Mit dem Inkrafttreten der EU-Verordnung DORA (Digital-Operational-Resilience-Act) wird deutlich: Cybersicherheit ist längst kein technisches Randthema mehr, sondern elementarer Bestandteil der Finanzstabilität. Was bislang oft als nationale Aufgabe gehandhabt wurde, erhält nun einen verbindlichen, europäischen Rahmen – ein Novum, das weit über die Finanzbranche hinaus Signalwirkung entfaltet.
Mehr als Compliance – DORA verändert die digitale Risikokultur
DORA greift dort, wo Finanzinstitute besonders angreifbar sind: bei ihrer wachsenden Abhängigkeit von digitalen Systemen und externen Dienstleistern. Die Verordnung verlangt weitreichende Maßnahmen in fünf zentralen Bereichen: dem IKT-Risikomanagement, dem Vorfallmanagement, der operativen Resilienzprüfung, dem Drittparteienrisiko sowie dem Informationsaustausch. Insbesondere Letzteres ist bemerkenswert – denn der Austausch über Cyberbedrohungen innerhalb der Branche wird erstmals ausdrücklich gefördert.
Ein zentrales Element ist das Management von Drittanbieter-Risiken. Banken, Versicherungen und Kapitalverwaltungsgesellschaften müssen künftig deutlich striktere Prüfungen ihrer IT-Dienstleister vornehmen – insbesondere Cloud-Anbieter geraten in den Fokus. Verträge müssen angepasst, Risiken regelmäßig bewertet und Notfallpläne etabliert werden. Diese Anforderungen führen dazu, dass sich die Anbieterlandschaft verändern wird: Nur wer robuste Sicherheitsstandards nachweisen kann, wird sich langfristig behaupten.
Gleichzeitig wird auch das unternehmensinterne Krisenmanagement neu ausgerichtet. Unternehmen müssen sicherstellen, dass sie Vorfälle schnell erkennen, koordinieren und wirksam bewältigen können. Dies erfordert eine stärkere Verzahnung zwischen IT, Risiko- und Compliance-Funktionen sowie den jeweiligen Fachabteilungen. Viele Unternehmen nutzen die Einführung von DORA daher als Katalysator, um bestehende Silostrukturen aufzubrechen und Sicherheitsprozesse ganzheitlicher aufzustellen.
Doch der gesetzliche Rahmen allein reicht nicht. DORA fordert mehr als nur eine formale Erfüllung technischer Vorgaben – es geht um den Aufbau einer neuen digitalen Risikokultur. Dazu gehören regelmäßige Schulungen, klare Kommunikationswege im Krisenfall, eine transparente Fehlerkultur und die Bereitschaft, aus Sicherheitsvorfällen zu lernen. Der Wandel beginnt also nicht bei der Technik, sondern im Denken.
Nicht zuletzt wird sichtbar, wo die EU noch Nachholbedarf hat: Die Umsetzung verläuft national sehr unterschiedlich – mit weitreichenden Folgen für international tätige Finanzunternehmen. Während Länder wie Deutschland, die Niederlande oder Luxemburg proaktiv handeln und konkrete Leitlinien erlassen haben, bleiben andere Mitgliedstaaten hinter den Erwartungen zurück. Das birgt die Gefahr regulatorischer Unwucht und begünstigt sogenannte Arbitrage-Effekte – also das gezielte Ausweichen in Länder mit laxerer Aufsicht.
Fazit: Regulatorik braucht Sicherheitskultur
Mit DORA und der parallel wirkenden NIS2-Richtlinie etabliert Europa wichtige Rahmenwerke, die Unternehmen Orientierung und Verbindlichkeit geben – insbesondere in kritischen Sektoren wie dem Finanzwesen. Doch Regelwerke allein schaffen noch keine Sicherheit. Entscheidend ist, dass Unternehmen den Geist dieser Vorschriften verinnerlichen: durch eine gelebte Sicherheitskultur, klare Zuständigkeiten, transparente Prozesse und nicht zuletzt durch regelmäßige Schulungen, die das Sicherheitsbewusstsein aller Mitarbeitenden stärken. Nur so lässt sich die digitale Resilienz erreichen, die Europa in Zeiten wachsender Cyberbedrohungen dringend braucht.
#KnowBe4
powered by Borlabs Cookie 