
DORA-Verordnung: IKT-Dienstleistungen einfach lokal umsetzen
Der Digital Operational Resilience Act (DORA) ist eine neue EU-Verordnung, die mit 2025 die IT-Sicherheitsanforderungen für den Finanzsektor erheblich verschärft. Betroffene Finanzunternehmen, aber auch IKT-Dienstleister, stehen vor der Herausforderung, strenge Richtlinien für das Risikomanagement, die Berichterstattung und die Überwachung von Drittanbietern einzuhalten. Mit erfahrenen Anbietern können die DORA-Vorgaben einfach und sicher umgesetzt werden – von der Beratung bis zum laufenden Betrieb, intern als auch extern. Hier erfahren Sie die wichtigsten Punkte, es handelt sich jedoch um keine Rechtsberatung.Was ist der Digital Operational Resilience Act (DORA)?
Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung zur Stärkung der IT-Sicherheit von Finanzunternehmen wie Banken, Versicherungen und Wertpapierfirmen. Dieser soll sicherstellen, dass der Finanzsektor auch bei schwerwiegenden Betriebsstörungen widerstandsfähig bleibt. Die Verordnung harmonisiert die Vorschriften für das IT-Risikomanagement, die Überwachung von Drittanbietern und die digitale Belastbarkeit, insbesondere im Hinblick auf Cyber-Angriffe und IT-Vorfälle.Warum ist DORA notwendig für die IT-Sicherheit?
Die Digitalisierung des Finanzsektors hat neue Risiken mit sich gebracht. Cyber-Angriffe, Systemausfälle und ähnliche Vorfälle gefährden die Stabilität von Finanzunternehmen und damit auch die Wirtschaft. DORA wurde entwickelt, um diese Risiken zu minimieren und die Betriebsstabilität von Finanzunternehmen auch in Krisenzeiten zu gewährleisten. Ohne klare Regulierung könnten IT-Störungen weitreichende Folgen haben, die über den Finanzsektor hinausgehen und die Wirtschaft als Ganzes beeinträchtigen.Um diese Risiken zu minimieren, sind verlässliche und DORA-konforme IT-Dienstleistungen wichtig. Diese können intern oder extern, etwa bei RUBICON Managed Services abgebildet werden. Doch was genau beinhaltet die DORA-Verordnung und wer muss sie einhalten?

DORA: Die wichtigsten Inhalte im Überblick
DORA umfasst eine Reihe von Maßnahmen, die den Finanzsektor widerstandsfähiger machen sollen. Zu den wichtigsten Punkten gehören:- IT-Risikomanagement: Finanzunternehmen müssen ihre IT-Systeme widerstandsfähig gegen Cyber-Angriffe gestalten.
- IT-Drittanbieter-Risikomanagement: Strenge Vorschriften zur Überwachung von externen Dienstleistern, um sicherzustellen, dass sie den Anforderungen an die digitale Betriebsstabilität genügen.
- Testen der digitalen Betriebsstabilität: Regelmäßige Tests, um sicherzustellen, dass die IT-Systeme auch in Krisenzeiten funktionieren.
- Meldung von IT-bezogenen Vorfällen: Unternehmen müssen IT-Störungen schnell melden und entsprechende Gegenmaßnahmen einleiten.
- Informationsaustausch: Erhöhung der Transparenz durch den Austausch relevanter Informationen innerhalb der Branche.
- Überwachung kritischer Drittanbieter: Besonders strenge Anforderungen an Dienstleister, die kritische IT-Dienstleistungen erbringen.

Für wen gilt der Digital Operational Resilience Act (DORA)?
- Kreditinstitute
- Versicherungen und Rückversicherungsunternehmen
- Wertpapierfirmen
- Zahlungs- und E-Geldinstitute
- Anbieter von Krypto-Dienstleistungen
- Etc.
Darüber hinaus fallen auch die entsprechenden IKT-Drittdienstleister, die im Vertragsverhältnis mit diesen Finanzunternehmen stehen, unter die DORA-Vorgaben. Das schließt Anbieter von Cloud-Diensten, Softwarelösungen und Datenanalyse-Diensten ein. In Verträgen zwischen Finanzdienstleistern und IKT-Drittanbietern müssen daher spezifische Bestimmungen aufgenommen werden, um die Einhaltung der Verordnung zu gewährleisten.
Wesentlicher Bestandteil dieser Vorgaben ist das Führen eines detaillierten Informationsregisters, das alle vertraglichen Vereinbarungen mit IKT-Drittanbietern dokumentiert. Zudem müssen auf Anfrage der Aufsichtsbehörde das vollständige Register oder relevante Teile davon zur Überprüfung bereitgestellt werden. Außerdem können Aufsichtsbehörden Unternehmen verpflichten, Verträge mit Drittanbietern vorübergehend auszusetzen, bis bestehende Risiken beseitigt sind.
Diese Anforderungen machen deutlich, dass die Überwachung interner Services und die Verwaltung von Verträgen mit IKT-Drittanbietern für die Einhaltung von DORA von zentraler Bedeutung ist. Mit lokaler Expertise, wie etwa bei RUBICON Managed Services aus Wien, lassen sich diese Risiken minimieren. Damit wird sichergestellt, dass alle vertraglichen und regulatorischen Vorgaben zuverlässig erfüllt werden.
Welche vertraglichen DORA-Vereinbarungen sind mit IKT-Drittdienstleistern zu beachten?
Ein zentrales Ziel von DORA besteht darin, das solide Management von IKT-Drittrisiken sicherzustellen. Finanzunternehmen tragen die volle Verantwortung für die Einhaltung aller Vorschriften. Das gilt auch dann, wenn dafür externe IKT-Dienstleister beauftragt werden. Eine umfassende Strategie für das Risiko (einschließlich etwaiger Drittanbieter) ist daher notwendig. Diese Strategie sollte Leitlinien für die Nutzung von IKT-Diensten enthalten, die für kritische oder wichtige Funktionen verantwortlich sind.Wesentlicher Bestandteil dieser Vorgaben ist das Führen eines detaillierten Informationsregisters, das alle vertraglichen Vereinbarungen mit IKT-Drittanbietern dokumentiert. Zudem müssen auf Anfrage der Aufsichtsbehörde das vollständige Register oder relevante Teile davon zur Überprüfung bereitgestellt werden. Außerdem können Aufsichtsbehörden Unternehmen verpflichten, Verträge mit Drittanbietern vorübergehend auszusetzen, bis bestehende Risiken beseitigt sind.
Diese Anforderungen machen deutlich, dass die Überwachung interner Services und die Verwaltung von Verträgen mit IKT-Drittanbietern für die Einhaltung von DORA von zentraler Bedeutung ist. Mit lokaler Expertise, wie etwa bei RUBICON Managed Services aus Wien, lassen sich diese Risiken minimieren. Damit wird sichergestellt, dass alle vertraglichen und regulatorischen Vorgaben zuverlässig erfüllt werden.
Was bedeutet DORA für IKT-Dienstleister?
Für IKT-Dienstleister, die mit dem Finanzsektor zusammenarbeiten, bringt DORA weitreichende Änderungen. Unternehmen, die Cloud-Computing-Dienste, Software, Datenanalysen oder Rechenzentren anbieten, müssen garantieren, dass ihre Lösungen den neuen Anforderungen gerecht werden. Dies betrifft insbesondere die Bereiche IT-Sicherheitslösungen und Risikomanagement.Gleichzeitig eröffnet DORA mehrere Chancen für IT-Unternehmen, die Finanzinstitutionen bei der Einhaltung der neuen Vorschriften unterstützen. Finanzunternehmen benötigen für DORA verlässliche Partner:innen, um die digitale Betriebsstabilität zu gewährleisten und den gestiegenen Anforderungen gerecht zu werden.

So bereiten sich Unternehmen auf DORA vor
DORA bringt zahlreiche Veränderungen für den Finanzsektor und die IT-Branche. Betroffene Unternehmen sollten umgehend mit der Umsetzung beginnen, um alle Anforderungen vollständig zu erfüllen. Dazu gehören etwa die Anpassung von IT-Systemen, die Überprüfung von Verträgen mit Drittanbietern und die Schulung der Mitarbeiter:innen im Bereich IT-Sicherheit. Auch ein entsprechendes Audit der internen und externen IKT-Dienstleister wird empfohlen, um etwaige Schwachstellen rechtzeitig beseitigen zu können.Lokaler DORA IKT-Dienstleister für Deutschland und Österreich: RUBICON Managed Services
Die Suche nach einem verlässlichen und professionellen DORA-Partner, der sich optimal auf Ihre Bedürfnisse ausrichtet, kann aufgrund der zahlreichen Vorgaben komplex sein. Mit erfahrenen IKT-Dienstleistern, wie etwa dem lokalen Anbieter RUBICON Managed Services, können Sie interne sowie externe IKT-Dienstleistungen DORA-konform abbilden.
Das DORA-Leistungsspektrum von RUBICON Managed Services:
- DORA-Applikationsbetrieb: RUBICON Managed Services übernimmt den Applikationsbetrieb mit allen DORA-Anforderungen auf der gewünschten Infrastruktur. Sie erhalten eine ausgezeichnete Expertise mit langjähriger Erfahrung, die alle notwendigen DORA-Anforderungen erfüllt. Darunter fallen die regelmäßigen Monitorings, SLA-Reportings, Procedures und vieles mehr.
- DORA-Applikationshosting: RUBICON Managed Services übernimmt in diesem Fall den Applikationsbetrieb auf den RUBICON-eigenen Servern. Sie profitieren von erfahrenen Systemadministratoren, die die Konfiguration vornehmen, den Betrieb überwachen und optimieren sowie alle DORA-Vorgaben in einer mehrstufigen Systemlandschaft abbilden.
- DORA-Containerbetrieb: Selbstverständlich bildet RUBICON Managed Services auf Wunsch auch den Container-Betrieb im DORA-Kontext ab. Die entsprechende Expertise im Bereich der Container-Infrastruktur garantiert optimalen Betrieb und Skalierbarkeit.
- DORA-Datenbankservices: RUBICON Managed Services verfügt über dezidierte Expertise im Bereich von SQL-Datenbanken. Sie profitieren von laufender Pflege, Wartung und Optimierungen im Betrieb im DORA-Kontext.
Strenge DORA-Vorgaben für IKT-Dienstleister werden erfüllt
RUBICON Managed Services erfüllt auch als lokaler Anbieter alle Anforderungen, die DORA an IKT-Dienstleister stellt. Darunter fallen vor allem die umfassenden Transparenzvorgaben oder auch das regemäßige Monitoring unterschiedlicher Betriebs-Aspekte wie das Monitoring von Security-Schwachstellen oder der Betriebsleistungen. Selbstverständlich erhalten Sie bei RUBICON auch einen dezidierten lokalen Support-Ansprechpartner, der mit allen DORA-Anforderungen bestens vertraut ist.DORA: IKT-Outsourcing für eine effiziente Umsetzung im Unternehmen
RUBICON Managed Services ist der lokale IKT-Dienstleister, wenn es um den DORA-konformen Betrieb geht. Sie erhalten ein perfekt auf Ihre Bedürfnisse zugeschnittenes Dienstleistungspaket, das individuell skaliert oder angepasst werden kann. Durch die umfassende Expertise werden Sie eingehend beraten, erhalten vor allem lokalen Support und eine wirtschaftlich sinnvolle Lösung. DORA ist mit RUBICON Managed Services für alle ein Gewinn.