Digital Operational Resilience Act – kurz DORA – ist eine EU-Verordnung über die digitale operationale Resilienz im Finanzsektor.
Sie gilt seit dem 17. Januar 2023 in der Europäischen Union, die damit verbundenen Anforderungen müssen Finanzunternehmen seit dem 17. Januar 2025 anwenden.
Mit DORA weitet sich das Ziel um eine erhöhte Widerstandskraft auf den Einsatz von Informations- und Kommunikations-Technologien (IKT) aus, da diese im Zuge der Digitalisierung von Finanzunternehmen zentrale Schlüsseltechnologien und damit ihr Rückgrat darstellen. Die Bereitstellung, der Betrieb und die Wartung dieser Technologien werden in der Branche nicht als Kernkompetenz der IT-Abteilungen von Finanzunternehmen verstanden, daher werden sie oft als IKT-Services am Markt eingekauft. Damit gerät die eigene Widerstandsfähigkeit in Abhängigkeit der Widerstandsfähigkeit der IKT-Dienstleister. Da sowohl Finanz- als auch Dienstleistungsunternehmen in der Regel international agieren, unternimmt DORA den Anlauf, vereinheitlichte Anforderungen auf europäischer Ebene zu formulieren.
DORA wird inhaltlich von fünf Themensäulen getragen
- IKT-Risikomanagement
- IKT-Vorfallmeldewesen
- Prüfung digitaler Betriebsstabilität
- IKT-Drittpartei-Risikomanagement
- Austausch von Informationen
Die Regelungen aus der Verordnung werden auf der untergesetzlichen Ebene im Detail durch technische Regulierungs- und Durchführungs-Standards (Regulatory Technical Standards / RTS und Implementing Technical Standards / IST) ergänzt bzw. präzisiert.
Beratung, Tools und Schulungen zu DORA
microfin unterstützt bei der Umsetzung von DORA und bietet DORA-Seminare an.
Ein Schwerpunkt von DORA liegt im IKT-Drittparteimanagement, für das microfin über ein DORA-Tool verfügt, mit dessen Hilfe sich u.a. Informationsregister führen und Konzentrationsrisiken darstellen lassen.
vgl. auch: Resilienz, Cloud-Resilienz
