Ab dem 17. Januar 2025 findet DORA Anwendung – ein wichtiger Termin für die betroffenen Organisationen.
Viele haben hart daran gearbeitet, ihre Cyberresilienz bis zum Stichtag zu stärken. Aber das Schöne an der Verordnung ist, dass sie es Organisationen ermöglicht, zu priorisieren. Organisationen müssen nicht alle Kontrollen eingerichtet haben oder alle Risiken beseitigen, um DORA einzuhalten. Die EU will Fortschritt, nicht Perfektion, und sie will sehen, dass Schritte in Richtung Resilienz unternommen werden. Es wird interessant sein zu sehen, wie Organisationen die Verordnung interpretieren und ihre Massnahmen gegenüber den Aufsichtsbehörden rechtfertigen. Der risikobasierte Ansatz von DORA ist seine Stärke, aber auch eine Herausforderung, da er viele Fragen für Organisationen offen lässt. Wir könnten feststellen, dass einige einfach nur das Nötigste tun. Wenn DORA jedoch richtig umgesetzt wird, hat die Verordnung das Potenzial, die Cybersicherheit und die betriebliche Widerstandsfähigkeit erheblich zu verbessern.
Was ist DORA?
Die DORA-Verordnung (Digital Operational Resilience Act) ist ein Instrument der Europäischen Kommission, das das Ziel verfolgt, einen einheitlichen Rahmen für ein effektives und umfassendes Management von Cybersicherheits- und IKT-Risiken auf den Finanzmärkten zu schaffen.