Für die Sicherheits- und Compliance-Teams war der Start ins Jahr 2025 arbeitsreich. Zwischen der Frist für die Mitgliedstaaten zur Umsetzung von NIS 2 in lokales Recht und dem Start des neuen PCI DSS 4.0-Regimes kam DORA: das Gesetz zur digitalen und operativen ResilienzAb dem 17. Januar sollte das Gesetz über 22,000 in der EU tätige Finanzdienstleistungsunternehmen und deren IKT-Anbieter in seinen Geltungsbereich einbeziehen.

Es gibt nur ein Problem. Laut einer neuen Studie glauben 96 % der europäischen Finanzdienstleister immer noch nicht, dass ihre digitale Widerstandsfähigkeit ausreicht, um die hohen Anforderungen von DORA zu erfüllen. Und viele IT- und Sicherheitsteams fühlen sich von der zusätzlichen Arbeitsbelastung überfordert. Hier könnte die Einhaltung von ISO 27001 hilfreich sein.

Eine neue Ära der finanziellen Widerstandsfähigkeit

Cyber-Vorfälle haben in den letzten zwei Jahrzehnten bei globalen Finanzunternehmen direkte Verluste in Höhe von 12 Milliarden Dollar verursacht, so die IMFDabei handelt es sich nicht nur um ein finanzielles Risiko; es könnte ein systemisches Risiko für die gesamte kritische nationale Infrastruktur darstellen. DORA ist die Antwort der Europäischen Kommission: eine neue Verordnung, die sicherstellen soll, dass Finanzunternehmen – und vor allem ihre Zulieferer – die nötige Widerstandsfähigkeit besitzen, um auch in Zeiten schwerer Störungen ihren Betrieb aufrechtzuerhalten.

Dies wird durch die Harmonisierung der Vorschriften und die gleichzeitige Erhöhung der Anforderungen an die zuständigen Sicherheits- und Compliance-Teams erreicht. Fünf wichtige Säulen stehen dabei im Vordergrund:

  1. IKT-Risikomanagement: Robuste Richtlinien zur Identifizierung, Bewertung und Minderung von IKT-Risiken.
  2. Schadensbericht: Zeitnahe und standardisierte Meldung bedeutender IKT-bezogener Vorfälle an die zuständigen Behörden.
  3. Digitale Resilienztests: Regelmäßige Tests zur Bewertung der Bereitschaft einer Organisation auf Störungen.
  4. Risikomanagement von Drittanbietern: Sicherstellen, dass Finanzinstitute die mit ihrer Lieferkette verbundenen Risiken überwachen und verwalten.
  5. Informationsaustausch: Förderung des Austauschs von Bedrohungsinformationen innerhalb der Branche, um die kollektive Widerstandsfähigkeit zu verbessern.

Noch ein weiter Weg

Leider läuft es nicht ganz nach Plan, wenn die Ergebnisse einer neue Veeam-Umfrage Man kann es kaum glauben. Das Unternehmen befragte über 400 IT-/Compliance-Entscheider in Großbritannien, Frankreich, Deutschland und den Niederlanden. Der Bericht zeigt, dass 94 % DORA jetzt eine höhere Priorität einräumen als einen Monat vor Ablauf der Frist. Ebenso viele sind sich darüber im Klaren, welche Schritte sie unternehmen müssen. Dennoch erfüllt die große Mehrheit die DORA-Standards hinsichtlich Resilienz noch immer nicht.

Veeam gibt an, dass viele Unternehmen nicht über das nötige Budget (20 %) für die DORA-Compliance verfügen und in einigen Fällen mit höheren Lieferantenkosten (37 %) zu kämpfen haben, die von ihren IKT-Partnern weitergegeben werden. Zwei Fünftel (41 %) berichten zudem von erhöhtem Stress und Druck auf ihre IT- und Sicherheitsteams.

Nur die Hälfte hat die DORA-Anforderungen in ihre umfassenderen Resilienzprogramme integriert. Drew Gardner, Regional Vice President für Großbritannien und Irland bei Veeam, ist der Ansicht, dass viele dieser Compliance-Lücken und Verzögerungen auf die Haftung Dritter zurückzuführen sein könnten.

„Da so viele Funktionen von diesen Drittanbietern abgedeckt werden, gehen viele Unternehmen davon aus, dass ihre Produkte DORA-konform sind. Das ist aber schlichtweg falsch“, erklärt er gegenüber ISMS.online. „Da es in vielen Vereinbarungen keine Modelle geteilter Verantwortung gibt, könnte ein Unternehmen davon ausgegangen sein, dass die Compliance in die Zuständigkeit des Anbieters fällt, während dieser das Gegenteil glaubte.“

Wo sie versagen

Die Daten aus dem Bericht stützen Gardners Ansicht. Ein Drittel (34 %) der Befragten gibt an, dass die Überwachung der Risiken durch Dritte der schwierigste Teil der Compliance sei. Ein Fünftel hat dies noch nicht einmal versucht.

„Die schiere Zahl der Drittanbieter, mit denen ein durchschnittliches Finanzdienstleistungsunternehmen zusammenarbeitet, geht wahrscheinlich in die Dutzende, und die meisten arbeiten nach dem Black-Box-Modell – was wenig Einblick in ihre Sicherheitsmaßnahmen gewährt“, sagt Gardner.

„Für diejenigen, die diese externe Aufsicht noch nicht etabliert haben, wird es keine leichte Aufgabe sein, dies zu entwirren, und die Organisationen können es sich nicht leisten, zu zögern.“

Weitere Bereiche, mit denen sich viele Organisationen noch nicht auseinandergesetzt haben, sind:

  • Wiederherstellungs- und Durchgangsprüfung (24 %)
  • Vorfallmeldung (24 %)
  • Auswahl eines DORA-Implementierungsleiters (24 %)
  • Digitale Tests der Betriebsstabilität (23 %)
  • Backup-Integrität und sichere Datenwiederherstellung (21 %)

Getting Back on Track

Angesichts der vielen zu erledigenden Aufgaben und der Berücksichtigung anderer Prioritäten kann die Einhaltung der DORA-Vorschriften eine gewaltige Aufgabe sein. Gardner argumentiert jedoch, dass die Implementierung von Best-Practice-Standards und -Frameworks den Compliance-Aufwand „erheblich verringern“ könnte.

„Insbesondere mit ISO 27001 können Unternehmen Doppelarbeit reduzieren und die Einhaltung mehrerer Vorschriften optimieren, wodurch sowohl Zeit als auch Ressourcen gespart werden“, erklärt er.

„Der strukturierte Ansatz im Risikomanagement ermöglicht es Unternehmen, potenzielle Sicherheitsrisiken systematisch zu identifizieren und zu minimieren, anstatt gleichzeitig an mehreren Fronten gleichzeitig zu kämpfen. Dies verbessert die allgemeine Sicherheitslage und bietet einen klaren und dokumentierten Prozess zum Nachweis der Compliance gegenüber Prüfern und Aufsichtsbehörden.“

James Hughes, Enterprise CTO bei Rubrik, fordert Unternehmen dazu auf, die Einhaltung von DORA in ihre täglichen Prozesse zu integrieren, anstatt sie als einmaliges Projekt zu behandeln.

„Nach sechs Monaten erhöht DORA nicht nur den Compliance-Aufwand, sondern erzwingt auch echte betriebliche Veränderungen. Es besteht jedoch die Gefahr, dass es zu einer weiteren Pflichtübung wird, wenn die CISOs ihre Denkweise nicht ändern“, erklärt er gegenüber ISMS.online. „Es geht nicht darum, Audits zu bestehen, sondern darum, echten Angriffen standzuhalten und sich davon zu erholen – und das mit minimalen Geschäftsausfallzeiten.“

Mehr als ein Fünftel (22 %) der von Veeam befragten Unternehmen sind der Meinung, dass die DORA-Konzeption hätte verbessert werden können, um die Compliance-Raten zu erhöhen. Sie fordern Vereinfachung, Klarstellung und detailliertere Leitlinien zum Umgang mit Drittrisiken. Diese werden von den Regulierungsbehörden möglicherweise nicht umgesetzt. Bis dahin sei es noch nicht zu spät, die in der Studie aufgezeigten Lücken zu schließen, argumentiert Hughes.

„Beginnen Sie damit, Ihre kritischen IKT-Ressourcen zu kartieren, die Reaktion auf Vorfälle zu proben und das Lieferantenrisiko zu bewerten“, so sein Fazit. „Aber letztendlich ist es an der Zeit, die Dinge zu beschleunigen – Angreifer werden nicht warten, bis Ihre Unterlagen aufgeholt haben.“