DORA erklärt: Auswirkungen auf den Softwareeinkauf im Finanzsektor
DORA ist ab dem 17. Januar 2025 in Kraft und verändert grundlegend, wie finanzielle Organisationen Software einkaufen und Verträge abschliessen. Dies ist alles, was Sie über die fünf Säulen, die vertraglichen Anforderungen und die Auswirkungen auf das Lieferantenmanagement wissen müssen.
- 1. Februar 2025
- 5 Min.
- DORA – Digital Operational Resilience Act
DORA, das Gesetz zur digitalen operationellen Resilienz (Digital Operational Resilience Act), tritt am 17. Januar 2025 in allen EU-Mitgliedstaaten in Kraft. Für Finanzorganisationen und deren ICT-Lieferanten ändert sich grundlegend etwas: Digitale Widerstandsfähigkeit ist nicht mehr nur eine interne IT-Angelegenheit, sondern eine regulierte Unternehmenspflicht mit Aufsicht und Sanktionen.
Was ist DORA?
DORA ist eine EU-Verordnung, keine Richtlinie, sondern unmittelbar anwendbares Recht, das die digitale operationelle Resilienz des Finanzsektors regelt. Die Verordnung gehört zum Digital Finance Package und gilt für 20 Kategorien finanzieller Einheiten, von Banken und Versicherern bis zu Fintechs und Kryptodienstleistern.
Die fünf Säulen von DORA
DORA strukturiert ihre Anforderungen rund um fünf Kernbereiche:
ICT-Risikomanagement: Ein umfassender Rahmen zur Identifikation, Klassifizierung und Steuerung von ICT-Risiken
Vorfallmeldung: Grosse ICT-Vorfälle müssen innerhalb enger Fristen an die Aufsichtsbehörden gemeldet werden
Tests der digitalen Resilienz: Periodische Penetrationstests und Resilienz-Szenarien für kritische Systeme
Management von Drittparteirisiken: Vertragliche Verpflichtungen, Lieferantenregister und Konzentrationsrisikoanalyse
Informationsaustausch: Proaktives Teilen von Bedrohungsinformationen innerhalb der Branche
Was bedeutet DORA für den Softwareeinkauf?
Die vierte Säule, das Management von Drittparteirisiken, hat direkte Auswirkungen darauf, wie finanzielle Organisationen Software einkaufen und Verträge abschliessen:
Vertragliche Mindestanforderungen: Jeder ICT-Vertrag muss Klauseln zu SLA, Vorfallmeldung, Prüfungsrechten, Exit-Plan, Datenstandort und Kontinuität enthalten
ICT-Lieferantenregister: Ein aktuelles und vollständiges Register aller ICT-Lieferanten ist verpflichtend und muss den Aufsichtsbehörden zugänglich sein
Konzentrationsrisiko: Eine zu grosse Abhängigkeit von einem Anbieter (z.B. ein Cloudprovider) muss bewertet und gemeldet werden
Subunternehmer: Auch Lieferanten von Ihren Lieferanten fallen in den DORA-Geltungsbereich
SoftVaro unterstützt Finanzorganisationen dabei, ihre Softwarelandschaft zu überblicken und Verträge DORA-konform zu gestalten.
Häufig gestellte Fragen
Die am häufigsten gestellten Fragen zu diesem Thema.
Für wen gilt DORA?
DORA gilt für Banken, Versicherer, Anlagegesellschaften, Zahlungsinstitute, Kryptodienstleister, Pensionskassen sowie alle ICT-Lieferanten, die kritische Dienstleistungen für diese Institute erbringen.
Gilt DORA auch für meinen Softwarelieferanten?
Ja. Wenn Sie Software oder ICT-Dienstleistungen an eine Finanzinstitution liefern, die unter DORA fällt, sind Sie als ICT-Lieferant verpflichtet, die vertraglichen DORA-Anforderungen zu erfüllen, die die Finanzinstitution Ihnen auferlegt. Kritische ICT-Lieferanten können zudem direkt der EU-Aufsicht unterliegen.
Was sind die Sanktionen bei Nichteinhaltung von DORA?
Die Sanktionen können bis zu 2% des weltweiten Jahresumsatzes betragen. Für kritische ICT-Lieferanten, die direkt unter EU-Aufsicht stehen, gelten zusätzliche Massnahmen.
Bereit, bei Software zu sparen?
SoftVaro verhandelt für dich die besten Konditionen bei über 4'000 Anbietern. Unabhängig, transparent, innert 24 Stunden.