DORA erklärt: Auswirkungen auf den Software-Einkauf im Finanzsektor
DORA tritt per 17. Januar 2025 in Kraft und verändert grundlegend, wie Finanzorganisationen Software einkaufen und Verträge abschliessen. Das ist alles, was Sie über die fünf Säulen, die vertraglichen Anforderungen und die Auswirkungen auf das Lieferantenmanagement wissen müssen.
- 1. Februar 2025
- 5 Min.
- DORA – Digital Operational Resilience Act
DORA, das Digital Operational Resilience Act, tritt am 17. Januar 2025 in allen EU-Mitgliedstaaten in Kraft. Für Finanzorganisationen und ihre ICT-Anbieter ändert sich grundlegend etwas: Digitale Resilienz ist nicht mehr nur eine interne IT-Angelegenheit, sondern eine regulierte Geschäftsverpflichtung mit Aufsicht und Bussen.
Was ist DORA?
DORA ist eine EU-Verordnung, keine Richtlinie, sondern unmittelbar anwendbares Recht, das die digitale operationelle Resilienz des Finanzsektors regelt. Die Verordnung ist Teil des Digital Finance Package und gilt für 20 Kategorien von Finanzunternehmen, von Banken und Versicherern bis hin zu Fintechs und Krypto-Dienstleistern.
Die fünf Säulen von DORA
DORA strukturiert ihre Anforderungen rund um fünf Kernbereiche:
ICT-Risikomanagement: Ein umfassendes Rahmenwerk zur Identifikation, Klassifikation und Kontrolle von ICT-Risiken
Incident-Reporting: Schwere ICT-Vorfälle müssen innerhalb strenger Fristen den Aufsichtsbehörden gemeldet werden
Tests der digitalen Resilienz: Periodische Penetrationstests und Resilienz-Szenarien für kritische Systeme
Management von Drittparteirisiken: Vertragliche Verpflichtungen, Lieferantenregister und Analyse von Konzentrationsrisiken
Informationsaustausch: Proaktives Teilen von Bedrohungsinformationen innerhalb der Branche
Was bedeutet DORA für den Software-Einkauf?
Die vierte Säule, das Management von Drittparteirisiken, hat direkte Auswirkungen darauf, wie Finanzorganisationen Software einkaufen und Verträge abschliessen:
Vertragliche Mindestanforderungen: Jeder ICT-Vertrag muss Klauseln zu SLA, Incident-Meldung, Prüfungsrechten, Exit-Plan, Datenlokalisation und Kontinuität enthalten
ICT-Lieferantenregister: Ein aktuelles und vollständiges Register aller ICT-Lieferanten ist verpflichtend und muss den Aufsichtsbehörden zugänglich sein
Konzentrationsrisiko: Eine zu grosse Abhängigkeit von einem Lieferanten (z. B. ein Cloud-Anbieter) muss beurteilt und gemeldet werden
Subunternehmer: Auch Zulieferer der eigenen Lieferanten fallen unter den DORA-Geltungsbereich
SoftVaro unterstützt Finanzorganisationen dabei, ihre Softwaresysteme übersichtlich zu erfassen und Verträge DORA-konform zu gestalten.
Häufig gestellte Fragen
Die meistgestellten Fragen zu diesem Thema.
Für wen gilt DORA?
DORA gilt für Banken, Versicherer, Anlagegesellschaften, Zahlungsinstitute, Krypto-Dienstleister, Pensionskassen und alle ICT-Lieferanten, die kritische Dienste für diese Institute erbringen.
Gilt DORA auch für meinen Softwarelieferanten?
Ja. Wenn Sie Software oder ICT-Dienste an ein Finanzinstitut liefern, das unter DORA fällt, sind Sie als ICT-Lieferant verpflichtet, die vertraglichen DORA-Anforderungen zu erfüllen, die das Finanzinstitut an Sie stellt. Kritische ICT-Lieferanten können auch direkt der EU-Aufsicht unterstehen.
Welche Bussen drohen bei Nichteinhaltung von DORA?
Die Bussen können bis zu 2 % des weltweiten Jahresumsatzes betragen. Für kritische ICT-Lieferanten, die direkt unter der EU-Aufsicht stehen, gelten zusätzliche Sanktionen.
Bereit, bei Software zu sparen?
SoftVaro verhandelt für dich die besten Konditionen bei über 4'000 Lieferanten. Unabhängig, transparent, innert 24 Stunden.