EU-Gesetz DORA in Kraft: Mehr Cybersicherheit in ganz Europa

Die EU-Verordnung DORA ist seit vergangener Woche in Kraft. IT-Anbieter in, aber auch außerhalb der EU müssen Auflagen für mehr IT-Sicherheit erfüllen. Wie sieht die IT-Branche in Großbritannien das EU-Gesetz? CRN fragt nach.

DORA (Digital Operational Resilience Act) ist am 17. Januar 2025 in Kraft getreten und markiert "einen Wendepunkt für die digitale Sicherheit im europäischen Finanzsektor", sagt Dean Watson, Lead Solutions Expert Secure Networking bei Distributor Infinigate. Wie andere EU-Verordnungen auch, NIS2 oder DSGVO zum Beispiel, zielt DORA darauf ab, die Finanz- und Versicherungsbranche widerstandsfähiger gegen IT-Risiken und Cyberbedrohungen zu machen. Wichtig: DORA gilt auch ITK-Dienstleister, die Kunden aus diesen Branchen bedienen.

Die Herausforderungen für Unternehmen sind laut Watson "beachtlich". Vor allem für jene, die sich mit DORA bislang noch nicht befasst haben oder zu spät dran sind. Denn die Übergangsfrist ist mit Inkrafttreten des EU-Gesetzes vergangene Woche abgelaufen. DORA verlangt ein umfangreiches IT-Risikomanagement, strenge Meldepflichten für IT-Vorfälle und die regelmäßige Durchführung von Resilienztests.

Dazu Infinigate-Manager Watson: "Um einiges komplexer gestaltet sich das Management von Drittanbietern: Unternehmen müssen bis zum 30. April 2025 ein vollständiges Register aller vertraglichen Vereinbarungen mit ihren IT-Dienstleistern erstellen. Kritische Drittanbieter unterliegen dabei einer direkten Aufsicht durch europäische Behörden und haben zusätzliche Sicherheits- und Berichtsstandards zu erfüllen".

Drastische Strafen

Verstoßen betroffene Unternehmen gegen DORA, drohen empfindliche Strafen: bis zu zwei Prozent des weltweiten Jahresumsatzes eines Finanzunternehmens oder bis zu zehn Millionen Euro. "Haftbar sind bei Nichteinhaltung der Vorschriften außerdem auch Drittanbieter von ITK-Diensten. Hier können Geldbußen von bis zu einem Prozent des durchschnittlichen täglichen weltweiten Umsatzes für jeden einzelnen Tag der Nichteinhaltung verhängt werden", warnt Watson. "Die operativen und finanziellen Herausforderungen dürften insbesondere kleine Unternehmen auf die Probe stellen. Denn die Nichteinhaltung kann nicht nur finanzielle Folgen haben: Neben hohen Geldstrafen drohen Reputationsschäden, eingeschränkte Marktchancen und verstärkte regulatorische Überwachung. Auch erhöhe Versicherungskosten und rechtliche Konsequenzen sind möglich".

IT-Dienstleister müssen demzufolge nicht nur ihre eigenen Systeme DORA-konform gestalten, sondern auch ihre Dienste an die strengen Anforderungen ihrer Kunden aus dem Finanzsektor anpassen. "Dies betrifft insbesondere Cloud-Provider, Rechenzentren und Managed Service Provider", sagt Watson.

Auch außerhalb der EU ist DORA relevant

Das Finanzzentrum Europas ist Großbritannien, in der Londoner City sind alle großen internationalen Banken und Investmentgesellschaften präsent. Auch sie können unter der dem von der EU erlassenen Digital Operational Resilience Act fallen. "Unternehmen aus dem Vereinigten Königreich müssen schnell handeln, um festzustellen, ob sie in den Anwendungsbereich von DORA fallen, und zwar auf der Grundlage des breiten Spektrums der einbezogenen Finanzmarktaktivitäten und der Frage, ob diese innerhalb der EU-Rechtsprechung stattfinden", rät die Unternehmensberatung PwC. Die in der EU geltenden Vorschriften zur IKT- und Cyber-Resilienz sind strenger sind als die derzeitigen britischen Vorschriften zur operativen Resilienz. "Unabhängig davon, wo Ihr Unternehmen in Bezug auf den Reifegrad der digitalen und betrieblichen Widerstandsfähigkeit steht, sollte DORA ein Auslöser sein, um andere laufende Programme (z. B. betriebliche Widerstandsfähigkeit, Risikomanagement für Dritte, Behebung von Technologierisiken, Cloud-Transformation und Cyber-Transformation) aufeinander abzustimmen und zu ermitteln, welche zusätzlichen Anforderungen zu erfüllen sind", rät PwC.

Bürokratie-Vorwurf fehl am Platz

Ein Blick auf UK, zeigt, wie eng die Gesetze der EU auch britische Unternehmen tangieren, obwohl sich Großbritannien doch mit dem Brexit unabhängiger von der EU machen wollte. Indes: Cyberbedrohungen machen an keinen Grenzen hat, und zudem müsste es im eigenen Interesse der global agierenden Finanzwirtschaft sein, dass ihre IT-Systeme sehr gut gegen Cyberangriffe geschützt sind – auch wenn der Gesetzgeber, wie bei DORA, die Initiative ergreift. Nicht jede staatliche Auflage muss als lästige Bürokratisierung begriffen werden. So jedenfalls sieht das Infinigate-Manager Watson und die meisten IT-Dienstleister in Großbritannien.

"Wir müssen alles, was in der EU passiert, sehr aufmerksam verfolgen, weil sie unsere Handelspartner sind. Ich vermute, dass DORA einen Einfluss haben wird, weil wir sehr eng zusammenarbeiten, aber genauso wie die KI-Strategie anderer großer Regionen, wie Amerika oder China, einen Einfluss haben wird", sagt Chris Jones, Leiter des öffentlichen Sektors bei Trustmarque.

CRN UK hat einige IT-Unternehmen in UK zu DORA befragt und sich ein Bild gemacht, wie der Stand der Umsetzung bei britischen IT-Unternehmen ist.

Digitale Widerstandsfähigkeit verbessern

Richard Lindsay, Consultant-Chef bei Orange Cyberdefense, sieht zwar eine überbordende regulatorische Landschaft in der EU – mit "mehreren sich überschneidenden Standards und Gesetzen" und nennt NIS2 als Beispiel. "Zumindest aber erkennen CISOs, dass DORA trotz der anfänglichen Kopfschmerzen die digitale Widerstandsfähigkeit im gesamten Ökosystem der EU erheblich verbessern wird", sagt er. Neun von zehn CISOs im britischen Finanzdienstleistungssektor seien ihm zufolge gut auf DORA vorbereitet, denn es gäbe in UK schließlich umfassende Compliance-Anforderungen mit ähnlichen Anforderungen, wie sie die DORA stellt.

Aber: "In der Realität wird jedoch etwas weniger als die Hälfte (43 Prozent) der Befragten diese Frist [17.Januar] verpassen, wobei 20 Prozent davon ausgehen, dass sie diese um mindestens drei Monate verpassen werden, wie unsere jüngste Umfrage ergab", sagt Lindsay.

"Keine revolutionären Anforderungen"

Für ihn stelle DORA "keine revolutionären Anforderungen". Die meisten könnten durch Investitionen in umfassende Cyber-Risikobewertungen, integrierte Berichterstattung über Vorfälle, Cyber-Resilienz-Tests und rahmenübergreifende Governance erfüllt werden. Es ist vielmehr der "Wirrwarrs neuer Vorschriften", der viele Unternehmen mit einem "eher reaktiven Ansatz für die Einhaltung der Anforderungen" begegnen. Die handeln erst, "sobald die Gefahr von Repressalien greifbar wird", wie Lindsay feststellt.

"Ich denke, DORA ist ein weiteres Beispiel dafür, dass verschiedene Regulierungsbehörden oder Regierungen unserer Branche höhere Standards auferlegen. Ich unterstütze das", sagt Geoff Kneen, Geschäftsführer von Advania UK. Die Kluft zwischen UK und der EU in Bezug auf die Widerstandsfähigkeit von Unternehmen hält er "nicht für so groß".

Das bestätigt auch Guy Golan, Geschäftsführer von Performanta. "Glücklicherweise hat Performanta die Anforderungen erfüllt, da sie sich nicht allzu sehr von den bisherigen Anforderungen unterscheiden. Wir fühlen uns sehr stark in unserer völlig transparenten Beziehung zu unseren Kunden, einschließlich der Finanzdienstleistungsbranche".

Golan glaubt indes, dass viele Unternehmen noch Zeit für die Anpassung an DORA brauchen werden. "Es ist noch nicht zu spät. Lieferanten werden in den kommenden Monaten gemeinsam mit den Kunden mehr über die Feinheiten von DORA herausfinden", sagt er.

Den britischen Channel befragte CRN-Redakteurin Kelsey Rees zu DORA. Wir haben die Zitate der Interviews von CRN UK gekürzt übernommen.

CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden