In Deutschland stehen über 3.600 Finanzunternehmen vor der Herausforderung, bis zum nächsten Jahr die EU-Verordnung DORA, die Digital Operational Resilience Act, umzusetzen. Diese Regelung zielt darauf ab, den Finanzsektor widerstandsfähiger gegenüber Cyberrisiken zu machen. Dies wurde besonders deutlich, als im Sommer 2023 die Hackergruppe Clop eine Sicherheitslücke im Datentransfer-Tool MoveIT ausnutzte, wodurch weltweit tausende Unternehmen, einschließlich deutscher Banken und Versicherungen, von Datenlecks betroffen waren.

Die zunehmenden Abhängigkeiten innerhalb der Finanzbranche und die potenziell weitreichenden Auswirkungen von IT-Störungen oder Cyberangriffen unterstreichen die Bedeutung von Maßnahmen zur Absicherung. Die BaFin hat bereits spezifische Anforderungen an die IT-Sicherheit gestellt, und mit DORA werden nun europaweit einheitliche Standards für das Risikomanagement im Bereich der Informations- und Kommunikationstechnologie (IKT) im Finanzsektor eingeführt.

Die Umsetzung von DORA beginnt im Januar 2025. Die Verordnung beinhaltet unter anderem die Einrichtung einer IKT-Risikokontrollfunktion in den Unternehmen und die Verpflichtung, IKT-Vorfälle zu melden. Darüber hinaus sind umfassende Tests der IKT-Systeme auf Resilienz gegenüber Cyberbedrohungen vorgeschrieben.

Ein neuer Aspekt der Verordnung ist die Regelung zum Umgang mit kritischen IKT-Drittdienstleistern, einschließlich der Notwendigkeit einer Risikoanalyse vor Vertragsabschluss und einer Ausstiegsstrategie für kritische oder wichtige ausgelagerte Funktionen. Die Unternehmen sind zudem aufgefordert, sich über Cyberbedrohungen auszutauschen und regelmäßig Krisenmanagement- und Notfallübungen durchzuführen, um für den Ernstfall bestmöglich vorbereitet zu sein.

Diese Maßnahmen sollen nicht nur die Resilienz des einzelnen Unternehmens stärken, sondern auch die Stabilität des gesamten Finanzsektors gegenüber Cyberbedrohungen erhöhen.