DORA und NIS2: Stärkung der digitalen Resilienz in der EU

DORA: Stärkung der digitalen Resilienz im EU-Finanzsektor

Was ist DORA?

Der Digital Operational Resilience Act der EU (Verordnung (EU) 2022/2554, DORA) wird maßgeblich beeinflussen, wie Finanzunternehmen die IKT-Governance verbessern, IKT-Risiken managen, Vorfälle offenlegen und ihre Resilience. Die financial sector is increasingly dependent on digital services and technology to deliver their services. This digital transformation has made financial entities more vulnerable to cyberattacks and incidents.

DORA ist eine europäische Verordnung, die von der Europäischen Kommission im September 2020 eingeführt wurde. Die Verordnung trat am 16. Januar 2023 in Kraft und wurde am 17. Januar 2025 anwendbar. DORA ist Teil der EU’s digital strategy, which aims to strengthen the digital operational resilience of financial entities operating in Europe and their ICT third parties by establishing a common set of rules and standards to mitigate Information and Communications Technology (ICT) risks. 

Die Finanzunternehmen und die IKT-Dienste, die sie unterstützen, stellen eine lebenswichtige Komponente der kritischen Infrastruktur der EU dar. Wenn sie nicht ordnungsgemäß verwaltet werden, können IKT-Risiken Störungen inrders and across sectors, having an impact on the economy at large. It is also an opportunity for intelligence sharing related to threats and vulnerabilities.

Harmonisierung für den Finanzsektor in ganz Europa

Vor der Einführung von DORA operierte der Finanzdienstleistungssektor in der EU ohne einen gemeinsamen Rahmen für IKT und Cybersicherheit. Die Regulierungslandschaft war durch ein kompliziertes Flickwerk europäischer und nationaler Standards geprägt die nicht harmonisiert waren. Zusätzlich mussten Finanzinstitutionen die Komplexität des Datenschutzes gemäß der DSGVO der EU neben deressities of safeguarding critical infrastructure as per the Network and Information Systems (NIS) Richtlinie. With no EU-Verordnung, it was left to each Member State to implement and enforce their own laws to address these multifaceted risk management issues.

Was ist eine Verordnung in der EU?

Bevor wir uns mit dem Digital Operational Resilience Act befassen, ist es wichtig zu verstehen, was der Begriff „Verordnung“ im Zusammenhang mit EU-Richtlinien und anderen Arten von EU-Gesetzgebungsakten bedeutet.

Außerhalb der EU variieren ihre Bedeutungen von Land zu Land. In der EU gibt es fünf Arten von Gesetzgebungs- oder Rechtsakten , die es den EU-Verträgen ermöglichen, ihre Ziele zu erreichen. Dies sind Verordnungen, Richtlinien, Beschlüsse, Empfehlungen und Stellungnahmen.  

Verordnung: Ein verbindlicher Gesetzgebungsakt, der in allen Mitgliedstaaten direkt und in seiner Gesamtheit angewendet werden muss.

Richtlinie: Ein Gesetzgebungsakt, der Ziele festlegt, die erreicht werden müssen, aber die Art und Weise der Umsetzung bleibt jedem EU-Mitgliedstaat überlassen. Die NIS2-Richtlinie trat 2023 in Kraft und jeder Mitgliedstaat muss die Richtlinie in nationales Recht umsetzen.

Beschluss: Ein verbindlicher Akt nur für diejenigen, an die er gerichtet ist, und direkt anwendbar. Wenn der Rat beispielsweise einen Beschluss über die Euro-Einführung eines Mitgliedstaats erlässt, betrifft er nur diesen bestimmtenry.

Empfehlung: Ein nicht verbindlicher Text, der von einer EU-Institution herausgegeben wird, um ihre Ansichten zu einem Thema zu äußern und Maßnahmen vorzuschlagen, ohne rechtliche Auswirkungen oder Verpflichtungen für die in der Empfehlungion.

Stellungnahme: Ein nicht verbindlicher Text, der von einer EU-Institution herausgegeben wird, um ihre Ansichten zu einem Thema zu äußern.

Was ist eine Verordnung in der EU?

Was ist der Geltungsbereich von DORA?

DORA gilt für alle Finanzinstitutionen in der EU , einschließlich traditioneller Finanzunternehmen wie Banken, Wertpapierfirmen und Kreditinstitute sowie nicht-traditioneller Einrichtungen wie Krypto-Asset-Dienstleisterce providers. Article 2(1) of DORA sets out the exhaustive list of covered entities for the EU’s financial sector, with exceptions listed in Article 2(3). In addition, ICT third-party service providers do not have to be based in Europe to come under the regulation. Any third party providing services to a European company is concerned. Die specific provisions for the FEs and third-party services providers will be addressed in another post.

Die fünf Säulen von DORA

Der Text der Verordnung definiert fünf Säulen, die verschiedene Domänen und Aspekte von IKT- und Cyber-Risiken abdecken, die von Finanzunternehmen adressiert werden müssen, um Compliance sicherzustellen. 

IKT-Risikomanagement

Finanzunternehmen müssen über robuste Governance- und Kontroll-Frameworks für ein effektives IKT-Risikomanagement verfügen. Dazu gehören unter anderem die Vorbereitung auf IKT-Risiken, die Pflege aktueller Systeme und die Implementierung digitalerl operational resilience strategies.

IKT-bezogenes Vorfallmanagement, Klassifizierung und Meldung

Finanzunternehmen müssen einen Prozess zur Identifizierung und Verwaltung von IKT-bezogenen Vorfällen einrichten, wobei schwerwiegende Vorfälle der zuständigen Behörde gemeldet werden müssen.

Tests der digitalen operativen Resilienz

Regelmäßige Tests von IKT-Systemen und -Tools zur Identifizierung und Behebung von Schwächen oder Lücken in der digitalen operativen Resilienz. Dazu gehören Penetrationstests durch Drittparteien und bedrohungsgeleitete Penetrationstests.

Management von IKT-Drittparteienrisiken

Diese Säule konzentriert sich auf das solide Management von Risiken im Zusammenhang mit IKT-Drittanbieter-Dienstleistern, einschließlich Sorgfaltspflicht, Vertragsklauseln und IKT-Konzentrationsrisiko. 

Informationsaustausch

Der Informationsaustausch mit Behörden und zwischen Finanzunternehmen trägt zur digitalen operativen Resilienz bei, insbesondere im Kontext von Cyber-Bedrohungen und Schwachstellen.

Europäische Aufsichtsbehörden und DORA

Die Europäischen Aufsichtsbehörden (ESAs) arbeiten in erster Linie an der Harmonisierung der Finanzaufsicht in der EU mit einer Reihe aufsichtsrechtlicher Standards für Finanzinstitutionen. Die ESAs helfen sicherzustellen, dassnce and “create a level playing field”. They are also mandated to assess risks and vulnerabilities in the financial sector. Die ESAs are:

• die Europäische Bankenaufsichtsbehörde (EBA)
• die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA)
• die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA)

Um die Anwendung von DORA zu operationalisieren, sind die ESAs durch den Gemeinsamen Ausschuss und in Konsultation mit der Europäischen Zentralbank (EZB) und der Europäischen Union

 13 Politikprodukte zu entwickeln in zwei Chargen. Diese Politikprodukte umfassen Regulierungstechnische Standards (RTS), Durchführungstechnische Standards (ITS) und Leitlinien (GL). Diese Politikinstrumente sind notwendig, um detaillierte technische Spezifikationen für die Umsetzung der Gesetzgebung bereitzustellen. 

Die erste Charge der Politikprodukte umfasst:

• RTS zum IKT-Risikomanagement-Framework und RTS zum vereinfachten IKT-Risikomanagement-Framework

• RTS zu den Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen

• ITS zur Festlegung der Vorlagen für das Informationsregister

• RTS zur Festlegung der Politik zu IKT-Diensten von IKT-Drittanbietern

Die zweite Charge umfasst:

• RTS und ITS zu Inhalt, Zeitplänen und Vorlagen zur Vorfallmeldung

• GL zu aggregierten Kosten und Verlusten aus schwerwiegenden Vorfällen

• RTS zur Unterauftragsvergabe kritischer oder wichtiger Funktionen

• RTS zur Harmonisierung der Aufsicht

• GL zur Zusammenarbeit der Aufsicht zwischen ESAs und zuständigen Behörden

• RTS zu bedrohungsgeleiteten Penetrationstests (TLPT)  

Herausforderungen für die DORA -Compliance

Die wichtigsten Herausforderungen für die DORA-Compliance laufen parallel zu den fünf Säulen der Verordnung. Organisationen, die von der Verordnung betroffen sind, müssen sich auf die Implementierung risikobasierter Richtlinien und Verfahren konzentrieren, um IKT- und Cyber-Risiken. Darüber hinaus ist die regelmäßige Bewertung der IKT- und Cyber-Fähigkeiten und -Sicherheit im Falle eines IKT-bezogenen Vorfalls eine wesentliche Komponente der gesamten digitalen operativen Resilienz or cyberattack.

NIS2: Stärkung der Cybersicherheit in kritischen und wichtigen Sektoren

Was ist NIS2?

Die NIS2-Richtlinie (Richtlinie (EU) 2022/2555) ist der aktualisierte EU-Rahmen für Cybersicherheit und Risikomanagement in kritischen und wichtigen Wirtschaftssektoren. Sie zielt darauf ab, das allgemeine Cybersicherheitsniveau in der EU zu verbessern, indem Schwächen der ursprünglichen NIS-Richtlinie behoben und dem wachsenden Ausmaß, der Ausgefeiltheit und der systemischen Auswirkung von Cyber-Bedrohungen begegnet wird.

NIS2 trat am 16. Januar 2023 in Kraft. Als Richtlinie legt sie verbindliche Ziele auf EU-Ebene fest, muss jedoch von jedem Mitgliedstaat in nationales Recht umgesetzt werden. Die transposition deadline was October 17, 2024. However as of the writing of this article 17 out of 27 EU Member States have transposed the NIS2-Richtlinie into national law.

Während die Richtlinie in Kraft ist, hängen Umsetzung und Durchsetzung von nationaler Gesetzgebung ab, was bedeutet, dass Anforderungen und Aufsichtsansätze während der Umsetzungsphase zwischen Ländern variieren könnenn phase.

Wie DORA spiegelt NIS2 die Erkenntnis der EU wider, dass digitale und Cyber-Risiken nicht mehr isoliert verwaltet werden können.

Was ist der Geltungsbereich von NIS2?

Die NIS2-Richtlinie gilt für mittlere und große Organisationen in Sektoren, die als kritisch für das Funktionieren der Wirtschaft und Gesellschaft in der EU gelten. Ihr Geltungsbereich ist erheblich breiter als der der ursprünglichen NIS-Richtlinie und basiert auf Sektor und Unternehmensgröße.

NIS2 unterscheidet zwischen zwei Kategorien von im Geltungsbereich liegenden Organisationen:

• Wesentliche Einrichtungen, die in Sektoren tätig sind, in denen Störungen schwerwiegende gesellschaftliche oder wirtschaftliche Folgen haben könnten

• Wichtige Einrichtungen, die in anderen kritischen Sektoren tätig sind, aber leichteren Aufsichtsregimen unterliegen

Die Klassifizierung bestimmt, wie Aufsicht und Durchsetzung angewendet werden, aber beide Kategorien müssen dieselben Kern-Cybersicherheitsrisikomanagement- und Vorfallmeldepflichten erfüllen.

Abgedeckte Sektoren umfassen unter anderem:

• Energie, Verkehr, Bankwesen und Infrastrukturen der Finanzmärkte

• Gesundheit, Trinkwasser und Abwasser

• Digitale Infrastruktur, einschließlich Cloud-Dienstanbieter, Rechenzentren, Content-Delivery-Netzwerke, Managed-Service-Anbieter und Managed-Security-Service-Anbieter

• Öffentliche Verwaltung auf zentraler und regionaler Ebene

• Weltraum, Post- und Kurierdienste

• Herstellung kritischer Produkte (wie Arzneimittel, Medizinprodukte und bestimmte Industriegüter)

Im Allgemeinen gilt NIS2 für Organisationen mit 50 oder mehr Mitarbeitern oder einem Jahresumsatz von mehr als 10 Millionen Euro, obwohl einige Einrichtungen unabhängig von ihrer Größe aufgrund ihrer systemischen Bedeutung eingeschlossen sind.

Wichtiger noch, erstreckt sich der Geltungsbereich von NIS2 über die direkt regulierte Einrichtung hinaus. NIS2 umfasst ein viel breiteres Ökosystem von Drittparteien-Anbietern, Lieferanten und digitalen Dienstleistern, die kritische Aktivitäten in ganz Europa unterstützen.

Kernfokusbereiche der NIS2-Richtlinie

Es gibt mehrere Fokusbereiche, die mittlere und große Organisationen adressieren müssen, um ihre Cybersicherheit und operative Resilienz zu stärken. Diese Fokusbereiche stimmen eng überein mit the principles underpinning DORA and reflect the EU’s broader, risikobasierten Ansatzes to digital resilience.

Governance und Rechenschaftspflicht

NIS2 legt Führungskräften Aufsichtspflichten auf. Managementorgane sind verantwortlich für die Genehmigung von Cybersicherheitsrisikomanagementmaßnahmen, die Überwachung ihrer Umsetzung und dnsuring that appropriate policies, controls, and training are in place.

Vorfallbehandlung und -meldung

Einrichtungen müssen in der Lage sein, Cyber-Vorfälle zu erkennen, zu bewerten und darauf zu reagieren sowie erhebliche Vorfälle innerhalb definierter Fristen an nationale Behörden zu melden. NIS2 führt ein strukturierteres Meldeframework ein, einschließlich Frühwarnungen, Vorfallmeldungen und Abschlussberichten, was die Notwendigkeit klarer Eskalationspfade und wiederholbarer Meldeprozesse unterstreicht.

Drittparteien- und Lieferketten-Risikomanagement

Organisationen müssen Cybersicherheitsrisiken adressieren, die von Lieferanten und Dienstleistern ausgehen, insbesondere wenn Drittparteienabhängigkeiten die Bereitstellung kritischer Dienste beeinflussen. Dhis effectively extends cybersecurity expectations across the supply chain.

Geschäftskontinuität und Krisenmanagement

NIS2 verlangt von Einrichtungen, die Kontinuität kritischer Dienste durch Maßnahmen wie Backup-Management, Disaster Recovery, Krisenreaktionsplanung und zeitnahe Systemwiederherstellung sicherzustellenoration following an incident.

Navigation der NIS2-Compliance in EU-Mitgliedstaaten

Ein wesentlicher Unterschied zwischen NIS2 und DORA liegt darin, wie sie umgesetzt und durchgesetzt werden in der Europäischen Union. DORA ist eine EU-Verordnung, was bedeutet, dass sie in allen Mitgliedstaaten ohne nationale Umsetzungsgesetzgebung direkt und einheitlich gilt. Once applicable, its requirements are the same across the EU, creating a harmonized framework for the financial sector.

NIS2 hingegen ist eine Richtlinie. Während sie im Januar 2023 in Kraft trat, ist jeder Mitgliedstaat verantwortlich für die Umsetzung ihrer Anforderungen in nationales Recht. Dieser Prozess erfordert, dass jedes Land seine Aufsichtsbehörden, Durchsetzungsmechanismen und bestimmte Verfahrensdetails auf nationaler Ebene definiert. Infolgedessen kann die praktische Anwendung von NIS2 zwischen Mitgliedstaaten variieren.

Über NIS2- und DORA-Compliance hinausgehen

Die Compliance mit NIS2 und DORA erfordert von Organisationen die Implementierung umfassender Cybersicherheits- und Resilienzfähigkeiten, die Technologie, Prozesse, Governance und people. For many organizations enterprises, this represents a erhebliche Ressourcenallokation dar und bedeutet eine Veränderung im Umgang mit Cyber- und IKT-Risiken in der gesamten Organisation.

Welche Rolle spielt Governance bei der Compliance?

Governance ist eine zentrale Komponente der Compliance unter NIS2 und DORA. Die Erfüllung von Anforderungen im Zusammenhang mit Risikobewertung, Vorfallmeldung, Geschäftskontinuität und Drittparteien oversight depends on clear accountability, defined decision-making structures, and coordinated processes across the organization. These obligations cannot be met through technology alone and must be sustained over time as part of day-to-day operations.

Wie demonstrieren Organisationen Resilienz unter DORA und NIS2?

DORA und NIS2 fördern beide den Austausch von Informationen und Erkenntnissen über Bedrohungen, Taktiken oder andere von Cyberkriminellen zur Schädigung von Organisationen verwendete Methoden. Regulierungsbehörden erwarten von Organisationen, objektive, wiederholbare Nachweise zu erbringen, dass Cyber- und IKT-Risiken identifiziert, priorisiert und so adressiert werden, dass kritische Dienste und Verbraucher geschützt werden.

Operative Resilienz unter NIS2 und DORA umfasst:

• Verantwortung der Führungsebene für Cybersicherheits- und Resilienzetscheidungen

• Informations- und Erkenntnisaustausch mit Kollegen und Regulierungsbehörden über Cyber-Bedrohungen, Techniken und Verfahren

• Dokumentierte Prozesse für Risikobewertung, Vorfallreaktion und Kontinuitätsplanung

• Überwachung von Drittparteien und Lieferketten, einschließlich IKT-Dienstleister und kritische Lieferanten

• Risikobasierte Priorisierung, um sicherzustellen, dass Ressourcen und Kontrollen mit der Kritikailtät und dem potenziellen Einfluss von Diensten übereinstimmen

Datengestütztes Risikomanagement mit quantitativer Analyse

Aufbau eines risikobasierten Programms aus verhältnismäßigen regulatorischen Anforderungen

Sowohl NIS2 als auch DORA sind darauf ausgelegt, verhältnismäßig zu sein. Während sie klare Erwartungen an Governance, Risikomanagement, Vorfallbehandlung und Resilienz stellen, wird die Tiefe und Intensität der Aufsichtsprüfung je nach Faktoren wie Organisationsgröße, Sektor, Kritikailtät der Dienste und Risikoprofil.

Diese Verhältnismäßigkeit verringert nicht den Bedarf an Struktur oder Disziplin. Stattdessen unterstreicht sie die Bedeutung eines risikobasierten Ansatzes der es Organisationen ermöglicht, Ressourcen entsprechend der tatsächlichen Exponierung und dem potenziellen Einfluss zuzuweisen. Ein risikobasiertes Programm ermöglicht Organisationen – unabhängig von ihrer Größe – nachzuweisen, dass Compliance-Bemühungen ausgerichtet sind aufat matters most, rather than applied uniformly across all risks and controls.

Daten und Quantifizierung nutzen, um Resilienz nachzuweisen

Unter sowohl DORA als auch NIS2 muss Resilienz durch Nachweise. Von Organisationen wird erwartet, zu zeigen, dass Risiken verstanden werden, Entscheidungen begründet sind und kritische Dienste innerhalb akzeptabler Fristen aufrechterhalten oder wiederhergestellt werden können.

Datengestütztes Risikomanagement und Cyber-Risikoquantifizierung ermöglichen dies durch die Übersetzung technischer Risiken in messbare Ergebnisse, einschließlich finanzieller Auswirkungen. Quantitative Analyse unterstützt klarere Governance-Entscheidungen, more accurate incident reporting, and risk-based prioritization of controls and third-party relationships. When risk is measured consistently over time, resilience becomes beobachtbar und prüfbar.