DORA Umsetzung – Digitale Resilienz für Finanz‑IT

DORA Umsetzung – Digitale Resilienz für Finanz‑IT

DORA mit Seraph IT bedeutet: Finanzunternehmen und ihre IT-Dienstleister richten ihre IT und Prozesse so aus, dass sie den Anforderungen des Digital Operational Resilience Act entsprechen – mit klaren Zuständigkeiten, definierten Services und dokumentierter Widerstandsfähigkeit gegen IT-Störungen.

Was verlangt DORA grundsätzlich?

DORA (Digital Operational Resilience Act) ist eine EU-Verordnung, die die digitale Betriebsstabilität von Finanzunternehmen und ihren kritischen IT-Dienstleistern regelt. Sie fordert u.a. ein systematisches Management von IKT-Risiken, klare SLAs, Notfall- und Wiederherstellungsprozesse, Überwachung von Dienstleistern und regelmäßige Tests der Resilienz.

Auch IT-Dienstleister, die für regulierte Finanzunternehmen arbeiten, müssen belastbare Vereinbarungen, Prozesse und Nachweise vorlegen – genau hier setzt Seraph IT an.

Seraph IT Bausteine für DORA-konforme IT-Services

Klare Servicebeschreibungen und SLAs

  • Strukturierte Leistungsbeschreibungen für Managed Workplace, Managed M365, Security as a Service, Managed Server, Managed Backup, Passwortmanagement, Mobile Device Management und Dienstleistersteuerung.
  • Definition von Servicezeiten, Verfügbarkeiten, Reaktions- und Lösungszeiten (z.B. NBD, EOBD) sowie Eskalationspfaden bei Störungen und Major Incidents.
  • Einheitliche Begriffe und Definitionen (Incident, Major Incident, Service Request, Downtime, Uptime) zur besseren Nachvollziehbarkeit.

Notfall- und Störungsprozesse

  • Festgelegte Prozesse für Störungen, kritische Störungen und Katastrophenfälle mit klaren Meldewegen (Notrufnummer, Ticketsystem).
  • Priorisierung nach Schweregrad und abgestufte Reaktionszeiten (Level 1–3 Support).
  • Reporting zu Service Requests, Incidents und Major Incidents in definierten Intervallen (z.B. jährlich oder nach Bedarf).

Datensicherung und Wiederanlauf

  • Managed Backup nach 3‑2‑1‑1‑0-Prinzip, inklusive verschlüsselter Sicherung, Immutable-Ziel und regelmäßiger Backup-Prüfung.
  • Klare Vorgaben zur Vorhaltezeit, Backupfrequenz und Wiederherstellungsunterstützung bei Datenverlust oder Systemausfällen.
  • Integration von Backup- und Wiederherstellungskonzepten in die Servicevereinbarungen (SLA).

Governance, Reporting & Dienstleistersteuerung

  • Dokumentierte Verantwortlichkeiten (Service Desk, Service Manager, Eskalation, Vertrag, Notfälle) mit Kontaktwegen und Zuständigkeiten.
  • Möglichkeit zu Service-Reviews und Service-Audits, um Leistungen, Incidents und Verbesserungen regelmäßig zu besprechen.
  • Dienstleistersteuerung als eigener Service: Koordination weiterer IT- und Cloud-Dienstleister im Sinne eines zentral verantwortlichen IT-Partners.

Damit entsteht eine Struktur, die sich gut mit DORA-Anforderungen an Governance, Überwachung von IKT-Dienstleistern und Berichtspflichten verbinden lässt.

Nutzen der DORA-orientierten Umsetzung mit Seraph IT

  • Klar definierte, auditierbare IT-Services mit nachvollziehbaren SLAs, die Finanzunternehmen in ihre DORA-Compliance aufnehmen können.
  • Verbesserte Nachweisführung zu Verfügbarkeit, Störungsbearbeitung und Datensicherung.
  • Stärkere operative Resilienz durch geregelte Backup-, Wiederanlauf- und Eskalationsprozesse.

Warum Seraph IT für DORA-nahe Umsetzungen?

  • Bereits vorhandenes, strukturiertes SLA-Framework für zentrale IT-Services (Workplace, M365, Security, Server, Backup, Mobile, Dienstleistersteuerung).
  • Technische Ausrichtung auf Sicherheit, Monitoring und Wiederherstellbarkeit, wie sie DORA-praktisch voraussetzt.
  • Verständnis für regulatorisch geprägte Umfelder (NIS2-/ISO-orientierte Sicherheit) und die Anbindung an externe Prüf- und Auditprozesse.

Erster Schritt: Abgleich eurer bestehenden IT-Verträge und -Prozesse mit den vorhandenen Seraph-IT-Leistungsbeschreibungen – daraus entsteht ein konkreter Vorschlag, wie ihr DORA-Anforderungen in der Zusammenarbeit mit Seraph IT besser erfüllen könnt.