DORA zielt darauf ab, die digitale Betriebsstabilität des Finanzsektors und kritischer IKT-Dienstleister in der EU zu harmonisieren und zu stärken. Der Schwerpunkt der Verordnung liegt darauf, sicherzustellen, dass diese Organisationen allen Arten von IKT-bezogenen Störungen und Bedrohungen standhalten, darauf reagieren und sich davon erholen können. [...]
Der Digital Operational Resilience Act (DORA) trat bereits im Januar 2025 in Kraft und führte damit einen neuen, umfassenden regulatorischen Rahmen für Finanzinstitute und kritische IKT-Dienstleister in der gesamten EU ein. Die Vorbereitungen darauf begannen bereits einige Jahre vorher und machten eine grundlegende Überarbeitung dessen nötig, wie Unternehmen Risiken in der Informations- & Kommunikationstechnik (IKT) verwalten. Sicherheitsteams suchen nach Lösungen, wie sie die Compliance-Anforderungen in einen überschaubaren, kontinuierlichen Prozess zur Verbesserung des IKT-Risikomanagements überführen. Vor allem die Fragen nach dem Automatisierungspotential und der Einbindung von Agentic AI treibt sie um.
Die DORA-Herausforderung für Sicherheitsteams
DORA zielt darauf ab, die digitale Betriebsstabilität des Finanzsektors und kritischer IKT-Dienstleister in der EU zu harmonisieren und zu stärken. Es legt verbindliche Regeln für alle Unternehmen fest – von Banken und Versicherungsgesellschaften bis hin zu Investmentfirmen und Anbietern von Krypto-Assets. Der Schwerpunkt der Verordnung liegt darauf, sicherzustellen, dass diese Organisationen allen Arten von IKT-bezogenen Störungen und Bedrohungen standhalten, darauf reagieren und sich davon erholen können.
Die Einhaltung der Vorschriften umfasst mehrere Kernbereiche, darunter das IKT-Risikomanagement, die Meldung von Vorfällen, Resilienztests und Risikomanagement durch Dritte. Für Sicherheits- und IT-Teams sollte der Bereich IKT-Risikomanagement in den Fokus genommen werden. Er erfordert ein robustes Framework, um Schwachstellen in der gesamten digitalen Infrastruktur zu identifizieren, zu klassifizieren und zu beheben. Die manuelle Verfolgung von Assets, die Korrelation von Schwachstellen mit regulatorischen Artikeln und die Erstellung von Nachweisen für Auditoren ist eine immense, zeitaufwändige Aufgabe, die anfällig für menschliche Fehler ist.
Manueller Ansatz verursacht erhebliche Belastungen
- Zeitaufwand: Teams verbringen unzählige Stunden damit, Tabellen zu erstellen, Daten abzugleichen und Berichte zu schreiben, anstatt sich auf strategische Sicherheitsinitiativen zu konzentrieren.
- Compliance-Lücken: Ohne eine einheitliche Übersicht können Schwachstellen leicht übersehen oder Abhilfemaßnahmen nicht ordnungsgemäß dokumentiert werden. Dies kann zu Compliance-Verstößen mit entsprechenden Folgen führen.
- Audit-Stress: Die Vorbereitung auf ein Audit kann den laufenden Betrieb zum Erliegen bringen. Für Sicherheitsteams, die Unterlagen erst zusammenstellen und die Einhaltung der Vorschriften nachweisen müssen, ist eine solche Compliance-Überprüfung eher lästige Pflicht als notwendige Übung.
Lösungen wie die von Mondoo ermöglichen Unternehmen die Automatisierung ihrer Programme für das Schwachstellenmanagement gemäß den strengen Anforderungen von DORA. Mit den Funktionen lassen sich mit einem Klick kontinuierliche Compliance sicherstellen, der manuelle Aufwand drastisch reduzieren und auditfähige Berichte erstellen. Die DORA-Anforderungen werden dann direkt in den Workflow des Schwachstellenmanagements integriert. Das Framework ist vorkonfiguriert und sofort einsatzbereit. Schwachstellen werden direkt bestimmten DORA-Artikeln und -Anforderungen zugeordnet. Die gesamte IT-Umgebung wird kontinuierlich überprüft, neue Bedrohungen identifiziert und diese in Echtzeit mit dem DORA-Framework abgeglichen.
Anstatt regelmäßig den Compliance-Status zu überprüfen, erhalten Sicherheitsteams einen dynamischen Live-Überblick über die aktuelle Situation. Dieser proaktive Ansatz stellt sicher, dass Sicherheitsteams stets über den aktuellen Stand informiert sind und potenzielle Probleme beheben können, bevor diese zu Compliance-Verstößen führen. Über die Plattform werden zudem Schwachstellendaten aus dem gesamten IT-Umfeld, von lokalen Servern bis hin zu Cloud-Umgebungen und Anwendungen konsolidiert. Diese vereinheitlichten Daten werden dann automatisch mit dem DORA-Framework abgeglichen. Es ist nicht mehr notwendig, CVEs und Fehlkonfigurationen manuell mit regulatorischen Anforderungen abzugleichen oder stundenlang Tabellen zu formatieren. Das System übernimmt diese Arbeit komplett selbstständig, kategorisiert die Ergebnisse und priorisiert sie anhand des Risikos und der Auswirkungen auf die Compliance. Das System meldet jede Abweichung von den DORA-Anforderungen, sodass die Verantwortlichen sofort reagieren und rund um die Uhr eine robuste Sicherheitslage aufrechterhalten.
Jeder Befund wird durch detaillierte Hinweise zur Behebung ergänzt, damit Entwickler und IT-Betreiber genau nachvollziehen können, welche Schritte zur Beseitigung des Problems erforderlich sind. Eine risikobasierte Priorisierung sorgt dafür, dass sich die Teams vor allen Dingen auf die kritischsten Schwachstellen konzentrieren – diejenigen, die die größte Gefahr für die Betriebsstabilität und den Compliance-Status darstellen. Dieser gezielte Ansatz optimiert den Workflow zur Behebung von Schwachstellen, verkürzt die durchschnittliche Zeit bis zur Behebung (Mean-Time-to-Remediate MTTR) und verbessert nachweislich die Sicherheitslage.
Fazit
DORA ist bereits in Kraft getreten, Unternehmen sollten sich jedoch nicht auf Compliance allein verlassen. Innovationszyklen orientieren sich nicht an Compliance und die Möglichkeiten der Automatisierung sind besonders im Schwachstellenmanagement durch Agentic AI groß. Wie DORA mit der Mondoo-Plattform umgesetzt wird, erfahren Sie hier: https://mondoo.com/docs/releases/2025-09-mondoo-release-highlights/
* Matthias Canisius ist Head of Sales bei Mondoo.
Be the first to comment