Es ist so weit: mit dem heutigen Tag tritt die DORA-Verordnung zum Digital Operational Resilience Act in Kraft. Es gilt, die digitale operationale Widerstandsfähigkeit zu verbessern und die Anfälligkeit für Cyberbedrohungen und „IKT-Störungen“ zu reduzieren.

Die gesamte Branche der regulierten Unternehmen konnte diesen Tag sicherlich kaum abwarten, denn Banken, Versicherungen und andere Finanzunternehmen, aber auch deren IT-Dienstleister haben sich monatelang darauf vorbereitet – auch, wenn viele der Anforderungen schon in den BAIT, VAIT, ZAIT und KAIT enthalten waren (die nun teilweise zurückgenommen wurden).

Gemeinsam mit Kollegen aus Prüfung und Beratung haben wir bei BDO viele DORA-Umsetzungsprojekte begleitet, Gap-Analysen und „friendly audits“ durchgeführt und sehen, dass die Einhaltung der Anforderungen den Unternehmen einige Anstrengungen abfordert, auch wenn viele aufgrund der Vorgängerregelungen bereits gut aufgestellt waren. Es gibt jedoch einige neue Aspekte – darunter den Einbezug von IKT-Dienstleistern, die bisher nur indirekt betroffen waren.

Es geht aber nicht nur um die Einhaltung europäischer Regulierung, sondern tatsächlich um die Stärkung der Resilienz, denn die Cyber-Bedrohungslage ist weiterhin angespannt. Daher liegt in der effizienten Umsetzung der DORA-Anforderungen auch eine Chance für die Unternehmen, Risiken zu minimieren und sich im Wettbewerb gut zu positionieren.

Wir freuen uns auf viele weitere spannende Projekte in Bezug auf DORA, denn nach der Umsetzung gilt es nun, den Umsetzungsstand zu überprüfen und
– zu schauen, ob die Vorgaben, Prozesse und Maßnahmen die Anforderungen erfüllen, aber auch
– zu überprüfen, ob die Prozesse auch gelebt werden und auch der Nachweis darüber in einer aufsichtlichen Prüfung gelingen würde.