DORA und die Auswirkungen auf IT-Unternehmen

Die EU-Verordnung (DORA) stellt einen Meilenstein in der Regulierung digitaler Resilienz dar und wird ab Januar 2025 für Unternehmen des Finanzsektors verbindlich. Dabei beschränkt sich ihre Wirkung keinesfalls auf Banken, Versicherer oder Zahlungsdienstleister. Auch IT-Unternehmen, die Softwarelösungen, Cloud-Dienste oder IT-Support für DORA-betroffene Organisationen bereitstellen, sind indirekt von den Anforderungen betroffen – mit weitreichenden vertraglichen, organisatorischen und operativen Implikationen.

DORA: Ein Überblick über die wesentlichen Pflichten

DORA zielt darauf ab, die digitale Widerstandsfähigkeit von Finanzinstituten gegen Cyberrisiken zu erhöhen. Die wichtigsten Anforderungen umfassen:

  1. IKT-Risikomanagement: Unternehmen müssen umfassende technische, organisatorische und operative Maßnahmen zur Sicherung ihrer IT-Systeme implementieren. Dies umfasst Strategien zur Prävention, Erkennung, Eindämmung und Wiederherstellung bei Cybervorfällen.
  2. Berichtspflichten: Finanzinstitute sind verpflichtet, erhebliche Cybervorfälle an die zuständigen Behörden zu melden, einschließlich detaillierter Angaben zu Ursachen, Auswirkungen und Gegenmaßnahmen.
  3. Drittanbieter-Überwachung: IT-Dienstleister, die als „kritisch“ eingestuft werden, unterliegen strenger Aufsicht durch europäische Behörden. Dies betrifft insbesondere Cloud-Anbieter, die Kernfunktionen für Finanzdienstleister bereitstellen.
  4. Notfallpläne und Wiederherstellungsstrategien: Finanzinstitute und ihre Dienstleister müssen sicherstellen, dass sie auch bei Cyberangriffen oder technischen Ausfällen betriebsfähig bleiben können.

Vertragliche Auswirkungen auf die IT-Lieferkette

Für IT-Unternehmen ergeben sich aus diesen Pflichten insbesondere vertragliche Verpflichtungen, die ihre Beziehung zu Finanzdienstleistern prägen:

  • Klar definierte Sicherheitsvorgaben: Verträge müssen festlegen, wie IT-Dienstleister Sicherheitsrisiken managen, darunter Maßnahmen zur Datenintegrität, Verfügbarkeit und Verschlüsselung.
  • Notfall- und Exit-Strategien: Dienstleistungsverträge müssen Regelungen enthalten, wie im Falle einer Störung verfahren wird, und Exit-Klauseln für den Fall, dass der IT-Dienstleister die Anforderungen nicht erfüllt.
  • Berichtspflichten: IT-Dienstleister müssen vertraglich zusichern, relevante Informationen über Vorfälle und Risiken an ihre Kunden weiterzugeben, die diese zur Erfüllung ihrer eigenen Pflichten benötigen.
  • Regelungen für Sub-Outsourcing: Werden Teile der Dienstleistungen an Unterauftragnehmer vergeben, bleibt das Finanzinstitut verantwortlich, dass auch diese die DORA-Vorgaben erfüllen.

Für IT-Unternehmen bedeutet dies, dass sie ihre eigenen Prozesse, Sicherheitsmaßnahmen und Dokumentationen anpassen müssen, um den Anforderungen gerecht zu werden.

DORA und der NIS2-Kontext

DORA und die ebenfalls kürzlich verabschiedete NIS2- stehen in engem Zusammenhang, da beide Regelwerke auf eine Verbesserung der Cybersicherheit abzielen. Während NIS2 einen breiteren Anwendungsbereich hat und öffentliche sowie private Unternehmen in essenziellen und wichtigen Sektoren (wie Energie, Gesundheit, Transport und digitale Infrastruktur) adressiert, ist DORA spezifisch auf den Finanzsektor zugeschnitten.

Dennoch überschneiden sich die Anforderungen beider Regime in zentralen Punkten:

  • Sicherheitsanforderungen: Sowohl DORA als auch NIS2 fordern umfassende Maßnahmen zur Sicherung von Netz- und Informationssystemen.
  • Berichtspflichten: Beide Regelwerke verlangen eine Meldung erheblicher Sicherheitsvorfälle innerhalb kurzer Fristen.
  • Überwachung von Drittanbietern: Ähnlich wie DORA fordert auch NIS2, dass Unternehmen die Sicherheitspraktiken ihrer streng überwachen.

Praktische Herausforderungen und Lösungsansätze für IT-Unternehmen

  • Erfüllung der -Anforderungen: IT-Unternehmen müssen sicherstellen, dass ihre eigenen IT-Sicherheitsmaßnahmen den hohen Anforderungen von DORA und NIS2 genügen. Hierzu kann die Implementierung eines ISMS (Information Security Management System) nach ISO/IEC 27001 oder ähnlichen Standards hilfreich sein.
  • Vertragliche Vorbereitung: Bestehende Kundenverträge sollten auf die Einhaltung der neuen Vorgaben überprüft und bei Bedarf angepasst werden. Dies betrifft insbesondere Sicherheitsvorkehrungen, Meldepflichten und Notfallregelungen.
  • Risikomanagement entlang der Lieferkette: Die Einbindung von Subdienstleistern erfordert eine erweiterte Risikoanalyse und Überwachung, da diese ebenfalls die Anforderungen erfüllen müssen.
  • Zusammenarbeit mit Kunden: IT-Unternehmen sollten eng mit ihren Kunden im Finanzsektor zusammenarbeiten, um die Compliance-Anforderungen zu verstehen und umzusetzen. Workshops, gemeinsame Risikoanalysen und transparente Kommunikation sind essenziell.

Cyberkriminalität ist am Ende nur teurer als das, was man hier investieren muss.

Chancen für IT-Unternehmen

Trotz der Herausforderungen bietet DORA IT-Unternehmen auch neue Geschäftsmöglichkeiten:

  • Erweiterte Dienstleistungen: Unternehmen können Beratungs- und Unterstützungsdienste für Finanzkunden anbieten, etwa in den Bereichen Risikomanagement, IT-Sicherheit und Compliance.
  • Wettbewerbsvorteile: Anbieter, die frühzeitig auf die Anforderungen reagieren und ihre Systeme entsprechend ausrichten, können sich als bevorzugte Partner für Finanzdienstleister positionieren.
  • Stärkung der Vertrauensbasis: Die Einhaltung von DORA-Anforderungen signalisiert potenziellen Kunden eine hohe Kompetenz und Verlässlichkeit in Sachen IT-Sicherheit.
Die EU-Verordnung Digital Operational Resilience Act (DORA) stellt einen Meilenstein in der Regulierung digitaler Resilienz dar und wird ab Januar 2025 für Unternehmen des Finanzsektors verbindlich. Dabei beschränkt sich ihre Wirkung keinesfalls auf Banken, Versicherer oder Zahlungsdienstleister. Auch IT-Unternehmen, die Softwarelösungen, Cloud-Dienste oder IT-Support für DORA-betroffene Organisationen bereitstellen, sind indirekt von den Anforderungen betroffen – mit weitreichenden vertraglichen, organisatorischen und operativen Implikationen.

IT-Sicherheit gehört in jedes Unternehmen. NIS2 und DORA sind gute Anlässe, endlich das bisher vielleicht vernachlässigte Gebiet anlassbezogen aufzuarbeiten. Denn: Cyberkriminalität ist am Ende nur teurer als das, was man hier investieren muss.

Wer einmal einen Sicherheitsvorfall im eigenen Haus hatte, wird sich ärgern, vorher nicht in ordentliche Cybersicherheit investiert zu haben.

Fazit

DORA setzt neue Maßstäbe für die IT-Sicherheit im Finanzsektor – und hat Auswirkungen weit über diesen hinaus. Für IT-Unternehmen, die Dienstleistungen für Finanzinstitute erbringen, ist es essenziell, sich frühzeitig auf die neuen Anforderungen einzustellen. Indem sie ihre internen Prozesse und Kundenverträge anpassen und die Zusammenarbeit mit Subdienstleistern optimieren, können sie nicht nur die Compliance sichern, sondern auch neue Geschäftspotenziale erschließen.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht) (Alle anzeigen)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften. Dabei bin ich fortgebildet in Krisenkommunikation und Compliance.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.