Wird der Bankensektor in der EU auf die DORA-Konformität vorbereitet sein?

Im Januar 2025 stehen Finanzinstitute in Europa vor einer großen Bewährungsprobe: dem Digital Operational Resilience Act (DORA).  

DORA kombiniert IKT-Risiko- und Resilienzregeln in einem einheitlichen Framework. Aber werden Finanzorganisationen bereit sein?

Viele kämpfen gegen die Zeit. Enge Zeitpläne und sich ändernde Standards erschweren die Vorbereitung.

Raghu Nandakumara, Senior Director of Industry Solutions Marketing bei Illumio, erklärt: "Banken hätten früher von klareren technischen Standards profitiert. Die Standards kamen in zwei Wellen: eine Anfang 2022 und die zweite Mitte 2024. Damit blieben weniger als 12 Monate vor Ablauf der Frist am 17. Januar."

DORA auspacken

What does DORA require by the deadline? It’s not just about protecting systems. The focus is on keeping critical services running — even during disruptions.

Um die DORA-Standards zu erfüllen, müssen Finanzinstitute:

• Testen Sie IKT-Systeme regelmäßig

• Managen Sie Risiken mit Drittanbietern

• Stellen Sie sicher, dass wichtige Dienste in jedem Fall betriebsbereit bleiben

"DORA hat einen klaren Fokus: die Auswirkungen von Vorfällen zu reduzieren. Der Ansatz? Gehen Sie davon aus, dass es zu Verstößen kommen wird." – Raghu Nandakumara

Die 6 größten Herausforderungen der DORA-Compliance

1. Enge Zeitpläne, sich entwickelnde Standards

The rules explaining DORA’s requirements, called regulatory technical standards (RTSs), were released late. The first version came out in January 2024, and the second followed in July. With less than a year to prepare, meeting the requirements has turned into a race against time.

2. Verwaltung von Drittanbietern

Third-party providers — like hyperscalers and managed service providers (MSPs) — are key to financial services. But here’s the challenge: Who decides if a vendor falls under DORA’s scope? “Does the financial institution or the regulator decide this?” asks Raghu.

Für kleinere MSPs sind die Hürden noch höher. Compliance hängt von ihrer Rolle in den Finanzprozessen ab. Ohne klare Regeln ist es schwierig zu wissen, was erforderlich ist. Um dies zu beheben, sind zwei Dinge erforderlich:

• Klarere Richtlinien

• Stärkere Zusammenarbeit mit Anbietern

3. Governance und Führung aufeinander abstimmen

DORA places operational resilience at the top of the leadership agenda. Boards must:

• Legen Sie klare ICT-Risikogrenzen fest

• Überwachen Sie größere Vorfälle

• Stellen Sie sicher, dass die richtigen Ressourcen vorhanden sind

Vielen Organisationen fehlt es jedoch an der Struktur und dem Bewusstsein, um diese Ziele zu erreichen.

4. Testen und stetige Verbesserung

Testing plays a key role in DORA compliance. Organizations must:

• Durchführung jährlicher Resilienztests für IKT-Systeme

• Führen Sie alle drei Jahre erweiterte Penetrationstests durch

"Tests helfen, Lücken zu identifizieren und Verbesserungspläne zu entwickeln, um den Fortschritt bis zur Reife voranzutreiben. Diese Tests sind jedoch ressourcenintensiv und erfordern Teamarbeit zwischen Abteilungen und Anbietern. – Raghu Nandakumara

5. Aufbau einer resilienten Kultur

Bei DORA geht es nicht darum, Kästchen anzukreuzen. Es geht darum, vorbereitet zu bleiben. Die Führung muss:

• Champion operational resilience

• Fördern Sie die Teamarbeit zwischen den Abteilungen

Ein kultureller Wandel kann für den langfristigen Erfolg entscheidend sein.

6. Qualifikationslücke: Wachsender Druck

The global cybersecurity workforce gap — estimated at 4 million — worsens DORA’s challenges. A strong compliance program can ease this pressure. It simplifies efforts while delivering broader operational benefits.

"Die neuen Mandate von DORA erhöhen den Druck auf die Sicherheits-, Richtlinien- und Audit-Teams." – Raghu Nandakumara

Wie passen DORA und Zero Trust zusammen?

Does DORA mention Zero Trust? Not directly. But its key ideas — like least privilege access and continuous monitoring — align closely.

Die Zero-Trust-Philosophie "Never Trust, Always Verify" reduziert das Risiko, indem jeder Benutzer, jedes Gerät, jede Anwendung und jeder Workload authentifiziert wird, bevor er Zugriff auf .

Wie hilft es bei den größten Cyberrisiken von heute?

• Stops ransomware: Reduce the impact of ransomware attacks by limiting how far it can spread through the network.

• Secures the cloud: Dynamic policies protect the hybrid multi-cloud.

• Manages third-party risks: Restrict vendor access to critical systems. Control how much access vendors have to critical systems.

Countdown bis zum 17. Januar

Die Uhr tickt. Tests, Aufsicht durch Dritte und Resilienzplanung sind nicht optional. Es erfordert proaktive Strategien und einen kulturellen Wandel hin zu Resilienz.  

Raghu erklärte: "Die EU will Fortschritt, nicht Perfektion. Sie wollen sehen, wie Organisationen die Anforderungen interpretieren und was sie erreicht haben."

Sind Sie daran interessiert, mehr über DORA-Compliance zu erfahren? Laden Sie unser kostenloses eBook herunter, Strategien für DORA-Compliance: Die Schlüsselrolle der Mikrosegmentierung. Finden Sie heraus, wie Mikrosegmentierung die Sicherheit Ihres Unternehmens verbessern kann.