Digital Operational Resilience Act (DORA) – Teil 2

IKT-Risikomanagement, Resilienztests und Drittparteienkontrolle im Lichte der DORA-Verordnung

• Dr. Dr. Fabian Teichmann

Der zweite Teil der Betrachtung zur Verordnung (EU) 2022/2554 über die digitale operationelle Resilienz im Finanzsektor (Digital Operational Resilience Act, DORA) widmet sich der praktischen Umsetzung in Finanzorganisationen. Im Vordergrund stehen die zentralen Handlungsfelder IKT-Risikomanagement, Resilienztests (einschließlich Threat-Led Penetration Testing), Incident Management, das Auslagerungsmanagement (Third- Party-Risk-Management) und die Verankerung von Geschäfts-Continuity-Maßnahmen in den institutsweiten Prozessen. Anhand konkreter Beispiele und Verweisungen auf die einschlägigen Artikelnormen (unter anderem Art. 25, 30 DORA) wird illustriert, wie Institute ihre bestehenden IT- und Risikostrukturen anpassen müssen, um den neuen, EU-weiten Mindeststandards zu genügen. Dabei werden sowohl technische als auch organisatorische Aspekte beleuchtet – etwa die Einrichtung einer einheitlichen IKT-Risikosteuerung, die Integration von Cloud-Outsourcing-Prozessen oder die Durchführung gemeinsamer Krisenübungen mit Behörden. Insgesamt zeigt sich, dass DORA eine umfassende Test- und Dokumentationskultur fordert, die über bloße Compliance hinausgeht und zu einem ganzheitlichen Resilienzverständnis im Finanzsektor führen soll.