{"id":447310,"date":"2025-04-03T06:14:33","date_gmt":"2025-04-03T06:14:33","guid":{"rendered":"https:\/\/www.ninjaone.com\/?p=447310"},"modified":"2025-04-30T15:33:51","modified_gmt":"2025-04-30T15:33:51","slug":"5-grundprinzipien-der-dora-verordnung","status":"publish","type":"post","link":"https:\/\/www.ninjaone.com\/de\/blog\/5-grundprinzipien-der-dora-verordnung\/","title":{"rendered":"Was sind die 5 Grundprinzipien der DORA-Verordnung?"},"content":{"rendered":"

Der Digital Operational Resilience Act (DORA<\/a>) der Europ\u00e4ischen Union konsolidiert die digitalen Sicherheitsstandards f\u00fcr Finanzunternehmen in den Mitgliedsstaaten. Diese werden in erster Linie durch die Schl\u00fcsselinitiativen des Frameworks veranschaulicht, die auch als die\u00a05 Grundprinzipien von DORA<\/strong> bekannt sind:<\/p>\n

    \n
  1. IKT-Risikomanagement<\/li>\n
  2. Berichterstattung \u00fcber Vorf\u00e4lle<\/li>\n
  3. Pr\u00fcfung der digitalen betrieblichen Belastbarkeit<\/li>\n
  4. Management der von Drittanbietern stammenden Risiken<\/li>\n
  5. Austausch von Informationen<\/li>\n<\/ol>\n

    DORA erg\u00e4nzt die bereits implementierte Richtlinie namens Network and Information Security 2 (NIS2<\/a>). Im Gegensatz zu NIS2 ist DORA jedoch eine durchsetzbare Verordnung, \u00e4hnlich wie die Datenschutz-Grundverodnung der EU (DSGVO<\/a>). Wenn Sie in der IT- und Finanzbranche t\u00e4tig sind, finden Sie hier alles, was Sie \u00fcber die DORA-Anforderungen an die Cybersicherheit wissen m\u00fcssen.<\/p>\n

    Die 5 Grundprinzipien der DORA-Verordnung<\/h2>\n

    Finanzinstitute sind bekannt f\u00fcr ihre komplexen IT-Infrastrukturen. Diese Technologien erm\u00f6glichen es Unternehmen, Leistung und Sicherheitsma\u00dfnahmen auf neue Weise zu optimieren, erfordern aber auch robustere L\u00f6sungen f\u00fcr das Risikomanagement.<\/p>\n

    DORA zielt darauf ab, diese L\u00fccken durch die Einf\u00fchrung einer Reihe von Anforderungen zu schlie\u00dfen, die das Niveau der Informations- und Kommunikationstechnologie (IKT) im gesamten Finanzsektor anheben. Insgesamt sind die Philosophie und die Vision von DORA in den folgenden Grundprinzipien zusammengefasst:<\/p>\n

      \n
    1. \n

      IKT-Risikomanagement<\/h3>\n<\/li>\n<\/ol>\n

      Das IT-Risikomanagement<\/a>\u00a0ist der Eckpfeiler des DORA-Frameworks. Sie umfasst die Strategien, Richtlinien und Tools, die zum Schutz von Daten und Assets vor erheblichen IKT-Herausforderungen erforderlich sind.<\/p>\n

      Dieses Grundprinzip stellt sicher, dass Finanzeinrichtungen und die verschiedenen Stakeholder IKT-bezogene Schwachstellen unverz\u00fcglich und genau \u00fcberwachen, bewerten und minimieren. Es wird auch thematisiert, wie sie solche Vorf\u00e4lle melden und darauf reagieren sollen. Finanzunternehmen und die mit ihnen verbundenen Drittdienstleister m\u00fcssen sich auf regelm\u00e4\u00dfige Sicherheitspr\u00fcfungen und -bewertungen einstellen.<\/p>\n

      IT-Expert:innen m\u00fcssen ein umfassendes Framework f\u00fcr das IKT-Risikomanagement entwickeln, um die Anforderungen von DORA zu erf\u00fcllen. Dies kann bedeuten, dass bestehende Protokolle in Anspruch genommen und bestimmte Ziele und Rollen im Unternehmen neu definiert werden. Ein gr\u00fcndlicher Aktionsplan sollte einen proaktiven und konsequenten Ansatz f\u00fcr das Risikomanagement enthalten.<\/p>\n

        \n
      1. \n

        Berichterstattung \u00fcber IKT-bezogene Vorf\u00e4lle<\/h3>\n<\/li>\n<\/ol>\n

        Gem\u00e4\u00df DORA m\u00fcssen Unternehmen mit den zust\u00e4ndigen Beh\u00f6rden zusammenarbeiten, um gr\u00f6\u00dfere IKT-bezogene Vorf\u00e4lle zu bew\u00e4ltigen.<\/p>\n

        Vorf\u00e4lle m\u00fcssen auch sofort nach ihren Auswirkungen und ihrem Potenzial, Service-Levels zu st\u00f6ren, klassifiziert werden. Dar\u00fcber hinaus m\u00fcssen sie den zust\u00e4ndigen Beh\u00f6rden unter Einhaltung\u00a0der strengen Meldefristen und Standardvorlagen von DORA<\/a>\u00a0gemeldet werden.<\/p>\n

        Angesichts der zunehmenden Bedeutung der Meldung von IKT-Vorf\u00e4llen sollten IT-Verantwortliche pr\u00fcfen, wie sie die internen \u00dcberpr\u00fcfungs- und Dokumentationsverfahren verbessern k\u00f6nnen. Eine M\u00f6glichkeit, dies zu erreichen, ist die Automatisierung.<\/p>\n

        Durch Automatisierung l\u00e4sst sich ein umfassenderer und einheitlicherer Risikomanagementplan umsetzen. Zun\u00e4chst einmal kann\u00a0fortschrittliche \u00dcberwachungssoftware<\/a>\u00a0Unternehmen dabei helfen, potenziellen Problemen mit Echtzeit\u00fcberwachung, Bedrohungserkennung und Reaktion zuvorzukommen. Gleichzeitig kann dieser moderne Ansatz Ihre Backup- und Wiederherstellungspraktiken verbessern.<\/p>\n

          \n
        1. \n

          Pr\u00fcfung der digitalen betrieblichen Belastbarkeit<\/h3>\n<\/li>\n<\/ol>\n

          DORA stellt auch die regelm\u00e4\u00dfige \u00dcberpr\u00fcfung von Ma\u00dfnahmen zur digitalen Resilienz in den Vordergrund. Anders gesagt, es wird von Unternehmen erwartet, dass sie die Auswirkungen bestimmter Szenarien und erheblicher St\u00f6rungen auf ihren Betrieb analysieren. Zus\u00e4tzlich dazu kann von gro\u00dfen Einrichtungen verlangt werden, dass sie umfassendere und h\u00e4ufigere Testprotokolle anwenden.<\/p>\n

          Zu den proaktiven Ma\u00dfnahmen, die IT-Mitarbeiter:innen ergreifen k\u00f6nnen, geh\u00f6ren Tests der Netzwerksicherheit und verschiedene Schwachstellenbewertungen. Dar\u00fcber hinaus sollten Sie regelm\u00e4\u00dfige Bedrohungsanalysen durchf\u00fchren, um L\u00fccken im Prozess zu erkennen und bestehende Sicherheitsma\u00dfnahmen und Fehlerbehebuns-Pl\u00e4ne zu verst\u00e4rken. Finanzunternehmen m\u00fcssen auch IKT-Drittanbieter in Schulungsprogramme zur Cybersicherheit einbeziehen, die Teil der Anforderungen sind.<\/p>\n

            \n
          1. \n

            Management der von Drittanbietern stammenden Risiken<\/h3>\n<\/li>\n<\/ol>\n

            Einer der wichtigsten Punkte des DORA-Frameworks betrifft das Management von Risiken, die von Drittanbietern stammen, und die Compliance.<\/p>\n

            Aus einer breiteren Perspektive betrachtet, wird damit die erweiterte Verantwortung von Finanzunternehmen in den Mitgliedsl\u00e4ndern zur Einhaltung der EU-IKT-Bestimmungen und -Gesetze aktualisiert.<\/p>\n

            Nach dieser Leitlinie m\u00fcssen Finanzunternehmen sicherstellen, dass in Vertr\u00e4gen mit IKT-Drittanbietern, auch solchen au\u00dferhalb der EU, die Pflichten und Rechte beider Parteien klar und genau definiert sind. Sie m\u00fcssen au\u00dferdem die Compliance der Drittanbieter \u00fcberwachen und regelm\u00e4\u00dfig bewerten.<\/p>\n

            Finanzunternehmen k\u00f6nnen sich bei ihren Kernfunktionen und kritischen IT-Infrastrukturen nicht stark auf einen einzigen Anbieter verlassen. Daher m\u00fcssen sie die Initiative zur Diversifizierung der IT-Infrastrukturen ergreifen und strenge Protokolle entwickeln, um die Compliance in allen Bereichen zu gew\u00e4hrleisten.<\/p>\n

            In diesem Sinne werden auch IKT-Drittdienstleister, die zentrale oder entscheidende Operationen durchf\u00fchren, der direkten Aufsicht durch die zust\u00e4ndigen Europ\u00e4ischen Aufsichtsbeh\u00f6rden (ESAs) unterliegen.<\/p>\n

              \n
            1. \n

              Austausch von Informationen und Erkenntnissen<\/h3>\n<\/li>\n<\/ol>\n

              Einrichtungen werden auch ermutigt, sich an Initiativen zum Informationsaustausch zu beteiligen, um gemeinsam die Standards in der Branche anzuheben. Neben der Verbesserung der Berichterstellung, der Dokumentation und der funktions\u00fcbergreifenden Zusammenarbeit innerhalb des Unternehmens sollten IKT-Verantwortliche auch die Zusammenarbeit mit Beh\u00f6rden und Drittanbietern f\u00f6rdern.<\/p>\n

              Auswirkungen von DORA auf Unternehmen<\/h2>\n

              DORA zielt in erster Linie darauf ab, die IT-Sicherheit und die betriebliche Widerstandsf\u00e4higkeit des Finanzsektors zu verbessern.<\/p>\n

              Die Unternehmen, die bei dieser Initiative im Vordergrund stehen, sind Bank- und Kreditinstitute, Wertpapierfirmen, Versicherungsunternehmen und Anbieter von Zahlungsdiensten.<\/p>\n

              Dar\u00fcber hinaus k\u00f6nnen Cloud-Service-Anbieter und Daten-Analytics-Unternehmen, die wesentliche Dienste f\u00fcr Finanzinstitute verwalten, als kritische Drittanbieter eingestuft werden und \u00e4hnlichen strengen Bestimmungen und Gesetzen unterliegen.<\/p>\n

              Um sich auf die Implementierung von DORA vorzubereiten, m\u00fcssen Unternehmen den Umfang und die Anforderungen von DORA an sich selbst und ihre Gesch\u00e4ftspartner verstehen. Sie werden auch von der Zusammenarbeit mit Drittanbietern profitieren, die bereits die NIS2-, DSGVO- und DORA-Richtlinien einhalten.<\/p>\n

              F\u00fcr IKT-Fr\u00fchrungskr\u00e4fte und -Personal muss die Compliance als Prozess und nicht als Projekt betrachtet werden. Angepasste IKT-Protokolle m\u00fcssen anpassungsf\u00e4hig sein, insbesondere wenn neue Informationen verf\u00fcgbar werden. Die allgemeine Herangehensweise soll dynamisch sein, und alle Beteiligten sollten sich zur Zusammenarbeit und zu regelm\u00e4\u00dfigen Schulungen bereit zeigen.<\/p>\n

              Best Practices f\u00fcr DORA-Compliance<\/h2>\n

              Diversifizierung der IT-Infrastrukturen<\/h3>\n

              Eine M\u00f6glichkeit, eine widerstandsf\u00e4hige IT-Infrastruktur zu schaffen, besteht darin, sie zu diversifizieren. Es bestehen viele M\u00f6glichkeiten, diese Initiative zu verwirklichen, aber die meisten Unternehmen k\u00f6nnen sich zun\u00e4chst mit der Modernisierung einiger Komponenten und der\u00a0IT-Automatisierung<\/a> befassen. Fern\u00fcberwachung und -wartung k\u00f6nnen Wunder f\u00fcr Effizienz<\/a> und Echtzeit-Sicherheit bewirken.<\/p>\n

              St\u00e4rkung interner Kan\u00e4le f\u00fcr funktions\u00fcbergreifende Schulungen und Zusammenarbeit<\/h3>\n

              L\u00fccken in der IKT sind nicht nur in der IT-Abteilung zu finden. Ihr Unternehmen braucht einen ganzheitlichen Ansatz, um Schwachstellen zu erkennen und Protokolle durchzusetzen. Kommunikationskan\u00e4le, die verschiedene Abteilungen und Unternehmensbereiche umfassen, sind wichtig, um ein unternehmensweites Bewusstsein und die Compliance zu f\u00f6rdern.<\/p>\n

              Zusammenarbeit mit externen Stakeholdern<\/h3>\n

              Die f\u00fcnf Grundprinzipien von DORA betonten bereits die Bedeutung der Zusammenarbeit, und wir wiederholen sie hier. Ihr Unternehmen sollte mit den Aufsichtsbeh\u00f6rden kollaborieren, um die genaueste und aktuellste Auslegung von DORA zu erhalten. Ebenso sollten Sie an Ihre Anbieter dieselben Anforderungen stellen, insbesondere an diejenigen, die die kritischen Bereiche Ihres Unternehmens bedienen. Beziehen Sie diese gegebenenfalls in IKT- und DORA-Schulungen ein.<\/p>\n

              Integration von GRC in Ihre Strategie<\/h3>\n

              Governance, Risiko und Compliance (GRC)<\/a> kann dazu beitragen, die Belegschaft in die Lage zu versetzen, die DORA-Compliance gemeinsam zu erf\u00fcllen. Im Wesentlichen beseitigt das GRC-Framework die traditionellen Barrieren zwischen den Unternehmensbereichen, beseitigt uneinheitliche Prozesse und Redundanzen und richtet die IT an den Unternehmenszielen aus.<\/p>\n

              Das GRC-Framework kann besonders effektiv sein, was die Einhaltung von Branchen- und Regierungsvorschriften und das Risikomanagement betrifft. F\u00fcr den Erfolg dieser Initiative ist eine starke Unterst\u00fctzung aus allen Bereichen, insbesondere von Entscheidungstr\u00e4ger:innen, erforderlich. Die Suche nach der richtigen Software zur Konsolidierung der GRC-Ma\u00dfnahmen kann das Unternehmen auch vor besondere Herausforderungen stellen.<\/p>\n

              Bereiten Sie Ihr Unternehmen auf die DORA-Compliance vor<\/h2>\n

              DORA ist relativ neu, aber seine Bestimmungen sind gr\u00f6\u00dftenteils aus bestehenden\u00a0IT-Compliance-Standards<\/a>\u00a0wie DSGVO und NIS2 konzipiert. Daher sollten Sie diese Ressourcen in Anspruch nehmen, um Ihren Risikomanagement-Plan, Ihre IT-Komponenten und Ihre Schulungsprogramme zu st\u00e4rken und durchzusetzen. W\u00e4hrend die DORA-Initiativen viele neue Herausforderungen mit sich bringen, sollten Compliance-Manager:innen und IT-Expert:innen auch die Chance sehen, ihre ITC-Strategie zu vereinheitlichen. Dar\u00fcber hinaus k\u00f6nnen sie die Entscheidungstr\u00e4ger:innen dazu bewegen, die IT-Infrastrukturen aufzur\u00fcsten, da sie sowohl unmittelbare als auch langfristige Vorteile und Auswirkungen haben.<\/p>\n","protected":false},"excerpt":{"rendered":"

              Der Digital Operational Resilience Act (DORA) der Europ\u00e4ischen Union konsolidiert die digitalen Sicherheitsstandards f\u00fcr Finanzunternehmen in den Mitgliedsstaaten. Diese werden in erster Linie durch die Schl\u00fcsselinitiativen des Frameworks veranschaulicht, die auch als die\u00a05 Grundprinzipien von DORA bekannt sind: IKT-Risikomanagement Berichterstattung \u00fcber Vorf\u00e4lle Pr\u00fcfung der digitalen betrieblichen Belastbarkeit Management der von Drittanbietern stammenden Risiken Austausch von […]<\/p>\n","protected":false},"author":161,"featured_media":444686,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_relevanssi_hide_post":"","_relevanssi_hide_content":"","_relevanssi_pin_for_all":"","_relevanssi_pin_keywords":"","_relevanssi_unpin_keywords":"","_relevanssi_related_keywords":"","_relevanssi_related_include_ids":"","_relevanssi_related_exclude_ids":"","_relevanssi_related_no_append":"","_relevanssi_related_not_related":"","_relevanssi_related_posts":"","_relevanssi_noindex_reason":"","_lmt_disableupdate":"no","_lmt_disable":"","footnotes":""},"categories":[4368,4356],"tags":[],"class_list":["post-447310","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sicherheit","category-it-betrieb"],"acf":[],"modified_by":"Dragos Frangulea","_links":{"self":[{"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/posts\/447310","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/users\/161"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/comments?post=447310"}],"version-history":[{"count":0,"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/posts\/447310\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/media\/444686"}],"wp:attachment":[{"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/media?parent=447310"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/categories?post=447310"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/tags?post=447310"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}