Logo Gepardec IT Services GmbH
Kontakt

DORA: Digitale Resilienz für Unternehmen mit Individualsoftware im Finanzsektor

Was du als C-Level über DORA wissen musst.

Die DORA-Verordnung (EU) 2022/2554 ist eine neue europäische Regelung zur digitalen operativen Resilienz. Sie verpflichtet Unternehmen der Finanzbranche dazu, umfassende Maßnahmen zur Cyber-Resilienz umzusetzen. Ziel ist es, die Widerstandsfähigkeit gegenüber Cyberangriffen, Systemausfällen und IKT-Risiken zu erhöhen.

Zielgruppe:

  • CISOs, CTOs, technische Leiter & C-Level
  • Unternehmen, die Individualsoftware nutzen, entwickeln oder entwickeln lassen
  • IT-Dienstleister & Softwareunternehmen, die Finanzsektor-Kunden bedienen

 

Warum ist das wichtig?

Ab Januar 2025 müssen betroffene Unternehmen nachweislich ihre digitalen Resilienzmaßnahmen implementieren. Verstöße gegen DORA können zu hohen Sanktionszahlungen und regulatorischen Einschränkungen führen.

Wer muss DORA umsetzen?

DORA betrifft alle Unternehmen, die in der Finanzbranche tätig sind oder Finanzdienstleister mit IKT-Diensten versorgen.

Betroffene Sektoren:

  • Banken, Versicherungen & FinTechs
  • Zahlungsdienstleister & Krypto-Dienstleister
  • Wertpapierfirmen & Handelsplattformen
  • Cloud-Anbieter & IT-Dienstleister für den Finanzsektor
  • Alternative Investmentfonds & Versicherungen

Auch Zulieferer und Drittanbieter von IT-Diensten für Finanzunternehmen fallen unter DORA, insbesondere wenn sie als kritische Drittparteien eingestuft werden.

 

Wer ist ausgenommen?

Unternehmen außerhalb des Finanzsektors sind nicht direkt betroffen, es sei denn, sie erbringen IT-Dienstleistungen für regulierte Finanzunternehmen.

Die 10 wichtigsten Maßnahmen zur DORA-Compliance

Die DORA-Verordnung stellt klare Anforderungen an die digitale Resilienz. Hier sind die zentralen Maßnahmen, die dein Unternehmen umsetzen muss:

1. IKT-Risikomanagement und Governance

  • Einführung eines strukturierten IKT-Risikomanagementsystems
  • Risikoanalysen & Präventionsmaßnahmen für Cyberangriffe und Systemausfälle
  • DORA-konforme Dokumentation von Sicherheitsstrategien

 

2. Sichere Softwareentwicklung & DevSecOps

  • Secure Software Development Lifecycle (SDLC) nach Standards wie OWASP SAMM, NIST SSDF oder ISO 27034
  • Regelmäßige Penetrationstests & Code-Reviews für Individualsoftware
  • Zero Trust & Security by Design bei der Softwarearchitektur

 

3. Schwachstellen- und Patch-Management

 

4. Sicherheitsüberwachung & Incident Response

  • Echtzeitüberwachung von Cyberbedrohungen
  • Implementierung eines Security Operations Centers (SOC)
  • Pflicht zur Meldung von Sicherheitsvorfällen innerhalb von 24-72 Stunden

 

5. Lieferketten-Sicherheit & Drittanbieter-Risiken

  • DORA-konforme Verträge mit Drittanbietern (ISO 27001, NIST 800-53)
  • Regelmäßige Audits & Risikoanalysen für externe IT-Dienstleister
  • Notfallpläne für den Ausfall kritischer IT-Dienstleister

 

6. Sichere Cloud-Nutzung & Datenschutz

  • Cloud Security Posture Management (CSPM) für Finanz-Clouds
  • Verschlüsselung & Zero-Knowledge-Architekturen für vertrauliche Daten
  • Compliance mit DORA & DSGVO bei Datenverarbeitung in der Cloud

 

7. Notfallplanung & Geschäftskontinuität

  • DORA-konforme Business Continuity & Disaster Recovery Strategien
  • Regelmäßige Tests von Backup- und Wiederherstellungsplänen
  • Betriebssicherheit von Individualsoftware bei Cyberangriffen sicherstellen

 

8. Schulungen & Cybersecurity-Awareness

  • Regelmäßige Security-Schulungen für Entwickler & IT-Teams
  • Live-Hacking-Demos & Phishing-Simulationen für Mitarbeitende
  • Awareness-Programme für CISOs, CTOs & C-Level-Entscheider

 

9. Logging, Monitoring & Bedrohungsanalyse

  • Security Information & Event Management (SIEM) für zentrale Protokollierung
  • Erkennung von Angriffsmustern & anomalen Aktivitäten
  • Pflicht zur Langzeitspeicherung von Sicherheitsprotokollen

 

10. Datenschutz & rechtliche Compliance

  • End-to-End-Verschlüsselung (E2EE) & Pseudonymisierung von Daten
  • Zusammenarbeit mit Behörden bei Sicherheitsvorfällen
  • DORA-konformes Datenschutzkonzept nach DSGVO Art. 32

Wer haftet bei DORA Verstößen?

Die DORA-Verordnung (EU) 2022/2554 legt nicht nur strenge Regeln für die digitale Resilienz fest, sondern definiert auch klare Haftungsregelungen für Unternehmen und deren Verantwortliche.

Die Haftung betrifft verschiedene Ebenen innerhalb eines Finanzunternehmens:

Unternehmen als Ganzes

  • Finanzunternehmen und kritische IT-Drittanbieter haften für Verstöße gegen DORA und können mit Sanktionszahlungen, Betriebseinschränkungen oder Lizenzentzug belegt werden.
  • Verstöße können auch zu Regulierungsmaßnahmen durch nationale Aufsichtsbehörden führen (z. B. die BaFin in Deutschland oder die FMA in Österreich).

 

C-Level, CISOs & technische Leiter

  • Führungskräfte wie CISOs, CTOs und Vorstände sind persönlich haftbar, wenn sie nachweislich fahrlässig oder vorsätzlich gegen die DORA-Vorgaben verstoßen.
  • Fehlende oder unzureichende Implementierung von IT-Sicherheitsmaßnahmen kann persönliche Strafen oder Berufsverbote nach sich ziehen.

 

Drittanbieter & IT-Dienstleister

  • IT-Dienstleister, die als kritische Drittparteien gelten, müssen die gleichen Sicherheitsanforderungen wie Finanzunternehmen erfüllen.
  • Banken, Versicherer und FinTechs haften mit, wenn ihre IT-Dienstleister die DORA-Anforderungen nicht erfüllen.

 

Welche Strafen drohen bei Verstößen?

Unternehmen, die gegen DORA verstoßen, müssen mit folgenden Sanktionen rechnen:

Geldstrafen:

  • Bis zu 2 % des Jahresumsatzes oder 10 Mio. € für große Finanzunternehmen
  • Bis zu 1 % des Jahresumsatzes oder 5 Mio. € für kleinere Unternehmen

 

Zusätzliche Maßnahmen:

  • Behördliche Anordnungen zur Systemabschaltung oder Geschäftseinschränkung
  • Haftung für Geschäftsführer, CISOs und Vorstände
  • Persönliche Berufsverbote für Führungskräfte bei schweren Verstößen

 

Was müssen Unternehmen tun, um Haftung zu vermeiden?

  • DORA-Compliance durch klare IKT-Risikomanagement-Prozesse sicherstellen
  • Dokumentation & Nachweise für Behörden jederzeit abrufbar halten
  • Regelmäßige Audits, Penetrationstests und Incident-Response-Übungen durchführen
  • CISOs und CTOs sollten ein starkes internes Kontrollsystem etablieren

 

Fazit: Haftung unter DORA ist real!

C-Level, CISOs und Finanzunternehmen tragen eine direkte Verantwortung, um die digitale Resilienz sicherzustellen. Wer DORA nicht ernst nimmt, riskiert hohe Strafen und persönliche Konsequenzen.

Warum du jetzt handeln solltest

Unternehmen, die Individualsoftware nutzen oder entwickeln, müssen dringend handeln, um DORA-konform zu werden.

  • IT-Dienstleister & Softwareentwickler müssen Security by Design umsetzen
  • CISOs & CTOs brauchen eine klare Risikomanagement-Strategie
  • Finanzunternehmen müssen ihre Cyber-Resilienz und Incident Response verbessern

Die Zeit für die DORA-Compliance ist knapp! Bereits ab 17.Januar 2025 sind Unternehmen verpflichtet, die Anforderungen umzusetzen.

Du möchtest DORA für deine Individualsoftware umsetzen?

Wir helfen dir bei der praktischen Umsetzung deiner Updates deiner Individualsoftware.

Kontaktiere uns für ein kostenloses Erstgespräch!

Quellen

  1. DORA-Verordnung (EU) 2022/2554
  2. NIST Cybersecurity Framework & Secure Software Development Framework (SSDF)
  3. ISO/IEC 27034
  4. EU financial entities cybersecurity upgrade: DORA is now alive and kicking

Relevante Blog Posts

Software-Modernisierung

{KI-gestützte Testgenerierung}: Die besten Tools für Software-Modernisierung

Eine hohe Testabdeckung ist essenziell, um Software zuverlässig weiterzuentwickeln. Besonders bei Software-Modernisierung oder der Migration von Legacy-Software können KI-gestützte Tools helfen, Testfälle automatisiert zu generieren. Doch welche Tools liefern wirklich gute Ergebnisse? Wir haben GitHub Copilot, Diffblue Cover, JetBrains AI Assistant und weitere getestet – mit spannenden Erkenntnissen! Erfahre, wie KI die Testautomatisierung verbessern kann und wo man besser manuell nachjustiert. 🔍✨

Auto-Update Service / Cloud Native / Events & Meetups / Software-Modernisierung

Cloud Native Meetup Linz #2

Im Februar war es wieder soweit – am 26.02.2025 haben sich Entwickler:innen, DevOps-Spezialist:innen und IT-Interessierte versammelt, um sich über aktuelle Trends und Best Practices im Cloud-Native-Bereich auszutauschen.

Auch dieses Mal dürften wir uns auf zwei hochkarätige Speaker freuen: Christoph Ruhsam, Tech Lead für das Auto-Update Service bei Gepardec und Damjan Gjurovski, CTO bei Posedio, teilten ihr Wissen über moderne Automatisierungstechniken in CI/CD-Pipelines sowie Zero Trust Security in Cloud-Native-Architekturen.

Auto-Update Service / Events & Meetups / Software-Modernisierung

Webinar: Deine Individual-Software up-to-date halten? So geht's!

Cloud Native / Software-Modernisierung

{Wegen Inventur geschlossen?!?}

Bei der Erstellung von Software-Anwendungen ist es fast unabdingbar, dass man auf bestehende 3rd-Party-Libraries zurückgreifen muss. Selbst triviale Web-Anwendungen weisen mittlerweile Abhängigkeiten auf Libraries im mittleren zweistelligen Bereich auf.

Doch das Einbinden von externen Libraries bringt auch Risiken mit sich, da durch deren Nutzung unbeabsichtigt Sicherheitslücken in die eigene Anwendung integriert werden können.

Man muss nicht weit in die Vergangenheit blicken, um Beispiele für Anwendungen und Unternehmen zu finden, die von solchen Problemen betroffen waren (z.B. Equifax 2017, Log4J 2021).

Vorfälle wie diese haben dazu geführt, dass Software-Hersteller ein größeres Augenmerk auf die verwendeten Software-Dependencies und die Software-Supply-Chain ihrer Applikationen richten.

Auto-Update Service / Events & Meetups / OpenShift - Kubernetes

Vienna DevOps Meetup 01/2025: Auto-Updating Dependencies & Building a Kubernetes Packet Manager

Rückblick auf unser ViennaDevOps Meetup vom 28.01.25.

Erstes Meetup im Jahr – und wir sind direkt mit voller Power gestartet! Dieses Mal durften wir das ViennaDevOps Meetup in unserer Wiener Steppe hosten. Über 60 Anmeldungen zeigen: Die Community ist hungrig auf spannende DevOps-Insights.

 

Events & Meetups / Software-Modernisierung

OOP 2025: Update or Die - Wie IT-Führungskräfte ihre Software sicher und compliant halten

Mit neuen Anforderungen wie NIS2, dem DORA (Digital Operational Resilience Act) und dem Cyber Resilience Act (CRA) stehen IT-Führungskräfte vor einer wachsenden Herausforderung: Software muss kontinuierlich aktualisiert werden, um sicher und compliant zu bleiben. Doch während Updates in der IT-Infrastruktur längst Standard sind, tun sich viele Entwicklungsteams schwer damit, Updates nahtlos in ihren Software Development Lifecycle (SDLC) zu integrieren.

Warum ist das so? Und wie kannst du als CTO, IT-Leiter:in oder Software-Architekt:in sicherstellen, dass deine Software nicht nur up-to-date bleibt, sondern auch langfristig effizient weiterentwickelt werden kann?

In diesem Beitrag zeigen wir, warum kontinuierliche Updates entscheidend sind, welche Herausforderungen es gibt und welche Lösungen helfen, den Update-Prozess zu automatisieren.

WordPress Cookie Plugin von Real Cookie Banner