DORA erklärt: Auswirkungen auf den Softwareeinkauf im Finanzsektor
DORA tritt am 17. Januar 2025 in Kraft und verändert grundlegend, wie Finanzorganisationen Software einkaufen und Verträge abschließen. Das ist alles, was Sie über die fünf Säulen, die vertraglichen Anforderungen und die Auswirkungen auf das Lieferantenmanagement wissen müssen.
- 1. Februar 2025
- 5 Min.
- DORA – Digital Operational Resilience Act
DORA, die Digital Operational Resilience Act, tritt am 17. Januar 2025 in allen EU-Mitgliedstaaten in Kraft. Für Finanzorganisationen und ihre IT-Lieferanten ändert sich grundlegend etwas: Digitale Widerstandsfähigkeit ist kein internes IT-Thema mehr, sondern eine regulierte Unternehmenspflicht mit Aufsicht und Bußgeldern.
Was ist DORA?
DORA ist eine EU-Verordnung, keine Richtlinie, sondern unmittelbar anwendbares Recht, das die digitale operationelle Widerstandsfähigkeit des Finanzsektors reguliert. Die Verordnung ist Teil des Digital Finance Package und gilt für 20 Kategorien von Finanzunternehmen, von Banken und Versicherern bis hin zu Fintechs und Kryptodienstleistern.
Die fünf Säulen von DORA
DORA strukturiert ihre Anforderungen um fünf Kernbereiche herum:
IT-Risikomanagement: Ein umfassender Rahmen zur Identifizierung, Klassifizierung und Steuerung von IT-Risiken
Vorfallberichterstattung: Große IT-Vorfälle müssen innerhalb strenger Fristen den Aufsichtsbehörden gemeldet werden
Tests der digitalen Widerstandsfähigkeit: Regelmäßige Penetrationstests und Resilienzszenarien für kritische Systeme
Management von Drittanbieterrisiken: Vertragliche Verpflichtungen, Lieferantenregister und Konzentrationsrisiko-Analyse
Informationsaustausch: Proaktive Weitergabe von Bedrohungsinformationen innerhalb der Branche
Was bedeutet DORA für den Softwareeinkauf?
Die vierte Säule, das Management von Drittanbieterrisiken, hat direkte Auswirkungen darauf, wie Finanzorganisationen Software einkaufen und Verträge abschließen:
Vertragliche Mindestanforderungen: Jeder IT-Vertrag muss Klauseln zu SLA, Vorfallmeldung, Prüfungsrechten, Exit-Plan, Datenstandort und Kontinuität enthalten
IT-Lieferantenregister: Ein aktuelles und vollständiges Register aller IT-Lieferanten ist verpflichtend und muss den Aufsichtsbehörden zugänglich sein
Konzentrationsrisiko: Eine zu große Abhängigkeit von einem einzigen Anbieter (z.B. einem Cloud-Anbieter) muss bewertet und gemeldet werden
Subunternehmer: Auch Zulieferer Ihrer Lieferanten fallen unter den DORA-Geltungsbereich
SoftVaro unterstützt Finanzorganisationen dabei, ihre Softwarelandschaft zu kartieren und Verträge DORA-konform zu gestalten.
Häufig gestellte Fragen
Die meistgestellten Fragen zu diesem Thema.
Für wen gilt DORA?
DORA gilt für Banken, Versicherungen, Investmentunternehmen, Zahlungsinstitute, Kryptodienstleister, Pensionsfonds und alle IT-Lieferanten, die kritische Dienste für diese Institutionen erbringen.
Gilt DORA auch für meinen Softwarelieferanten?
Ja. Wenn Sie Software oder IT-Dienstleistungen an eine Finanzinstitution liefern, die unter DORA fällt, sind Sie als IT-Lieferant verpflichtet, die vertraglichen DORA-Anforderungen zu erfüllen, die die Finanzinstitution Ihnen auferlegt. Kritische IT-Lieferanten können zudem direkt der EU-Aufsicht unterliegen.
Welche Bußgelder drohen bei Nichteinhaltung von DORA?
Bußgelder können bis zu 2 % des gesamten weltweiten Jahresumsatzes betragen. Für kritische IT-Lieferanten, die direkt der EU-Aufsicht unterliegen, gelten zusätzliche Sanktionen.
Bereit, bei Software zu sparen?
SoftVaro verhandelt für dich den besten Deal bei über 4.000 Anbietern. Unabhängig, transparent, innerhalb von 24 Stunden.