Risiko-Management

DORA: Das sind die neuen EU-Vorgaben zur Cyberabwehr

Mit der sogenannten DORA-Verordnung will die EU den Finanzsektor besser gegen Cyberrisken schützen. Doch was bedeutet das konkret und welchen Auswirkungen hat das für die Unternehmen?

10:04 Uhr | 24. April | 2025
DORA: Das sind die neuen EU-Vorgaben zur Cyberabwehr
| Quelle: Adobestock

Die EU-Verordnung DORA (Digital Operational Resilience Act) ist am 17 Januar in Kraft getreten. Ihr Ziel ist es, die Widerstandsfähigkeit von Finanzdienstleistern, einschließlich Versicherungsgesellschaften, gegenüber Cyberrisiken zu stärken und dafür einen einheitlichen Rahmen in Europa zu schaffen. In Deutschland betrifft das über 3.600 Unternehmen des Finanzsektors, europaweit über 20.000. 

Mit DORA sind zum Beispiel erhöhte Risikomanagement-Anforderungen im Bereich der Informations- und Kommunikationstechnologie (IKT) eines Unternehmens verbunden. Die Geschäftsleitung ist danach angehalten, eine IKT-Strategie festzulegen, zu genehmigen und hierfür ein angemessenes Budget einzuplanen. Darüber hinaus müssen IKT-Vorfälle sorgfältig überwacht, protokolliert und – je nach Schwere – an die Aufsichtsbehörden gemeldet werden. DORA verpflichtet die Finanzunternehmen außerdem dazu, ihre IT-Systeme regelmäßig durch Tests, wie etwa Bedrohungssimulationen, zu überprüfen.

Drittparteien im Blick

DORA nimmt auch Risiken in den Fokus, die durch die Nutzung von IKT-Drittanbieterdiensten entstehen können, einschließlich Cloud-Dienstleistern und Rechenzentren. Schon vor Vertragsabschluss mit einem solchen Dienstleister muss zum Beispiel eine Risikoanalyse erstellt und dessen Eignung bewertet werden. Bei kritischen oder wichtigen Funktionen ist außerdem eine Ausstiegsstrategie vorzuweisen. Ihre abgeschlossenen IKT-Vertragsbeziehungen müssen die Finanzunternehmen in ein Informationsregister eintragen.  

Der Branchenverband GDV sieht mit gemischten Gefühlen auf die DORA-Vorgaben, weil deren Umsetzung zusätzlichen Aufwand für die Versicherungsunternehmen bedeutet. Besonders kleinere und mittlere Unternehmen mit begrenzten Personalressourcen stelle DORA vor große Herausforderungen. 

Der typische Versicherungsmakler oder Maklerpool fällt nicht unter die DORA-Verordnung. „Wenn jedoch ein Pool mit einem betroffenen Finanzinstitut kooperiert, können sich daraus indirekte Verpflichtungen ergeben“, meint Netfonds-Vorstand Martin Steinmeyer.