DORA erklärt: Auswirkungen auf den Software-Einkauf im Finanzsektor
DORA tritt am 17. Januar 2025 in Kraft und verändert grundlegend, wie Finanzorganisationen Software einkaufen und Verträge abschließen. Hier erfährst du alles über die fünf Säulen, die vertraglichen Anforderungen und die Auswirkungen auf das Lieferantenmanagement.
- 1. Februar 2025
- 5 Min.
- DORA – Digital Operational Resilience Act
DORA, die Digital Operational Resilience Act, tritt am 17. Januar 2025 in allen EU-Mitgliedsstaaten in Kraft. Für Finanzorganisationen und deren IT-Dienstleister bedeutet dies eine grundlegende Veränderung: Digitale Widerstandsfähigkeit ist kein internes IT-Thema mehr, sondern eine regulierte Unternehmenspflicht mit Aufsicht und Bußgeldern.
Was ist DORA?
DORA ist eine EU-Verordnung, keine Richtlinie, sondern unmittelbar gültiges Recht, das die digitale operationelle Resilienz des Finanzsektors regelt. Die Verordnung ist Teil des Digital Finance Package und gilt für 20 Kategorien finanzieller Einrichtungen, von Banken und Versicherern bis hin zu Fintechs und Krypto-Dienstleistern.
Die fünf Säulen von DORA
DORA gliedert ihre Anforderungen in fünf Kernbereiche:
IT-Risikomanagement: Ein umfassendes Rahmenwerk zur Identifikation, Klassifikation und Steuerung von IT-Risiken
Vorfallmeldung: Große IT-Zwischenfälle müssen innerhalb strenger Fristen an die Aufsichtsbehörden gemeldet werden
Tests der digitalen Widerstandsfähigkeit: Periodische Penetrationstests und Resilienz-Szenarien für kritische Systeme
Management von Drittanbieterrisiken: Vertragliche Verpflichtungen, Lieferantenregister und Analyse von Konzentrationsrisiken
Informationsaustausch: Proaktives Teilen von Bedrohungsinformationen innerhalb der Branche
Was bedeutet DORA für den Software-Einkauf?
Die vierte Säule, das Management von Drittanbieterrisiken, hat direkte Auswirkungen darauf, wie Finanzorganisationen Software einkaufen und Verträge abschließen:
Vertragliche Mindestanforderungen: Jeder IT-Vertrag muss Klauseln zu SLA, Vorfallmeldung, Prüfungsrechten, Exit-Plan, Datenstandort und Kontinuität enthalten
IT-Lieferantenregister: Ein aktuelles und vollständiges Register aller IT-Lieferanten ist verpflichtend und muss den Aufsichtsbehörden zugänglich sein
Konzentrationsrisiko: Eine zu große Abhängigkeit von einem einzigen Anbieter (z. B. ein Cloud-Anbieter) muss bewertet und berichtet werden
Subunternehmer: Auch Zulieferer deiner Lieferanten fallen unter den Geltungsbereich von DORA
SoftVaro unterstützt Finanzorganisationen dabei, ihre Software-Landschaft zu erfassen und Verträge DORA-konform zu gestalten.
Häufig gestellte Fragen
Die am häufigsten gestellten Fragen zu diesem Thema.
Für wen gilt DORA?
DORA gilt für Banken, Versicherer, Investmentgesellschaften, Zahlungsinstitute, Krypto-Dienstleister, Pensionsfonds und alle IT-Lieferanten, die kritische Dienstleistungen für diese Einrichtungen erbringen.
Gilt DORA auch für meinen Softwarelieferanten?
Ja. Wenn du Software oder IT-Dienstleistungen an eine Finanzinstitution lieferst, die unter DORA fällt, bist du als IT-Lieferant verpflichtet, die vertraglichen DORA-Anforderungen zu erfüllen, die die Finanzinstitution dir stellt. Kritische IT-Lieferanten können zudem direkt unter die EU-Aufsicht fallen.
Welche Bußgelder drohen bei Nicht-Einhaltung von DORA?
Bußgelder können bis zu 2 % des weltweiten Jahresumsatzes betragen. Für kritische IT-Lieferanten, die direkt unter der EU-Aufsicht stehen, gelten zusätzliche Sanktionen.
Bereit, bei Software zu sparen?
SoftVaro verhandelt für dich den besten Deal bei über 4.000 Anbietern. Unabhängig, transparent, innerhalb von 24 Stunden.