Skip to main content

DORA und das Auslagerungsmanagement: Was du jetzt wissen musst

Die DORA (Digital Operational Resilience Act) verändert die Spielregeln im Auslagerungsmanagement grundlegend. Sie zielt darauf ab, die digitale Resilienz von Finanzunternehmen und deren Dienstleistern zu stärken – mit Fokus auf IT-Sicherheit, Cyberrisiken und klare Vorgaben für die Zusammenarbeit. Doch was genau fordert DORA von dir, und wie unterscheidet sie sich von bisherigen Regelungen wie den MaRisk? In diesem Artikel geben wir dir einen kompakten Überblick und zeigen, wie die S+P Seminare dir bei der Umsetzung helfen können.

Die DORA (Digital Operational Resilience Act) verändert die Spielregeln im Auslagerungsmanagement grundlegend. Sie zielt darauf ab, die digitale Resilienz von Finanzunternehmen und deren Dienstleistern zu stärken – mit Fokus auf IT-Sicherheit, Cyberrisiken und klare Vorgaben für die Zusammenarbeit. Doch was genau fordert DORA von dir, und wie unterscheidet sie sich von bisherigen Regelungen wie den MaRisk? In diesem Artikel geben wir dir einen kompakten Überblick und zeigen, wie die S+P Seminare dir bei der Umsetzung helfen können.

Was macht DORA so besonders?

Die DORA ist eine EU-Verordnung, die im Januar 2023 in Kraft getreten ist. Ihr Ziel: eine europaweit einheitliche Regulierung für die digitale Resilienz von Finanzunternehmen und deren Dienstleistern. Damit löst sie bisherige nationale Vorschriften nicht ab, sondern ergänzt sie.

Die wichtigsten Neuerungen im Überblick:

  1. EU-weite Harmonisierung: Einheitliche Anforderungen gelten für alle Finanzinstitute und ihre kritischen IT-Dienstleister, unabhängig von ihrem Sitz.

  2. Stärkere Fokussierung auf IT-Risiken: Cyberrisiken und IT-Ausfälle stehen im Zentrum der DORA-Vorgaben.

  3. Regelmäßige Tests: Unternehmen müssen ihre IT-Systeme und die ihrer Dienstleister kontinuierlich prüfen, um Schwachstellen frühzeitig zu erkennen.

Neue Anforderungen an das Auslagerungsmanagement

1. IT-Resilienz im Fokus

DORA verlangt, dass du sicherstellst, dass deine Dienstleister jederzeit widerstandsfähig gegenüber Störungen sind. Das bedeutet:

  • Verfügbarkeitsmanagement: Dienstleister müssen sicherstellen, dass kritische IT-Systeme auch bei Ausfällen schnell wiederhergestellt werden können.

  • Notfallpläne: Deine Dienstleister müssen klar definierte Prozesse für den Umgang mit IT-Störungen haben.

Praxis-Tipp: Im S+P Seminar DORA-Compliance lernst du, wie du Notfallpläne und Tests gezielt in deine Prozesse integrierst.

2. Cyberrisiken überwachen

Cyberangriffe sind eines der größten Risiken im digitalen Zeitalter – und stehen im Mittelpunkt der DORA. Folgende Punkte sind verpflichtend:

  • Meldung von Sicherheitsvorfällen: Dienstleister müssen dich und die Aufsichtsbehörden innerhalb von Stunden über Vorfälle informieren.

  • KPI- und KRI-Definition: Du musst klare Leistungs- und Risikoindikatoren festlegen, um Cyberrisiken messbar zu machen.

Beispiel:
Ein KRI könnte die Anzahl erfolgreicher Cyberangriffe im Quartal sein, während ein KPI die Geschwindigkeit zur Behebung von Schwachstellen misst (z. B. 24 Stunden).

3. Regelmäßige Tests

DORA schreibt vor, dass IT-Systeme von Unternehmen und Dienstleistern regelmäßig geprüft werden müssen. Diese Tests sollen Schwachstellen frühzeitig aufdecken. Dazu gehören:

  • Stresstests: Simuliere Szenarien wie Cyberangriffe oder Systemausfälle.

  • Regelmäßige Bewertungen: Überprüfe, ob deine Dienstleister die vereinbarten KPIs und KRIs einhalten.

👉 Tipp: Das S+P Seminar Update für Auslagerungsbeauftragte zeigt dir, wie du ein effektives Test- und Prüfkonzept entwickelst.

Unterschiede zwischen DORA und MaRisk

Die MaRisk AT 9 war bisher der zentrale Standard für das Auslagerungsmanagement in Deutschland. Doch DORA geht in mehreren Bereichen darüber hinaus:

  1. EU-weite Harmonisierung: Während die MaRisk nur in Deutschland gilt, schafft DORA einheitliche Regeln für die gesamte EU.

  2. Fokus auf IT-Dienstleister: DORA legt einen stärkeren Schwerpunkt auf kritische IT- und Cloud-Dienstleister, während die MaRisk allgemeiner ist.

  3. Verpflichtende Tests: Regelmäßige IT-Stresstests sind eine Kernanforderung der DORA – in der MaRisk ist dies bislang nur als Best Practice vorgesehen.

  4. Strengere Überwachung: DORA schreibt detaillierte Überwachungs- und Meldepflichten vor, die die bisherigen MaRisk-Vorgaben deutlich verschärfen.

Wie setzt du die neuen Anforderungen um?

Schritt 1: Identifiziere kritische Dienstleister

Erstelle eine Übersicht, welche Dienstleister für dich und deine IT-Resilienz essenziell sind.

Schritt 2: Passe Verträge an

Ergänze deine Service-Level-Agreements (SLAs) um KPIs, KRIs und klare Vorgaben zu Berichterstattung, Notfallplänen und Tests.

Schritt 3: Führe regelmäßige Tests durch

Plane Stresstests und Risikoanalysen – sowohl für deine internen Prozesse als auch bei deinen Dienstleistern.

Schritt 4: Dokumentiere alles

Halte Ergebnisse von Tests, Berichten und Überwachungen detailliert fest, um jederzeit auditbereit zu sein.

Wie unterstützen dich die S+P Seminare?

  1. DORA-Compliance:

    • Tiefer Einblick in die DORA-Anforderungen und deren Umsetzung.

    • Praxisorientierte Tools für Tests und Monitoring.

  2. Update für Auslagerungsbeauftragte:

    • Fokus auf die Anpassung bestehender Prozesse und Verträge.

    • Musterlösungen und Checklisten für audit-sicheres Management.

Fazit: Mit DORA zu sicherem Auslagerungsmanagement

Die DORA stellt hohe Anforderungen an dich als Auslagerungsbeauftragte*n, bietet aber auch die Chance, dein Management auf ein neues Level zu heben. Mit einem klaren Fokus auf IT-Resilienz, regelmäßige Tests und den Schutz vor Cyberrisiken bist du bestens gerüstet, um die neuen Spielregeln umzusetzen.

👉 Jetzt anmelden für das S+P Seminar DORA-Compliance oder Update für Auslagerungsbeauftragte und bring dein Auslagerungsmanagement auf Kurs!

Dieses Seminar könnte dich interessieren:

[section_import post=77481 id=Z21]