DORA-Update 2025 – diese Maßnahmen müssen Unternehmen jetzt ergreifen

Der Digital Operational Resilience Act (DORA) ist ein zentraler Bestandteil der EU-Strategie zur Stärkung der digitalen Widerstandsfähigkeit im Finanzsektor. Seit seiner Einführung am 16. Januar 2023 hat DORA weitreichende Anforderungen an Finanzunternehmen und ihre IT-Dienstleister gestellt. Die verpflichtende Umsetzung der Vorgaben muss ab Januar 2025 erfolgen. Besonders in diesem Jahr treten neue Regelungen in Kraft, die Unternehmen vor Herausforderungen stellen. In diesem Artikel beleuchten wir die wichtigsten Neuerungen, potenzielle Stolpersteine und geben praxisnahe Handlungsempfehlungen, um das DORA-Update 2025 erfolgreich umzusetzen.

Event-Tipp: Für eine praxisnahe und fundierte Umsetzung der DORA-Vorgaben bietet das Management Circle Intensiv-Seminar "DORA – IT-Sicherheit im Fokus der Aufsicht" wertvolle Einblicke von unseren Experten Klaus Kilvinger und Sven Staender sowie den Praxisreferenten Prof. Dr. Patrick Buchmüller, Thorsten Schulz und Markus Diederichs. In diesem Seminar erfahren Sie, wie Sie alle Anforderungen, die DORA an Ihr Unternehmen stellt, rechts-, aufsichts- und prüfungskonform anwenden, um im Falle eines digitalen Angriffs bestmöglich vorbereitet zu sein.

DORA wurde ins Leben gerufen, um Cyberrisiken und operationelle Resilienz im Finanzsektor zu stärken. Betroffen sind nicht nur Banken und Versicherungen, sondern auch IT-Dienstleister, Krypto-Dienste und weitere Akteure im Finanzwesen. Durch die regulatorischen Vorgaben sollen Unternehmen besser auf Cyberangriffe und IT-Ausfälle vorbereitet sein und ihre Melde- und Sicherheitsprozesse optimieren. Dabei spielt das DORA-Update 2025 eine zentrale Rolle.

Mit dem DORA-Update 2025 treten entscheidende Neuerungen in Kraft:

• Strengere Aufsicht über Drittanbieter: IT-Dienstleister mit kritischer Bedeutung für Finanzunternehmen unterliegen verstärkten Kontrollen und Meldepflichten.  
• Erweiterte Meldepflichten: Unternehmen müssen Sicherheitsvorfälle schneller und detaillierter an die Aufsichtsbehörden melden.
• Erhöhte Anforderungen an Penetrationstests: Einführung von "Threat-led Penetration Testing" (TLPT), einer gezielten Sicherheitsüberprüfung, bei der realistische Cyberangriffe simuliert werden, um Schwachstellen in IT-Systemen, Prozessen und Abwehrmechanismen zu identifizieren und die digitale Resilienz zu stärken.
• Erweiterte Risikomanagement-Vorgaben: Anpassung und regelmäßige Tests von Notfallplänen zur besseren Krisenbewältigung. 

Die neuen Regelungen bringen sowohl technische als auch organisatorische Herausforderungen mit sich:

• Technische Implementierung: Anpassung von IT-Infrastrukturen an die neuen Sicherheitsstandards.
• Dokumentationspflichten: Nachweispflichten steigen, insbesondere im Bereich Risikomanagement und IT-Sicherheit.
• Drittanbieter-Risikomanagement: Verträge und Sicherheitsrichtlinien mit IT-Dienstleistern müssen überarbeitet werden.
• Sanktionen bei Nichteinhaltung: Unternehmen, die den neuen Anforderungen nicht gerecht werden, müssen mit empfindlichen Strafen rechnen.

Um sich auf die neuen Anforderungen vorzubereiten, sollten Unternehmen folgende Maßnahmen ergreifen:

1. DORA-Compliance-Check

Zunächst sollten Unternehmen eine Bestandsaufnahme ihrer aktuellen IT-Sicherheitsrichtlinien und digitalen Resilienz-Strategien durchführen. Eine Gap-Analyse kann helfen, Lücken zu identifizieren und gezielt zu schließen, um das DORA-Update 2025 erfolgreich umzusetzen.

2. Strategische Anpassungen

Es ist essenziell, dass Finanzunternehmen und IT-Dienstleister ihre Sicherheitsrichtlinien überarbeiten und an das DORA-Update 2025 anpassen. Dazu gehören unter anderem regelmäßige Notfallübungen, Penetrationstests und die Etablierung robuster Sicherheitsmaßnahmen.

3. Regelmäßige Audits und Tests

Ein systematisches Audit-Programm kann sicherstellen, dass das DORA-Update 2025 laufend eingehalten wird. Zudem sollten Unternehmen in Threat-led Penetration Testing (TLPT) investieren, um Schwachstellen frühzeitig zu identifizieren und zu beheben.

4. Schulungen & Awareness

Die beste Strategie für eine nachhaltige IT-Resilienz ist eine geschulte Belegschaft. Regelmäßige Schulungen zu Cybersecurity und DORA-spezifischen Vorgaben helfen Mitarbeitern, Risiken zu erkennen und angemessen zu reagieren, um das DORA-Update 2025 erfolgreich umzusetzen.

5. Zusammenarbeit mit Drittanbietern optimieren

Da viele Finanzunternehmen auf externe IT-Dienstleister angewiesen sind, sollten bestehende Verträge und Sicherheitsstandards überarbeitet werden. Eine enge Zusammenarbeit mit Dienstleistern kann dazu beitragen, das DORA-Update 2025 sicherzustellen.

Das Jahr 2025 markiert einen wichtigen Meilenstein in der Umsetzung von DORA. Finanzunternehmen und IT-Dienstleister müssen jetzt handeln, um die neuen Vorgaben fristgerecht zu erfüllen und ihre digitale Widerstandsfähigkeit zu stärken. Während einige Fragen zur praktischen Umsetzung noch offen sind, ist klar, dass DORA auch in den kommenden Jahren weiterentwickelt wird. Unternehmen sollten daher eine langfristige Strategie zur digitalen Resilienz verfolgen, um zukünftige regulatorische Anpassungen problemlos integrieren zu können.