novaCapta ist Teil der
accountant working on desk using calculator for calculate finance report in office

DORA-Verordnung: Was Finanzunternehmen jetzt tun müssen

Neue EU-Vorgabe für mehr Cybersicherheit in der Finanzbranche ist im Januar in Kraft getreten

Köln, den 4. März 2025. Am 17. Januar 2025 ist die EU-Verordnung DORA (Digital Operational Resilience Act) in Kraft getreten, die die digitale Widerstandsfähigkeit der gesamten Finanzbranche stärken soll. Wir erläutern Ihnen die Anforderungen und zeigen Ihnen, wie Sie die erforderliche Konformität erreichen.          

Was ist DORA?

Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung, die seit dem 17. Januar 2025 verbindlich gilt. Durch diese hat die Europäische Union eine einheitliche Regulierung für die Themen Cybersicherheit, IKT-Risiken und digitale operationale Resilienz für den gesamten Finanzsektor geschaffen. Mit DORA verfolgt die EU das Ziel, die Widerstandsfähigkeit von Finanzdienstleistungsinstituten gegenüber IKT- und Cyberrisiken zu stärken. DORA bezieht sich ausdrücklich auf IKT-Risiken und legt Regeln für das Risikomanagement, die Meldung von Vorfällen, die Prüfung der operativen Belastbarkeit und die Überwachung von IKT-Risiken durch Dritte fest. Nur so lässt sich gewährleisten, dass Unternehmen in der Finanzbranche auch bei größeren Vorfällen sicher und zuverlässig weiterarbeiten können.

Durch DORA sind Finanzinstitute und ihre Leitungsorgane in der Pflicht, diesen Regeln nachzukommen. Finanzunternehmen, die den Digital Operational Resilience Act (DORA) nicht einhalten, riskieren erhebliche Konsequenzen: Diese reichen von hohen Geldstrafen über aufsichtsrechtliche Maßnahmen bis hin zu geschäftlichen Einschränkungen und der persönlichen Haftung der Geschäftsleitung; hinzu kommen Vertrauensverluste und Reputationsschäden.

Welche Unternehmen sind betroffen?

So gut wie alle beaufsichtigten Institute und Unternehmen des europäischen Finanzsektors fallen unter DORA, dazu gehören:

Banken und Kreditinstitute
Versicherungen und Rückversicherungen
Investmentgesellschaften
Zahlungs- und E-Geld-Institute
Wertpapierfirmen und Börsen
Ratingagenturen und Datenanbieter

Darüber hinaus müssen auch kritische IT-Dienstleister, die für Finanzunternehmen arbeiten, die DORA-Richtlinien erfüllen:

Cloud-Anbieter
Software- und IT-Sicherheitsanbieter
Rechenzentrumsbetreiber
Managed Service Provider (MSPs)

Welche Anforderungen stellt DORA?

DORA soll die Cybersicherheit und digitale operationale Resilienz des Finanzsektors in diesen fünf wesentlichen Bereichen stärken und stellt entsprechende Anforderungen:

IT-Risikomanagement

End-to-End-Serviceansicht und Szenario-basierte IT-Verwaltung; operative und technische Cybersecurity-Fähigkeiten; Widerstandsfähigkeit der Unternehmensarchitektur und BCM

Berichterstattung über Vorfälle

Berichterstattung über IKT-bezogene Cybersecurity-Vorfälle; Ursachenanalyse nach IKT-Vorfällen; Identifizierung und Meldung von Security-Verbesserungen

Regelmäßige Belastbarkeitsprüfung

Jährliche Prüfung aller kritischen IKT-System; erweiterte, auf Bedrohungen ausgerichtete Penetrationstests (alle 3 Jahre); Zusammenarbeit mit Drittanbietern

Drittanbieter-Management

Meldung des vollständigen Auslagerungsregisters und der Änderungen; Gewährleistung einer vollständigen Überwachung von Drittanbietern; Bewertung des Konzentrationsrisikos & Sub-Outscourcing

Information Sharing

Vorkehrungen für den Austausch von Erkenntnissen über Bedrohungen; Zusammenarbeit von vertrauenswürdigen Finanzunternehmen; Mechanismen zur Überprüfung und Auswertung

So unterstützen wir Sie bei Ihrer DORA-Konformität

Die Einführung und langfristige Haltung der DORA-Vorgaben kann für betroffene Unternehmen eine Herausforderung darstellen und bindet Budgets und Ressourcen. Daher sollten Sie auf ein klares Konzept setzen, um eine ganzheitliche Strategie zu entwickeln, statt nur kurzfristig einzelne Maßnahmen zu implementieren.

Gerne unterstützen wir Sie mit unserer Expertise bei allen Schritten, denn die novaCapta Expert:innen verfügen über jahrzehntelange Erfahrung bei der Implementierung höchster Sicherheitskonzepte und -maßnahmen – als Microsoft Partner setzen wir dafür am liebsten auf die Vorteile umfassender Microsoft-Sicherheitslösungen wie z.B. Microsoft Defender for Cloud oder Microsoft Intune. Die Basis unserer Vorgehensweise bildet dabei unser Reifegradmodell:

Das DORA-Reifegradmodell der novaCapta


Das novaCapta Reifegradmodell berücksichtigt alle​ Anforderungen der DORA-Verordnung; neben der Möglichkeit der DORA-spezifischen GAP-​Analyse beinhaltet es auch verwandte​ Regularien, wie z.B. die VAIT. Die Bewertungsmethodik des Modells ermöglicht dabei eine effiziente Erarbeitung des Abgleichs sowie die risikoorientierte​ Ermittlung und Bewertung von Handlungsoptionen. Die Verortung dieser Optionen und Maßnahmen​ in bestehende oder neue Vorhaben sowie deren Priorisierung erfolgen parallel.

Auf Basis unseres Reifegradmodells empfehlen Ihnen folgende Vorgehensweise auf dem Weg zu Ihrer DORA-Konformität:

Bestands-aufnahme

Ermittlung Ihres Reifegrads zur DORA-Konformität

GAP-Analyse

Detailanalyse Ihrer Umgebung und der Security- & Compliance-Prozesse zur Ermittlung von bestehenden Lücken

Maßnahmen-definition

von konkreten Datenschutz- und Compliance-Maßnahmen zur Erreichung der DORA-Ziele

Operationali-sierung

Festlegung von Prioritäten, Erstellung eines Zeitplanes, Ressourcenplanung, Integration oder Aufsetzen von Umsetzungsinitiativen, Fortschritts- und Erfolgskontrolle, Begleitung beim Change-Management

Überwachung

Bei Bedarf kontinuierliche Überwachung und Optimierung der Maßnahmen im Rahmen eines Managed SOC ‚

Unsere Expertise

Logo ISO 27001:2013

Wir verfügen über fundierte Erfahrung bei der Umsetzung grundlegender Sicherheitsmaßnahmen in Unternehmen, u.a. bestätigt durch unsere ISO 27001 Zertifizierung und unsere Auszeichnung als Microsoft Solution Partner im Bereich Security.

Ihr Ansprechpartner

Friedhelm Otto, novaCapta
Friedhelm Otto
Bereichsleiter Cloud Security & Infrastructure novaCapta GmbH
Kontakt
Man holding smart phone with data security on display at office
News 22.04.24

NIS2-Richtlinie: Das müssen Sie wissen

Mit NIS2 legt die EU neue Mindeststandards für Cybersicherheit fest. Sie betrifft mehr Unternehmen, stellt höhere Anforderungen und steigert den Durchsetzungsdruck. Wir stehen als Partner zur Seite.
Pokal mit goldenem Konfetti in Sternenform
News 22.05.23

Zehnte Microsoft Spezialisierung für novaCapta

Microsoft zeichnet novaCapta mit der Spezialisierung „Kubernetes on Azure“ aus. Mit der nun zehnten Spezialisierung werden novaCapta umfassende Kenntnisse im Kubernetes-Umfeld bestätigt.
Microsoft kürt novaCapta Mitarbeiter Pascal Brunner zu Microsofts Most Valuable Professional (MVP)  
News 03.02.25

Microsoft MVP Auszeichnung für Shady Khorshed

Microsoft kürt novaCapta Mitarbeiter Shady Khorshed zu Microsofts Most Valuable Professional (MVP). Der Award wird für die Leistungen in der technischen Community verliehen.

Businessmen use laptops to secure computing through cloud storage for digital business and cloud data processing management. Optimizing online business customer service
News 18.04.23

Microsoft Spezialisierung für Cloud Security

Microsoft verleiht der novaCapta die Microsoft Spezialisierung für Cloud Security. Damit erreicht novaCapta alle Spezialisierungen in der Microsoft Solution Area Security.

novaCapta: Ihr Partner für die digitale Transformation mit Microsoft Technologien
News 12.10.20

Neue Microsoft Kompetenzen für novaCapta

Wir verkünden mit Stolz unsere neuen Silber-Kompetenzen von Microsoft in den Bereichen „Security“, „Communications“ und „Project and Portfolio Management“.
Individual Engaged in Productive Work at Modern Cafe With Greenery on Table. Generative AI
Blog 05.12.24

Microsoft Ignite 2024: Das sind unsere Highlights

Auf der Ignite kündigt Microsoft Neuerungen an. 2024 waren KI und Copilot beherrschende Themen, doch gab es auch weitere spannende Ankündigungen. Wir haben die wichtigsten Updates zusammengefasst!
Warehouse Staff Using a Barcode Scanner to Track Inventory
Blog 09.04.25

Endpoint Management & Security für Frontline Worker

Frontline Worker sind für Endpoint Management herausfordernd. Unser Experte Shady erklärt, wie Sie mit Microsoft Intune auch Ihre Mitarbeitenden an vorderster Front ganzheitlich managen & absichern!

Zwei Bauarbeiter begutachten eine Baustelle
Referenz

Kissling + Zbinden: Zentrales Arbeiten in «Projektraum 365»

Kissling + Zbinden hat «Projektraum 365» implementiert, der die gemeinsame Projektarbeit durch Zentralisierung und Automatisierung vereinfacht.

Project Manager Makes a Presentation for a Young Diverse Creative Team in Meeting Room in an Agency. Colleagues Sit Behind Conference Table and Discuss Business Development, User Interface and Design.
Workshop

Microsoft Solution Assessment Cloud Security

Die Cloud ist sicher – vorausgesetzt Sie wurde richtig geplant und konfiguriert. Um das zu überprüfen, liefert Ihnen das Solution Assessment Cloud Security Empfehlungen zu Ihrem Security-Status.

Hände tippen auf einer Computer-Tastatur.
Offering

Starterangebot: Information Protection mit Microsoft Purview

Profitieren Sie von unserem Microsoft Purview Starterangebot. Verwalten Sie Ihre Daten effizient und halten Sie gleichzeitig notwendige Sicherheits- sowie Compliance-Vorgaben ein.
novaCapta Mitarbeitende im novaCapta-Büro Hannover
Event 29.04.25

Webinar: Information Protection im Zeitalter von KI

Im Webinar beleuchten wir, wie Data Labelling, Data Loss Prevention & Co. für mehr Datensicherheit & Compliance sorgen und zeigen, worauf im Zeitalter von KI besonders zu achten ist. Jetzt anmelden!

Apr 29
Woman using smartphone and working at laptop computer.
Blog 23.07.24

Automatisierte Bereitstellung von Endgeräten mit Intune

Device Management stellt Unternehmen vor Herausforderungen. Wir zeigen, wie unser Kunde seine über 4.000 Endgeräte mit Microsoft Intune standardisiert bereitstellt und deren Sicherheit erhöht.
novaCapta: Ihr Partner für die digitale Transformation mit Microsoft Technologien
Event 27.05.25

Webinar: Copilot Chat als Lösung gegen Schatten KI

In diesem Webinar steht Microsofts KI-Chat im Fokus: Mit Copilot Chat stellt Microsoft einen KI Chat bereit, der im Gegensatz zum M365 Copilot kostenfrei nutzbar ist. Jetzt kostenlos anmelden!

May 27
Laptop, office and hands typing at desk for online documents, writing email and business proposal. Technology, networking and zoom of businessman on computer for research, report and website review
News 15.05.24

DMARC-Authentifizierung wird zum verbindlichen Standard

Cyberangriffe beginnen oft mit E-Mails. Daher stellen die beiden E-Mail-Anbieter Google und Yahoo ab 01. Juni 2024 neue Anforderungen an den E-Mail-Versand
Diverse colleagues working on project together, sitting at table in boardroom, working with legal documents, financial report with statistics, employees engaged in teamwork at corporate meeting
News 06.02.24

novaCapta und Ontinue schließen Partnerschaft

Ein Managed SOC ist eine ganzheitliche Lösung für Unternehmen, um den sich häufenden und immer komplexer werdenden Cyberangriffen erfolgreich zu begegnen.

data protection and internet security concept, user typing login and password on computer, secured access
News 07.05.24

BSI: Sicherheitswarnung für 17.000 Exchange-Server

Das BSI hat eine neue Warnung für Microsoft Exchange Server veröffentlicht. Tausende Exchange On-Premises Server in Deutschland weisen kritische Schwachstellen auf und sind demnach verwundbar.

Young female work with financial papers at home count on calculator before paying taxes receipts online by phone. Millennial woman planning budget glad to find chance for economy saving money
News 14.08.23

Neue Business Unit Managed Modern Endpoint bei novaCapta

Die novaCapta differenziert ihr Leistungsportfolio weiter aus und richtet mit Managed Modern Endpoint eine neue Business Unit für den Bereich Endpoint Management ein. 
Pokal mit goldenem Konfetti in Sternenform
News 13.06.22

Fünf Advanced Specializations von Microsoft

Microsoft zeichnet die novaCapta mit der Advanced Specialization Threat Protection aus. novaCapta verfügt damit über Wissen in den Bereichen Security, Business Applications & Modern Work.
YubiKey von Yubico
News 30.11.22

Yubico und novaCapta werden Partner

Von der Partnerschaft zwischen Yubico und novaCapta profitieren Kund:innen im Bereich Security: Mit der novaCapta haben Unternehmen einen von Microsoft zertifizierten Partner für die Umsetzung von Security Projekten an der Seite. Mit der Yubico-Partnerschaft und dem YubiKey erweitert die novaCapta im Bereich Identity und Access Management ihr Lösungsportfolio für ihre Kund*innen.

data protection and internet security concept, user typing login and password on computer, secured access
News

Sicherheitslücken auf Exchange Servern

Microsoft hat bekannt gegeben, dass es zu kritischen Sicherheitslücken auf Microsoft Exchange Servern gekommen ist. Was ist jetzt zu tun?