DORA
Der Digital Operational Resilience Act (DORA, EU 2022/2554) schafft einen einheitlichen Rahmen für die digitale operationelle Resilienz im EU-Finanzsektor. Ein Schwerpunkt: das Management von IKT-Drittdienstleistern.
Für wen gilt DORA?
Abschnitt betitelt „Für wen gilt DORA?“DORA richtet sich an Finanzunternehmen — Banken, Versicherer, Wertpapierfirmen, Zahlungsdienstleister und viele weitere — sowie an kritische IKT-Drittdienstleister, die diese beliefern.
Was DORA für Dienstleister verlangt
Abschnitt betitelt „Was DORA für Dienstleister verlangt“DORA fordert unter anderem:
- ein Register aller Verträge mit IKT-Drittdienstleistern,
- eine Risikobewertung dieser Dienstleister, besonders der kritischen,
- klare vertragliche Vereinbarungen zu Sicherheit, Audit-Rechten und Ausstiegsstrategien,
- das Melden und Nachhalten IKT-bezogener Vorfälle.
Wie Compliance-Cloud unterstützt
Abschnitt betitelt „Wie Compliance-Cloud unterstützt“| DORA-Anforderung | Funktion in Compliance-Cloud |
|---|---|
| Register der IKT-Dienstleister | Lieferantenverwaltung mit Kategorien & Stammdaten |
| Risikobewertung der Dienstleister | Risikoklassifizierung & TPRM |
| Kritische Anbieter überwachen | Kennzeichen kritisch + Workflows |
| Sicherheitslage abfragen | Selbstauskünfte per Fragebogen |
| Vorfälle nachhalten | Vorfall-Modul mit Fristen und Protokoll |
| Nachweise bereithalten | Berichte & Exporte für Aufsicht und Audit |
Konzentrationsrisiko im Blick
Abschnitt betitelt „Konzentrationsrisiko im Blick“DORA betont das Konzentrationsrisiko — die Abhängigkeit von wenigen großen Anbietern. Über die Lieferantenübersicht und die Kategorien in Compliance-Cloud erkennen Sie Klumpenrisiken (etwa „viele kritische Dienste bei einem einzigen Cloud-Anbieter”) und können gegensteuern.