2LRN4 security awareness platform
← Zurück zur Wissensdatenbank

DORA für Finanzinstitute, was Awareness bedeutet

Praktische Erklärung zu dora awareness finanzinstitute für Organisationen, die sicheres Verhalten strukturell verbessern wollen.

Aktuell

Von der Einsicht zur Umsetzung

Sehen Sie, wie Sie dieses Thema in ein praktisches Awareness-Programm mit Training, Phishing-Simulationen und klarem Management-Reporting übersetzen.

Demo buchen Zur primären Lösungs-Seite
Alain Rees
Gründer & Security-Awareness-Spezialist · 2LRN4

Der Digital Operational Resilience Act (DORA) ist seit dem 17. Januar 2025 für alle Finanzinstitute in der EU in Kraft, Banken, Versicherer, Vermögensverwalter, Zahlungsdienstleister und IKT-Anbieter im Finanzsektor. DORA läuft parallel zum niederländischen Cybersicherheitsgesetz (Cbw), ist aber lex specialis: für Finanzeinrichtungen geht DORA vor, wo sich Cbw und DORA überschneiden. Was sagt DORA zu Awareness, wie verhält es sich zum Cbw, und was müssen Sie praktisch regeln?

Was ist DORA und für wen gilt es?

DORA (Verordnung 2022/2554) ist eine EU-Verordnung, keine Richtlinie, was bedeutet, dass sie in allen EU-Mitgliedstaaten unmittelbar gilt, ohne nationale Umsetzung. Seit dem 17. Januar 2025 ist DORA verbindlich für:

  • Banken und Kreditinstitute
  • Versicherer und Rückversicherer
  • Vermögensverwalter und Wertpapierfirmen
  • Zahlungsdienstleister, E-Geld-Institute, FinTech
  • Zentrale Gegenparteien, Handelsplätze, Transaktionsregister
  • Crowdfunding-Anbieter und Krypto-Dienstleister
  • Kritische IKT-Drittanbieter für den Finanzsektor (besonderes Designations-Regime)

DORA und das Cbw, welches gilt?

In den Niederlanden gilt für den Finanzsektor eine gestufte Aufsicht: das Cybersicherheitsgesetz für allgemeine Cybersicherheit, DORA für sektor-spezifische IKT-Risiken und die bestehenden aufsichtsrechtlichen Rahmen (Solvency II, Bbpm) für Finanzstabilität.

Allgemeine Regel: DORA geht vor, wo DORA und Cbw sich überschneiden. DORA ist lex specialis, spezifischere Regelung für den Finanzsektor. Für Themen, die nur im Cbw stehen (und nicht in DORA), bleibt das Cbw anwendbar. Für Themen in beiden (z.B. Vorfallmeldung) folgen Sie DORA.

Praktische Implikation: ein Finanzinstitut muss nicht zwei parallele Programme als getrennte Schienen führen. Ein DORA-Programm deckt den größten Teil ab, ergänzt für Cbw-spezifische Punkte, die DORA nicht spezifisch regelt (etwa Vorstandsschulung unter Cbw Art. 24, DORA erwähnt das weniger ausdrücklich).

DORA Artikel 13, IKT-Bewusstsein und Training

DORA Artikel 13 verpflichtet Finanzeinrichtungen, "IKT-Bewusstseinsprogramme und Trainings zur digitalen operativen Resilienz" als verbindlichen Teil des IKT-Risikomanagements einzurichten. Die Anforderungen:

  • Alle Mitarbeitenden erhalten regelmäßiges Basistraining, nicht nur IT-Personal
  • Personal in kritischen Funktionen erhält zusätzliches spezialisiertes Training
  • Trainings müssen auf Rolle und Risiko abgestimmt sein, Treasury-, Kundenservice- und Compliance-Mitarbeitende haben unterschiedliche Schwerpunkte
  • Der Vorstand absolviert periodisch Training zu IKT-Risiken und digitaler operativer Resilienz
  • Wirksamkeit muss gemessen und bewertet werden, nicht nur Teilnahme, sondern Verhaltensänderung

CEO-Betrug und BEC, die Top-Bedrohung im Finanzwesen

Finanzinstitute werden überproportional von Business Email Compromise (BEC) und CEO-Betrug getroffen. Laut FBI-Daten macht der Finanzsektor jährlich 15–20 % aller weltweit gemeldeten BEC-Vorfälle aus, während er nur ~5 % der Wirtschaft repräsentiert.

Das Risikoprofil unterscheidet sich von generischem Phishing. Angreifer zielen speziell auf Finance- und Treasury-Funktionen mit Szenarien wie: eine eilige Anweisung des "CFO" außerhalb der Bürozeiten, eine Lieferanten-E-Mail mit geänderter Kontonummer, eine "Compliance-Frage" zu einer bestimmten Transaktion, eine M&A-Due-Diligence-Anfrage.

Effektive DORA-Awareness im Finanzwesen trainiert speziell auf diese Szenarien, mit Verifikationsprotokollen (Rückruf über bekannte Nummer, Vier-Augen-Freigabe oberhalb von Schwellenbeträgen) als konkretem Reflex. Generische Phishing-Inhalte greifen hier zu kurz.

DORA-Vorfallmeldung versus Cbw

DORA Artikel 19 führt ein eigenes Vorfallmeldungs-Regime für Finanzinstitute ein. Erhebliche IKT-Vorfälle müssen der zuständigen Aufsichtsbehörde (in NL: DNB) gemäß DORA-Fristen gemeldet werden. Cbw Artikel 25 enthält ebenfalls eine Meldepflicht (innerhalb von 24/72 Stunden, Endbericht binnen eines Monats), aber für allgemeine Cybersicherheitsvorfälle.

Für Finanzinstitute gilt: bei einem erheblichen IKT-Vorfall, der sowohl unter DORA als auch unter das Cbw fällt, nutzen Sie den DORA-Meldeprozess (weil DORA lex specialis ist). Bei Vorfällen, die nur unter das Cbw fallen (z.B. eine Datenschutzverletzung, die nicht IKT-operativ ist), nutzen Sie die Cbw-Meldewege.

In der Praxis betreiben große Finanzinstitute einen integrierten Incident-Response-Prozess, der beiden Rahmen genügt, mit automatischer Triage, ob ein Vorfall DORA, Cbw oder beide betrifft. Das verhindert Doppelmeldungen oder, schlimmer, versäumte Fristen.

Aufsicht und Sanktionen

DORA wird in den Niederlanden durch De Nederlandsche Bank (DNB) und die Autoriteit Financiële Markten (AFM) durchgesetzt, je nach Institutstyp. Für systemrelevante Banken ist zusätzlich die EZB (über SSM) beteiligt.

DORA-Sanktionen können bis zu 1 % des weltweiten Tagesumsatzes pro Tag andauernder Verletzung erreichen, einzigartig hoch für Compliance-Regelungen. Daneben können Aufsichtsbehörden Anweisungen erlassen, Lizenzen entziehen und IKT-Anbieter von der Liste der "kritischen IKT-Drittanbieter" streichen.

In den ersten 12–18 Monaten nach dem 17. Januar 2025 wenden Aufsichtsbehörden einen abgestuften Ansatz an: Fokus auf nachweisbarem Fortschritt, nicht auf Maximalbußen. Ausnahme: zu spät erfolgte Vorfallmeldungen und kritische IKT-Anbieter, die ihre vertraglichen Pflichten nicht erfüllen, dort wird sofort durchgesetzt.

Von der Erklärung zur Lösung

Entdecken Sie, wie 2LRN4 dieses Thema in ein funktionierendes Programm mit Training, Phishing-Simulation und Management-Reporting überführt.

Zur Plattformseite

Verwandte Artikel

Quellen

FAQ

Fallen auch FinTech und Krypto unter DORA?

Ja. DORA umfasst ausdrücklich Zahlungsdienstleister (PSPs), E-Geld-Institute, Crowdfunding-Anbieter und Krypto-Dienstleister (CASPs unter MiCA). Kleine FinTechs unterhalb bestimmter Schwellen können vereinfachte Regime haben, vollständig ausgenommen sind sie selten.

Wie verhält sich DORA zu Solvency II?

DORA ist spezifisch für IKT-Risiko, Solvency II für finanzielle Aufsichtsanforderungen. IKT-Risiko ist unter DORA eine eigene Kategorie neben Kredit-, Markt- und operativem Risiko.

Was sind "kritische IKT-Drittanbieter" unter DORA?

IKT-Anbieter, die von den europäischen Aufsichtsbehörden (ESAs) als "critical third-party providers" (CTPPs) ausgewiesen sind, typischerweise große Cloud-Anbieter (AWS, Azure, GCP), Payment-Processors und spezifische FinTech-Plattformen, die von vielen Finanzinstituten gleichzeitig genutzt werden. CTPPs unterliegen direkter EU-Aufsicht.

Müssen Versicherer dasselbe Regime wie Banken befolgen?

Im Wesentlichen ja, mit sektor-spezifischen Schwerpunkten. Versicherer haben weniger direktes IKT-operatives Risiko bei Echtzeit-Zahlungen, dafür eine größere Exposition gegenüber Schaden- und Aktuardaten. DORA-Umsetzung bei Versicherern fokussiert mehr auf Kontinuität und Datenintegrität als bei Banken.

Was ist DORA Threat-Led Penetration Testing (TLPT)?

DORA Artikel 26-27 verpflichtet große Finanzinstitute, periodisch (alle 3 Jahre) Threat-Led Penetration Tests durchzuführen, strukturierte Red-Team-Übungen unter Aufsicht. Für kleinere Institute gilt ein leichteres Regime mit Vulnerability Assessments.

Wie beginne ich als kleines Finanzinstitut?

Drei Prioritäten: (1) Gap-Analyse zu DORA Art. 5-19 (Governance, Risiko, Training, Vorfallmeldung); (2) IKT-Lieferantenverträge auf DORA-erforderliche Klauseln hin überarbeiten; (3) Trainingsprogramm aufsetzen, das sowohl DORA Art. 13 als auch Cbw Art. 21 abdeckt. Viele Branchen-Kollektive (BdB, GDV, FinTech-Verbände) bieten gemeinsame DORA-Implementierungsprogramme.

Externe Quelle: European Commission - NIS2 Directive

Weiterlesen
NEN 7510 und Awareness im Gesundheitswesen → Welche Compliance-Anforderungen verpflichten zu Awareness-Schulung? →
Nächster Schritt

Nutzen Sie diesen Artikel als Grundlage und sehen Sie anschließend, wie 2LRN4 das Thema praktisch in Zielgruppensegmentierung, Training und Reporting übersetzt.

Demo buchen Leitfaden herunterladen Weitere Artikel