DORA und IAM: Was Finanzunternehmen jetzt umsetzen müssen | daccord: daccord

DORA und IAM: Was Finanzunternehmen jetzt umsetzen sollten

Der Digital Operational Resilience Act (DORA) ist seit dem 17. Januar 2025 für alle beaufsichtigten Finanzunternehmen in der EU verbindlich. Über ein Jahr später zeigt sich: Der Handlungsbedarf ist bei vielen Unternehmen noch erheblich. Laut einer Metafinanz-Erhebung lag der durchschnittliche Umsetzungsstand zum Stichtag bei rund zwei Dritteln der Anforderungen — im schlechtesten Fall sogar bei nur 30 Prozent.

Ein zentraler Baustein der geforderten Widerstandsfähigkeit ist Identity und Access Management. DORA nennt IAM ausdrücklich als Schutzmaßnahme im IKT-Risikomanagement — und wer Zugriffsrechte, Benutzerlebenszyklen und Rollenstrukturen nicht im Griff hat, wird Schwierigkeiten haben, DORA-Konformität gegenüber der BaFin nachzuweisen.

Wen betrifft DORA

Wen betrifft DORA?

DORA gilt für nahezu alle beaufsichtigten Finanzunternehmen in der EU, darunter:

Kreditinstitute und Banken
Zahlungs- und E-Geld-Institute
Wertpapierfirmen und Handelsplätze
Versicherungen und Rückversicherer
Einrichtungen der betrieblichen Altersversorgung
IKT-Drittdienstleister, die kritische Funktionen für Finanzunternehmen erbringen

Wichtig: Finanzunternehmen, die unter DORA fallen, sind von den meisten NIS2-Pflichten ausgenommen – DORA gilt als spezielleres Regelwerk (lex specialis). Wer DORA-konform ist, muss NIS2 für denselben Bereich nicht separat umsetzen.

Anforderungen DORA

Was verlangt DORA konkret?

DORA definiert Anforderungen in sechs Kernbereichen:

IKT-Risikomanagement – kontinuierliche Bewertung und Absicherung aller IKT-Systeme
Vorfallmanagement und Meldepflicht – Erkennung, Klassifizierung und Meldung erheblicher IKT-Vorfälle an die BaFin
Resilienz-Tests – regelmäßige Tests der digitalen Widerstandsfähigkeit
Management von Drittanbieterrisiken – Steuerung und Dokumentation aller IKT-Dienstleister
Informationsaustausch – Beteiligung an branchenweiten Austauschformaten
Governance – Verantwortung der Geschäftsleitung für IKT-Risiken

IAM als Schlüssel

IAM als Schlüssel zur DORA-Compliance

DORA schafft konkrete IAM-Pflichten. daccord gibt die Antwort.

DORA fordert: Zugriffsrechte kontrollieren und dokumentieren

Unternehmen müssen sicherstellen, dass Mitarbeiter, externe Dienstleister und privilegierte Nutzer nur die Berechtigungen haben, die für ihre Aufgaben tatsächlich erforderlich sind.

Berechtigungen müssen lückenlos dokumentiert sein – wer hat wann welchen Zugriff erhalten oder verloren?

DACCORD ANTWORTET: daccord ermöglicht eine kontinuierliche Überwachung und Auswertung aller Berechtigungen. Richtlinien, Funktionstrennung (Segregation of Duties) und Risikoauswertungen werden zentral verwaltet und jederzeit für BaFin-Prüfer abrufbar.

DORA fordert: Berechtigungen regelmäßig rezertifizieren

Eine einmalige Vergabe von Rechten reicht nicht. DORA verlangt ein aktives Risikomanagement für Zugriffsrechte – das bedeutet regelmäßige Überprüfung, ob Berechtigungen noch aktuell, notwendig und angemessen sind.

DACCORD ANTWORTET: Rollenbasierte Rezertifizierungen erleichtern Fachbereichsverantwortlichen die Überprüfung der Berechtigungen ihrer Mitarbeiter. Das Ergebnis ist revisionssicher dokumentiert – Nachweise für Audits inklusive.

DORA fordert: User Lifecycle systematisch steuern

Rollenänderungen, Abteilungswechsel, Austritte. Bei jedem Statuswechsel müssen Zugriffsrechte zeitnah angepasst werden. Rechte, die nach einem Stellenwechsel weiter bestehen, sind ein klassisches Risiko. DORA fordert, dieses Risiko aktiv zu managen.

DACCORD ANTWORTET: daccord bildet den gesamten Lebenszyklus von Benutzerkonten und Berechtigungen ab. Automatisierungsregeln stellen sicher, dass Rechte nicht unbeabsichtigt fortbestehen – vom ersten Arbeitstag bis zum Austritt.

DORA fordert: Rollenmodelle als Grundlage des Risikomanagements

Klare Rollenstrukturen sind die Voraussetzung, um Berechtigungen kontrollierbar zu halten. Nur wer weiß, welche Rechte zu welcher Rolle gehören, kann Abweichungen erkennen – und gegenüber der BaFin nachweisen, dass die Zugriffsrechte dem tatsächlichen Bedarf entsprechen.

DACCORD ANTWORTET: Mit daccord lassen sich strukturierte Rollenmodelle aufbauen, die als Grundlage für alle Berechtigungsentscheidungen dienen. So wird aus einer schwer überschaubaren Berechtigungslandschaft ein kontrollierbares, nachvollziehbares System.

ZU DEN DACCORD BUNDLES

Fazit

Fazit: Kontinuierliche Governance-Aufgabe

DORA ist kein einmaliges Compliance-Projekt. Es ist eine dauerhafte Governance-Aufgabe.

Die BaFin prüft die Umsetzung aktiv, Nachweise müssen jederzeit vorliegen. Wer die Kontrolle über Zugriffsrechte, Benutzerlebenszyklen und Rollenstrukturen noch nicht systematisch etabliert hat, sollte jetzt handeln.

QUELLEN

Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (DORA)
BaFin: DORA – Digital Operational Resilience Act
Deutsche Bundesbank: Digital Operational Resilience Act (DORA)

VIDEO ZUR RISIKOANALYSE

Am Beispiel der Auszubildenden Anna Azubi zeigen wir, wie wir in der IAM-Software daccord schnell zu einer ersten Risikobewertung kommen. Wir halten uns dabei an die Schutzziele des BSI:

Vertraulichkeit
Integrität
Verfügbarkeit

und setzen bei den Daten selbst an. Welche Daten sind kritisch für das Unternehmen und wer hat Zugriff darauf?

ZUM VIDEO

DEMO VEREINBAREN

Kontakt

info@daccord.de

+49 (0) 69 85 00 02-0