die Finanzbranche mehr Resilienz braucht

Aufgrund der zunehmenden Digitalisierung der Finanzbranche und der Gefahr von Cyberangriffen wurde von der EU eine spezifische Verordnung für Banken und Versicherungen entwickelt. Der Digital Operational Resilience Act (DORA) soll vor Datenverlust schützen und den reibungslosen Zahlungsverkehr bzw. die Business Continuity auch im Krisenfall gewährleisten. Was viele aber noch nicht wissen: Die Anforderungen an DORA-Konformität betreffen nicht nur die Bank selbst, sondern auch ihre technischen Dienstleister. Das ist notwendig, weil viele Banken auf externe IKT-Dienstleister angewiesen sind und deren Systeme ein potenzielles Risiko darstellen.

Erfahren Sie hier, was das für Ihre IKT-Dienstleister konkret bedeutet.

Ein modernes Bankgebäude als Beispiel für Finanzunternehmen, die DORA-konform ausgerüstet sein müssen

DORA und die Auswirkungen – wichtige Fragen und Antworten

Die EU-Verordnung zur Stärkung der digitalen und operationalen Resilienz von Finanzunternehmen gilt seit Mitte Januar 2025. Neben vielen anderen Regelungen steht vor allem das IKT-Risikomanagement im Fokus der Bankenaufsicht. In unserem Q&A erfahren Sie die wichtigsten Fakten zur neuen Gesetzgebung.

Warum gibt es den Digital Operational Resilience Act (DORA)?

Während die KRITIS-Regeln den physischen Schutz kritischer Infrastrukturen im Blick haben, bezieht sich DORA auf die digitale und operationale Resilienz des Finanzsektors. Aufgrund der großen Bedeutung dieser Branche hat man sich entschieden, den Finanzsektor unter besondere Aufsicht zu stellen. Denn der Verlust von Kundendaten oder eine Unterbrechung des Zahlungsverkehrs könnten dramatische Folgen haben. Verantwortlich für die Überprüfung der DORA-Konformität ist die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin).

Was schreibt das Gesetz konkret vor?

Neben der Analyse vorhandener Systeme und regelmäßigen Resilienztests fordert DORA auch klar definierte Prozesse für die Vorfallserkennung und -meldung. Zudem ist die Einrichtung eines Notfallmanagements mit entsprechenden Krisenplänen vorgeschrieben. Ein weiterer Kernpunkt von DORA ist die Etablierung eines IKT-Risikomanagementsystems. Dadurch soll vermieden werden, dass über sogenannte IKT-Drittanbieter und deren Systeme von außen Schwachstellen in das Gesamtsystem implementiert werden.

Worin liegt der Unterschied zu MaRisk und BAIT?

Die MaRisk (Mindestanforderungen an das Risikomanagement) ist eine von der BaFin vorgegebene Verwaltungsvorschrift. Sie setzt die Anforderungen des §25 Kreditwesengesetz (KWG) um, nach der alle Banken verpflichtet sind, Maßnahmen zur Risikominimierung zu ergreifen. Mit BAIT (Bankenaufsichtliche Anforderungen an die IT) wurde der Teilbereich des IT-Risikomanagements konkretisiert. BAIT wurde im Januar 2025 von der europaweit gültigen DORA-Verordnung ergänzt und erweitert. Die Anforderungen von DORA gehen daher weit über BAIT hinaus.

Für welche Unternehmen gilt DORA?

DORA gilt für sämtliche Kreditinstitute, Zahlungsdienstleister, Versicherungen, Börsen, Wertpapierhändler und Krypto-Anbieter in der Europäischen Union sowie deren Zulieferer für Informations- und Kommunikationstechnologie (IKT).

Wer ist für die Umsetzung von DORA verantwortlich?

Für die gesetzeskonforme Umsetzung ist allein das Finanzunternehmen verantwortlich, nicht der IKT-Dienstleister. Die Prüfung des IKT-Dienstleisters und der Nachweis seiner DORA-Konformität obliegt also dem Finanzunternehmen.

Welche Auswirkungen hat DORA auf IKT-Dienstleister?

DORA betrifft nicht nur Software und Netzwerke, sondern auch physische Systeme, die Auswirkungen auf die IT-Sicherheit haben könnten – etwa Einbruchmeldetechnik und andere Sicherheitstechnik. Daher müssen IKT-Drittanbieter DORA-konforme Lösungen anbieten und nachweisen.

Welche IKT-Dienstleistungen fallen unter DORA?

Gemäß Definition sind IKT-Dienstleistungen digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzerinnen und Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen. Dazu gehört auch die technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen, mit Ausnahme herkömmlicher analoger Telefondienste.

Wie werden IKT-Dienstleister eingestuft?

Für IKT-Dienstleister gibt es drei Einstufungen:

Unkritische IKT-Dienstleister, die keine Dienstleistungen für kritische Funktionen des Finanzunternehmens erbringen.
IKT-Dienstleister, die Systeme bereitstellen, die kritische oder wichtige Funktionen des Finanzunternehmens betreffen. Gemeint sind Funktionen, deren Ausfall die finanzielle Leistungsfähigkeit oder die Fortführung der Geschäftstätigkeit erheblich beeinflussen könnten.
Kritische IKT-Dienstleister sind verantwortlich für Funktionen, deren Ausfall die Fortführung der Geschäftstätigkeit in jedem Fall beeinflusst.

Das Finanzunternehmen kann eine Einstufung in (1) oder (2) vornehmen und an die BaFin melden. Die Einstufung in (3) kann nur die BaFin selbst vornehmen.

Bosch als Lieferant von sicherheitstechnischen Lösungen wie zum Beispiel Einbruchmeldetechnik oder Zutrittskontrolle gilt in der Regel als unkritisch, da ein Ausfall der Systeme die Fortführung der Geschäftstätigkeit nicht erheblich beeinträchtigen würde.

Welche Schritte erfordert das IKT-Risikomanagement?

Neben dem Nachweis der DORA-Konformität aller Komponenten und Systeme muss das Risikomanagement die installierten Systeme in die Resilienztests und automatischen Vorfallmeldungen mit einbeziehen. Vorgeschrieben ist ein gesonderter Meldeprozess für IKT-Vorfälle.

Was bedeutet DORA für die Integration eines Sicherheitssystems?

Alle Sicherheitslösungen müssen sich in die digitalen Kontroll- und Meldeprozesse integrieren lassen – unabhängig davon, ob sie physischen Schutz oder Cybersicherheit betreffen. Die Kompatibilität der Systeme in die IT-Infrastruktur des Unternehmens ist daher besonders wichtig. Im Rahmen des Betriebs und der Wartung ist ein ständiger Abgleich erforderlich, ob die verbauten Systeme noch den neuesten Anforderungen genügen.

Welche Komponenten und Systeme sind betroffen?

Zu den IKT-Lösungen, die DORA-konform sein müssen, gehören vor allem Systeme für Systeme für Zutrittskontrolle, intelligente Videolösungen, Überfall- und Einbruchmeldetechnik, Brandschutz sowie Dienstleistungen, die aus der Ferne erbracht werden. Dazu zählen unter anderem die Aufschaltung auf eine Notruf- und Serviceleitstelle oder die Fernwartung. Für die Bewertung ist entscheidend, welche Art von Vertrag mit dem Finanzunternehmen geschlossen wurde. Während reine Kaufverträge keine Rolle spielen, sind Wartungs- und Instandhaltungsverträge, Mietverträge und Dienstverträge für die Einstufung des IKT-Dienstleisters relevant.

Ein Berater von Bosch Energy and Building Solutions im Gespräch mit einer Kundin aus der Finanzbranche

Bosch als verlässlicher IKT-Dienstleister

Widerstandsfähigkeit gegen äußere Bedrohungen beginnt im Inneren. Ihre Sicherheitssysteme müssen ebenso DORA-konform sein wie die gesamte digitale Infrastruktur Ihres Finanzunternehmens. Das bedeutet: Die DORA-Verordnung betrifft auch IKT-Dienstleister wie Bosch Energy and Building Solutions.

Ein Mitarbeitender gibt in seinen Laptop die Login-Daten für einen gesicherten Bereich ein

Evolution braucht Innovation

Durch unsere langjährige Erfahrung mit MaRisk und BAIT verfügen wir bereits über etablierte Prozesse und eigene Fachabteilungen. Unsere Komponenten und Systeme erfüllen schon jetzt alle DORA-Anforderungen. Sie werden ständig weiterentwickelt und – wenn notwendig – an veränderte Rahmenbedingungen angepasst. Wir halten Schritt mit den Innovationen in der Sicherheitstechnik und reagieren sofort auf neue regulatorische Anforderungen. Damit Ihr Finanzunternehmen nicht nur heute, sondern auch morgen gut geschützt ist und Sie sich sorgenfrei auf Ihre Finanzgeschäfte konzentrieren können.

„Nach DORA ist vor dem nächsten Gesetz: Unsere Lösungen sind schon jetzt so ausgerichtet, dass sie an zukünftige Veränderungen angepasst werden können.“

Thomas Jörg, Branchenmanager Banken

Ein Bienenstock als Symbol für schützenswerte und komplexe Infrastruktur

Warum Bosch und DORA ganz natürlich zusammengehören

Sicherheit liegt in unserer Natur: Bosch Energy and Building Solutions besitzt jahrzehntelange Erfahrung im Schutz der kritischen Infrastruktur von Finanzunternehmen. Wir beraten, analysieren und setzen um: Von Zutrittskontrolle und intelligenten Videolösungen bis hin zur Überfall- und Einbruchmeldetechnik, der Branddetektion und ergänzenden Dienstleistungen.

Erfahren Sie mehr über uns als IKT-Partner.

Unsere Lösungen

Ihr Weg zur DORA-Konformität: Sprechen Sie mit uns!

Die Gesichter des DORA-Expertenteams bei Bosch Energy and Building Solutions

Möchten Sie wissen, wie Sie Ihre IKT-Dienstleister optimal in ein Schutzkonzept einbinden können? Egal, ob Sie bereits konkrete Fragen haben oder mehr über DORA-konforme Lösungen erfahren möchten: Wir helfen Ihnen, die richtigen Entscheidungen zu treffen.

Unser Team freut sich auf ein erstes Gespräch mit Ihnen – natürlich ganz unverbindlich.

Senden Sie uns gerne eine Nachricht

Weiterlesen

Sicherheitstechnik für Banken
Mehr erfahren