Herkulesaufgabe Dora
Ab Mitte Januar 2025 müssen Finanzunternehmen die europäische Dora-Verordnung umsetzen. Sie soll für digitale Sicherheit sorgen. Das Thema ist allerdings hochkomplex, und die Zeit wird knapp. Wen die Verordnung betrifft und was zu tun ist, beschreibt Iris Bülow, Redakteurin bei „Das Investment“.
Wenn die IT gestört ist oder Hacker sich digital in ein Unternehmen eingeschlichen haben, ist das eine bedrohliche Situation. Diverse Berichte über Cyber-Attacken zeigen, dass das Thema dringlich ist. Auch Finanzunternehmen sind von Systemausfällen und digitalen Angriffen bedroht. Da sie mit Geld hantieren, haben sie in den Volkswirtschaften eine Schlüsselfunktion. Das macht sie aus Sicht potenzieller Angreifer zu einem besonders interessanten Ziel.
2025 wird die europäische Verordnung Dora wirksam. Sie soll dafür sorgen, dass Finanzunternehmen sensibler mit IT-Risiken umgehen. Dora steht für Digital Operational Resilience Act und ist bereits am 17. Januar 2023 in Kraft getreten. Die Verordnung ist in allen EU-Ländern unmittelbar gültig. Ab Inkrafttreten hatten Finanzunternehmen zwei Jahre Zeit, um alle Regeln umzusetzen. Mehr als die Hälfte davon ist jetzt verstrichen. Bei vielen Unternehmen läuft die Umsetzung bereits auf Hochtouren. Bei anderen wird erst nach und nach klar, welch umfassende Anforderungen Dora an sie stellt. Insgesamt fallen in Deutschland rund 3.600 Unternehmen direkt unter die Dora-Regulierung, schätzt die Bafin. Europaweit sollen es rund 20.000 sein.
Die Verordnung fußt auf fünf Themen. Es geht um das Managen von IKT-Risiken (IKT = Informations- und Kommunikationstechnologie), Störungsmeldungen, Stresstests, den Umgang mit IKT-Drittdienstleistern – externen IT-Anbietern – und Informationsaustausch bei Cyber-Bedrohungen. „Für viele Finanzunternehmen steht die IT nicht so im Fokus. Da möchte Dora den Finger in die Wunde legen“, sagt Lucas Schmidt. Der IT-Spezialist ist Chef von IT4Funds, Dienstleistungstochter der Luxemburger Service-KVG Axxion. In dieser Position befasst sich Schmidt schon seit einigen Monaten mit Dora. Mittlerweile fühlt er sich darin so firm, dass er seit Anfang März wöchentlich einen Blog-Beitrag nur über Dora-Themen schreibt und diesen Takt bis zum Dora-Start im kommenden Januar durchhalten will. „Der Content wird uns nicht ausgehen“, ist sich Schmidt sicher.
Ob Unternehmen sich auch zusammenschließen könnten, um die Herausforderungen gemeinsam zu meistern? Schmidt hält das für schwer umsetzbar, „weil jedes Unternehmen ein heterogenes IT-Umfeld hat“. Trotzdem wünscht sich der IT-Profi, dass die Finanzbranche bei Dora zusammenstehen möge. „Wenn einer dabei schneller ist als der andere, hat er keinen Wettbewerbsvorteil. Es ist einfach nur mühsam für alle“, sagt er. (DFPA/abg)
Den gesamten Artikel lesen Sie hier.