DORA erklärt: Auswirkung auf Software-Einkauf im Finanzsektor
DORA tritt am 17. Jänner 2025 in Kraft und verändert grundlegend, wie Finanzorganisationen Software einkaufen und Verträge abschließen. Das ist alles, was Sie über die fünf Säulen, die vertraglichen Anforderungen und die Auswirkungen auf das Lieferantenmanagement wissen müssen.
- 1. Februar 2025
- 5 Min.
- DORA – Digital Operational Resilience Act
DORA, das Digital Operational Resilience Act, tritt am 17. Jänner 2025 in allen EU-Mitgliedsstaaten in Kraft. Für Finanzorganisationen und deren IT-Lieferanten ändert sich grundlegend etwas: Digitale Widerstandsfähigkeit ist kein internes IT-Thema mehr, sondern eine regulierte Unternehmenspflicht mit Aufsicht und Strafen.
Was ist DORA?
DORA ist eine EU-Verordnung, keine Richtlinie, sondern unmittelbar anwendbares Recht, das die digitale operationelle Resilienz des Finanzsektors regelt. Die Verordnung gehört zum Digital Finance Package und gilt für 20 Kategorien finanzieller Einheiten, von Banken und Versicherungen bis hin zu Fintechs und Krypto-Dienstleistern.
Die fünf Säulen von DORA
DORA strukturiert ihre Anforderungen in fünf Kernbereiche:
IT-Risikomanagement: Ein umfassendes Rahmenwerk zur Identifikation, Klassifikation und Steuerung von IT-Risiken
Incident-Reporting: Größere IT-Vorfälle müssen innerhalb enger Zeitlimits den Aufsichtsbehörden gemeldet werden
Tests der digitalen Widerstandsfähigkeit: Periodische Penetrationstests und Resilienzszenarien für kritische Systeme
Management von Drittanbieterrisiken: Vertragliche Verpflichtungen, Lieferantenregister und Konzentrationsrisiko-Analyse
Informationsaustausch: Proaktives Teilen von Bedrohungsinformationen innerhalb der Branche
Was bedeutet DORA für den Software-Einkauf?
Die vierte Säule, das Management von Drittanbieterrisiken, hat direkte Auswirkungen darauf, wie Finanzorganisationen Software einkaufen und Verträge abschließen:
Vertragliche Mindestanforderungen: Jeder IT-Vertrag muss Klauseln über SLA, Vorfallmeldung, Prüfungsrechte, Exit-Plan, Datenstandort und Kontinuität enthalten
IT-Lieferantenregister: Ein aktuelles und vollständiges Register aller IT-Lieferanten ist verpflichtend und muss den Aufsichtsbehörden zugänglich sein
Konzentrationsrisiko: Eine zu große Abhängigkeit von einem Lieferanten (z.B. ein Cloudanbieter) muss evaluiert und gemeldet werden
Subunternehmer: Auch Zulieferer Ihrer Lieferanten fallen unter den DORA-Geltungsbereich
SoftVaro unterstützt Finanzorganisationen dabei, ihre Softwarelandschaft zu erfassen und Verträge DORA-konform zu gestalten.
Häufig gestellte Fragen
Die meistgestellten Fragen zu diesem Thema.
Für wen gilt DORA?
DORA gilt für Banken, Versicherungen, Investmentgesellschaften, Zahlungsinstitute, Krypto-Dienstleister, Pensionsfonds und alle IT-Lieferanten, die kritische Dienste für diese Einrichtungen erbringen.
Gilt DORA auch für meinen Softwarelieferanten?
Ja. Wenn Sie Software oder IT-Dienstleistungen an eine Finanzinstitution liefern, die unter DORA fällt, sind Sie als IT-Lieferant verpflichtet, die vertraglichen DORA-Anforderungen zu erfüllen, die Ihnen von der Finanzinstitution auferlegt werden. Kritische IT-Lieferanten können zudem direkt der EU-Aufsicht unterliegen.
Was sind die Strafen bei Nicht-Einhaltung von DORA?
Strafen können bis zu 2 % des weltweiten Gesamtjahresumsatzes betragen. Für kritische IT-Lieferanten, die direkt der EU-Aufsicht unterliegen, gelten zusätzliche Sanktionen.
Bereit, bei Software zu sparen?
SoftVaro verhandelt für dich den besten Deal bei über 4.000 Anbietern. Unabhängig, transparent, innerhalb von 24 Stunden.