Digital Operations Resilience Act: Umsetzung und Chancen

Die Uhr tickt: Bis Januar 2025 müssen Unternehmen die rechtlichen Vorgaben der EU zur Resilienz in IT-Systemen vollständig umsetzen. Doch eine aktuelle KPMG-Studie zeigt, dass sieben von zehn Unternehmen sich vor großen Herausforderungen sehen, den Digital Operations Resilience Act (DORA) und die Vorgaben zur Nutzung künstlicher Intelligenz (EU AI Act) zu erfüllen — vor allem, wenn es um die Compliance ihrer IT-Dienstleister geht.

Was bedeutet DORA für Unternehmen?

DORA, der bereits 2022 in Kraft trat und bis kommenden Januar vollständig umgesetzt werden muss, betrifft primär Finanzinstitute, aber auch ihre wesentlichen Drittanbieter wie IT-Dienstleister und Cloud-Anbieter. Das Ziel ist die Steigerung der digitalen Widerstandsfähigkeit, indem Anforderungen an das IKT-Risikomanagement, Meldepflichten bei Sicherheitsvorfällen und regelmäßige Belastungstests für digitale Infrastrukturen festgelegt werden.

DORA überschneidet sich mit anderen Regelwerken wie der NIS2-Richtlinie für Netz- und Informationssicherheit. Während NIS2 sich stärker auf kritische Infrastrukturen konzentriert, richtet sich DORA an die Finanzbranche. Die Richtlinie zielt besonders auf das Management und die Nutzung digitaler Technologien, unter anderem von Cloud-Diensten. Unternehmen sollten außerdem beachten, dass DORA in engem Zusammenhang mit der EU-Richtlinie zur künstlichen Intelligenz (EU AI Act) steht; dieser soll sicherstellen, dass KI-Systeme transparent, sicher und nachvollziehbar eingesetzt werden. Unternehmen, die beide Verordnungen umsetzen müssen, stehen vor der zusätzlichen Herausforderung, Synergien zu schaffen, um den hohen regulatorischen Anforderungen gerecht zu werden.

In der DACH-Region betrifft dies eine Vielzahl von Unternehmen, insbesondere aus dem Finanz- und Versicherungssektor, die mit den strengen regulatorischen Anforderungen konfrontiert sind. Für IT-Manager bedeutet dies, dass bestehende Sicherheitsprotokolle und Managementstrukturen überprüft und erweitert werden müssen.

Herausforderungen bei der Umsetzung

Die Umsetzung von DORA stellt viele Unternehmen vor erhebliche Herausforderungen. Eine Studie von KPMG zeigt, dass sich Finanzdienstleister in einem Spannungsfeld zwischen der digitalen Transformation und der Erfüllung der immer strengeren GRC-Anforderungen (Governance, Risk, Compliance) befinden. Insbesondere im Zusammenhang mit der Cloud-Nutzung und dem Management von externen Anbietern treten Schwierigkeiten auf:

– Provider-Management: 78 % der befragten Finanzdienstleister gaben an, dass die Steuerung von externen Cloud-Diensten eine zentrale Herausforderung darstellt. Unternehmen müssen Transparenz über alle IT-Verträge und deren Risiken schaffen, was oft komplex und zeitaufwendig ist.

– Compliance und Sicherheit: Die wachsende Nutzung von Cloud-Diensten erhöht die Komplexität der Einhaltung von GRC-Vorschriften. Laut der KPMG-Studie sehen 52 % der Finanzinstitute Datenschutzverstöße als ein signifikantes Risiko bei der Nutzung von Cloud-Technologien.

– Fachkräftemangel: Mehr als jedes zweite Unternehmen (55 %) sehen sich vor großen Herausforderungen beim Aufbau von Personalkapazität, um die Cloud-Compliance zu gewährleisten. Digitale und integrierte GRC-Tools und eine stärkere Automatisierung werden als unumgänglich gesehen.

Diese Herausforderungen verdeutlichen, dass Unternehmen nicht nur ihre IT-Systeme anpassen müssen, sondern auch Sicherheits- und Governance-Strategien prüfen sollten, um DORA-Compliance zu erreichen.

Erfolgsfaktoren für die Umsetzung

Um den Anforderungen von DORA gerecht zu werden, müssen Unternehmen auf mehrere zentrale Erfolgsfaktoren achten:

1. Integrierte Sicherheitslösungen: Nur 49 % der befragten Finanzdienstleister setzen kontinuierliche Überwachungslösungen wie SIEM-Systeme (Security Information and Event Management) ein. Unternehmen müssen verstärkt auf integrierte Sicherheitslösungen setzen, die eine umfassende Überwachung und frühzeitige Erkennung von Bedrohungen ermöglichen.

2. Automatisierung und künstliche Intelligenz: Der Einsatz von Automatisierungstools und KI kann helfen, Prozesse effizienter zu gestalten und gleichzeitig die Einhaltung von Compliance-Anforderungen sicherzustellen. Besonders im Bereich des Risikomanagements und der Vorfallsmeldung bietet Automatisierung erhebliche Vorteile, da sie die Reaktionszeit verkürzt und menschliche Fehler minimiert.

3. Zero Trust Architekturen: Angesichts der steigenden Bedrohungslage sollten Unternehmen auf Zero Trust setzen, um den Zugriff auf ihre Systeme streng zu kontrollieren und zu überwachen. Dies ist besonders wichtig, da DORA auch eine stärkere Kontrolle über externe Dienstleister und deren Sicherheitspraktiken fordert.

4. Transparenz über IT-Verträge: Die KPMG-Studie zeigt, dass 64 % der befragten Unternehmen über strukturierte Vertragsübersichten verfügen, die alle IT-Auslagerungen abdecken. Unternehmen, die noch keine vollständige Transparenz über ihre IT-Verträge haben, sollten dringend eine Bestandsaufnahme durchführen, um Risiken zu minimieren.

5. Regelmäßige Belastungstests: Um sicherzustellen, dass IT-Systeme den Anforderungen von DORA standhalten, müssen Unternehmen regelmäßige Belastungstests durchführen. Dies ermöglicht eine frühzeitige Erkennung von Schwachstellen und stellt sicher, dass Unternehmen im Falle eines Vorfalls schnell reagieren können.

Erfolge in der Praxis

Ein Beispiel aus der Praxis zeigt, dass Unternehmen, die auf integrierte Sicherheitslösungen und transparente Provider-Management-Systeme setzen, deutliche Vorteile bei der Umsetzung von DORA erzielen konnten. In einer Fallstudie berichtete ein Finanzdienstleister, dass durch den Einsatz eines automatisierten Incident-Management-Systems die Meldezeit bei Vorfällen um 30 % reduziert werden konnte​.

Ein weiteres Unternehmen stellte nach der Einführung einer Zero Trust-Architektur fest, dass sich die Anzahl der erfolgreichen Phishing-Angriffe drastisch reduzierte. Diese Sicherheitsmaßnahmen haben nicht nur die Compliance-Anforderungen von DORA erfüllt, sondern auch das Vertrauen der Kunden in die Sicherheit der Dienstleistungen gestärkt.

Handlungsempfehlungen für IT-Entscheider

IT-Manager sollten proaktiv handeln, um den Anforderungen von DORA gerecht zu werden. Hier sind vier konkrete Schritte, die Unternehmen kurzfristig umsetzen können:

1. Bestandsaufnahme der IT-Verträge: Transparenz über alle bestehenden IT- und Cloud-Verträge schaffen, um Risiken frühzeitig zu identifizieren.

2. Risikomanagement: Ein umfassendes Risikomanagement einführen, das auch die Sicherheitspraktiken externer Anbieter abdeckt. Dies sollte auch die Entwicklung von Exit-Strategien umfassen.

3. Automatisierung nutzen: Investitionen in Automatisierung und künstliche Intelligenz vorantreiben, um Sicherheitsprozesse zu beschleunigen und menschliche Fehler zu minimieren.

4. Schulungen und Awareness-Programme: Mitarbeiter regelmäßig schulen, um sicherzustellen, dass sie über die neuesten Sicherheitspraktiken informiert sind und Bedrohungen rechtzeitig erkennen können.

Früh handeln, Chancen nutzen

DORA stellt hohe Anforderungen an Unternehmen, bietet aber gleichzeitig auch die Chance, die IT-Resilienz und -Sicherheit nachhaltig zu stärken. IT-Manager müssen jetzt handeln, um die notwendigen Strukturen und Systeme zu implementieren, die nicht nur den gesetzlichen Anforderungen gerecht werden, sondern auch die Wettbewerbsfähigkeit ihres Unternehmens in einer immer stärker digitalisierten Welt sichern.