Digital Operational Resilience Act (DORA)
So können wir Sieunterstützen
Wir bewerten den aktuellen Umsetzungsstand hinsichtlich DORA und sonstiger sektorspezifischer Vorgaben (BAIT/VAIT/KAIT/ZAIT).
- Durchführung einer Gap-Analyse, um Abweichungen von regulatorischen Anforderungen festzustellen
- Erstellung eines Maßnahmenkatalogs zur Erreichung der Compliance
- Prüfung bestehender IT-Strategien, Governance-Strukturen und IT-Sicherheitsprozesse
Gemeinsam stellen wir Ihre operationelle Resilienz gemäß den umfassenden Vorgaben von DORA und BAIT sicher.
- Entwicklung von IT-Risikomanagement-Richtlinien
- Erstellung und Prüfung von Notfall- und Wiederherstellungsplänen (Disaster Recovery, Business Continuity Management)
- Dokumentation der erforderlichen Maßnahmen, inkl. Test- und Reportingpflichten
Bei der Gestaltung von IT-Outsourcing-Verträgen und dem Management von Drittanbietern unterstützen wir Sie rechtlich.
- Prüfung und Erstellung von IT-Outsourcing-Verträgen nach den Anforderungen der DORA und sektorspezifischen Vorgaben
- Bewertung von Drittanbieter-Risiken (Third-Party Risk Management)
- Sicherstellung der Erfüllung von Meldepflichten gegenüber der BaFin bei IT-Dienstleisterausfällen oder Sicherheitsvorfällen
Wir stehen Ihnen bei der Implementierung der DORA-Vorgaben für digitale operationelle Resilienz unterstützend zur Seite.
- Implementierung von IKT-Risikomanagement-Rahmenwerken (inkl. Governance, Schutzmaßnahmen, Erkennung von IT-Risiken)
- Unterstützung bei der Einführung von Berichtspflichten (z. B. Vorfälle an die zuständigen Behörden)
- Erstellung von Testkonzepten für Stresstests zur Resilienzprüfung der IT-Systeme
- Prüfung und Erstellung von Richtlinien zur Informationssicherheit
- Beratung zur rechtlichen Meldepflicht bei Cyberangriffen oder IT-Ausfällen (z. B. nach DORA und BAIT)
- Unterstützung bei der Implementierung von Technischen und organisatorischen Maßnahmen (TOMs)
Wir sensibilisieren Ihre Mitarbeiterinnen, Mitarbeiter und Führungskräften für die regulatorischen Anforderungen – effizient und praxisorientiert.
- Durchführung von Schulungen zur IT-Compliance – via E-Learning oder individuell auf Sie zugeschnitten
- Workshops zu den regulatorischen Anforderungen von DORA, BAIT und deren praktischer Umsetzung
- Simulationen und Übungen zu Notfallreaktionen bei IT-Vorfällen
Bei der Vorbereitung und Durchführung von regulatorischen Audits stehen wir Ihnen zur Seite und unterstützen Sie bedarfsgemäß.
- Begleitung bei Prüfungen durch die BaFin oder externe Prüfer
- Erstellung von Audit-Berichten und Nachweisführung
- Entwicklung von Audit-Checklisten zur Vorbereitung auf regulatorische Überprüfungen
Wir beraten Sie proaktiv und helfen Ihnen so, sich rechtzeitig auf kommende regulatorische Anforderungen vorzubereiten.
- Monitoring und Analyse regulatorischer Entwicklungen auf EU- und nationaler Ebene
- Frühzeitige Strategieentwicklung zur Implementierung neuer Regelungen
- Erstellung von Rechtsgutachten zu spezifischen Fragestellungen
DORAWas ist das genau?
Der Digital Operational Resilience Act (DORA), basierend auf der Verordnung (EU) 2022/2554, gilt ab dem 17. Januar 2025 und betrifft alle Finanzunternehmen, darunter:
- Kredit-, Zahlungs- und E-Geld-Institute
- Versicherungsunternehmen und -vermittler
- Ratingagenturen
Die Verordnung wurde als lex specialis entwickelt, um bestehende nationale Regelungen zu ergänzen. Ziel ist es, die Funktionsfähigkeit des Finanzsystems durch erhöhte Resilienz zu sichern, insbesondere angesichts zunehmender IT-Ausfälle und Cyberangriffe infolge der fortschreitenden Digitalisierung.
Digitale und operationale Resilienz
Die Verordnung zielt darauf ab, die Widerstandsfähigkeit von Finanzunternehmen gegenüber IT-Risiken und Cyberangriffen EU-weit einheitlich zu stärken. Hierzu gehört der Aufbau eines umfassenden IKT-Risikomanagements, das strukturierte IT-Governance, die Identifikation und Bewertung von IKT-Risiken sowie Maßnahmen zur Prävention, Störungserkennung und Betriebswiederherstellung umfasst. Zudem fordert DORA regelmäßige Tests zur digitalen Resilienz sowie die Einrichtung von Backup-Verfahren und Kommunikationsprozessen, um ein hohes Sicherheitsniveau in der Finanzbranche zu gewährleisten.
IKT-Drittparteienrisiko
Ein wesentlicher Bestandteil von DORA ist das Management von Risiken durch IKT-Drittanbieter. Angesichts der zunehmenden Auslagerung von IKT-Diensten an Drittanbieter entstehen Abhängigkeiten, die das Risiko von Betriebsstörungen erhöhen können. DORA legt daher strikte Verantwortlichkeiten und Kontrollrechte für Finanzunternehmen fest, um sicherzustellen, dass IKT-Dienstleister wie interne Abteilungen behandelt werden. Dies umfasst die Erfüllung spezifischer Vertragsanforderungen, auch bei nicht kritischen Funktionen, um potenzielle Risiken wirksam zu minimieren.
Setzen Sie bei der Dora-Umsetzung auf unsereCompliance-Experten
Mit unserer Expertise in regulatorischen Anforderungen, IT-Compliance und Risikomanagement begleiten wir Sie bei der Umsetzung von DORA und stärken Ihre Widerstandsfähigkeit gegenüber IT-Risiken. Kontaktieren Sie uns, um Ihre digitale und operationale Resilienz zu optimieren.
Ihr persönlicher Kontakt
Dr. Markus HülperRechtsanwalt, Spezialist für Datenschutz, Compliance & IT-Sicherheit
- +49 40 257 660 900
- +49 40 257 660 919
- m.huelper@clarius-ds.com