Blog-Startseite

DORA-Compliance: Anforderungen an die Softwareentwicklung für Unternehmen im Finanzdienstleistungssektor

Paul Garden
Danny Parizada

Von Paul Garden, JFrog Partner and Industry Solutions Danny Parizada, JFrog Senior Solution Engineer

8 min read

Get DORA Compliant with JFrog

Hinweis: Dieser Blog wurde am 1. Mai 2025 aktualisiert

Regulatorische Compliance ist ein zentraler Bestandteil eines sich schnell entwickelnden Finanzdienstleistungssektor. Eine neue Verordnung, die Finanzinstitute in der EU einhalten müssen, ist der Digital Operational Resilience Act (DORA), die eingeführt wurde, um die operationelle Resilienz digitaler Finanzservices zu stärken. Der BCI-Supply Chain Resilience Report 2024 zeigt, dass 80 % der Unternehmen Störungen ihrer Lieferkette erlebt haben – ein deutlicher Anstieg im Vergleich zum Vorjahr. Das unterstreicht die anhaltenden Auswirkungen mangelnder Resilienz im Bereich der Informations- und Kommunikationstechnologie (IKT) auf die Betriebskontinuität.

Die DORA-Compliance gilt seit dem 17. Januar 2025. Der Begriff IKT umfasst eine Vielzahl technologischer Tools und Ressourcen, die für die Kommunikation, die Erstellung von Inhalten und die Vorbereitung, die Speicherung und die Verwaltung von Informationen eingesetzt werden. Dazu gehören auch elektronische Geräte, Netzwerkkomponenten und Softwareanwendungen, ie verschiedene Formen digitaler Kommunikation und Informationsverarbeitung ermöglichen.

Im Finanzdienstleistungssektor betrifft DORA Versicherungen, Investmentfirmen, Banken, Fintechs und IKT-Dienstleister – sie alle müssen die Anforderungen verstehen und umsetzen, um ihre operationelle Resilienz sicherzustellen und hohe Strafen zu vermeiden. Dieser Beitrag beleuchtet die zentralen Anforderungen an die Softwareentwicklung,  die Finanzunternehmen erfüllen sollten, um DORA-konform zu sein.

Get DORA Compliant with JFrog

Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung (20222/2554) zur Stärkung der digitalen Resilienz von Finanzinstituten. Ziel ist es, sicherzustellen, dass Finanzunternehmen Technologieausfälle und -bedrohungen standhalten und sich davon erholen können.

Das Ziel der Verordnung ist es, die operationelle Widerstandsfähigkeit des gesamten Finanzsektors zu erhöhen, selbst im Falle schwerwiegender operationeller Störungen. DORA unterstreicht daher die Notwendigkeit, dass Finanzinstitute robuste Fähigkeiten in Hinblick auf folgende Bereiche aufbauen:

  1. Schutz: Vorbeugung technologiebezogener Vorfälle
  2. Eindämmung: Begrenzung der Auswirkungen von Störungen
  3. Erkennung: Schnelle Identifizierung von Vorfällen
  4. Wiederherstellung: Effiziente Wiederherstellung des Services
  5. Behebung: Beseitigung aller durch einen Vorfall verursachten Schäden

Wer muss sich an DORA halten?

DORA gilt für eine Vielzahl von Organisationen aus dem Finanzsektor, die innerhalb der EU operieren – schätzungsweise über 22.000 betroffene Unternehmen. Die Einhaltung ist entscheidend für die Geschäftskontinuität und die Vermeidung regulatorischer Konsequenzen.

DORA Compliance - 5 Pillars

Diese fünf Säulen sind maßgebliche für die Einhaltung der DORA-Vorschriften

Die 5 wichtigsten DORA-Anforderungen an die Softwareentwicklung

DORA deckt viele Bereiche ab. Im Folgenden werden die Kernpfeiler aus Sicht der Softwareentwicklung beschrieben, inklusive konkreter Handlungsempfehlungen:

    1. Governance und robustes IKT-Risikomanagement Framework
      Finanzunternehmen müssen potenzielle Schwachstellen in ihren Softwaresystemen identifizieren und bewerten, sowie Strategien zur Minderung der Auswirkungen der identifizierten Risiken umsetzen.
    2. Austausch von Informationen und Erkenntnissen
      Dies bezieht sich auf den Austausch von Informationen über Cyber-Bedrohungen zwischen Organisationen, um eine kollektive Resilienz gegen solche Bedrohungen aufzubauen und die kollektive Bereitschaft und Reaktionsfähigkeit des Sektors zu verbessern.
    3. Meldung von Vorfällen und Reaktion darauf
      Vorfälle einzuhalten, muss DevOpsLogging- und Monitoring-Lösungen implementieren, die Anomalien erkennen und potenzielle Sicherheitsvorfälle verhindern. Darüber hinaus muss DevSecOps einen klaren Plan für die Reaktion auf Vorfälle erstellen, der Schritte zur Eindämmung, Beseitigung, Wiederherstellung und Analyse nach dem Vorfall definiert.
    4. Digital Operational Resilience Tests und Bewertungen
      Kontinuierliche Tests sind für die Aufrechterhaltung der Stabilität von Finanzsoftwaresystemen unerlässlich. Dazu sollten Penetrationstests, Vulnerability Assessments sowie Disaster- und Business-Recovery-Planungen gehören.
    5. Risikomanagement bei Drittanbietern
      Finanzunternehmen sind für Software und technologiebezogene Dienstleistungen häufig auf Drittanbieter angewiesen. Um die DORA-Vorgaben zu erfüllen, ist es unerlässlich, die Sicherheitspraktiken ihrer Zulieferer einer sorgfältigen Prüfung zu unterziehen, die Einhaltung von Sicherheits- und Resilienzstandards vertraglich festzulegen und die Sicherheitspraktiken von Drittanbietern zu überwachen.

JFrog hilft dabei DORA-Konformität entlang der gesamten Software-Lieferkette  sicherzustellen (zum Vergrößern anklicken)

DORA-konform coden: Die Umsetzung in der Praxis

Die Anforderungen von DORA ähneln jenen aus dem Cybersecurity Resilience Act (CRA) in der EU und des NIST SP 800-218 Secure Software Development Framework (SSDF) sowie der US-amerikanischen EO 14028 Cybersecurity Executive Order was die Einhaltung von Sicherheits-, Risiko- und Compliance-Praktiken angeht.
Wie lassen sich diese DORA-Säulen nun bei der Softwareentwicklungs konkret umsetzen?  Hier sind ein paar wichtige Punkte dazu:

  • Secure by Design: Integrieren Sie Sicherheitsaspekte in den gesamten SDLC. Dazu können Bedrohungsmodellierung, sichere Codierungspraktiken, Schwachstellenscans, Codeüberprüfungen, statische Codeanalysen, sichere Paketverwaltung und die Auflösung von Abhängigkeiten gehören.
  • DevSecOps: Brechen Sie Silos zwischen Ihren Entwicklungs-, Sicherheits- und Betriebsteams auf und fördern Sie dabei ein kollaboratives Umfeld, in dem Sicherheit in der Verantwortung aller liegt und Sie eine kontinuierliche Überprüfung Ihrer Software entlang der gesamten Lieferkette erreichen.
  • Automatisierung für mehr Effizienz: Nutzen Sie Automatisierungstools für Schwachstellenscans, Sicherheitstests, Paketverwaltung und Incident Response. Das entlastet Entwickler und optimiert den Prozess.
  • Logging und Monitoring: Implementieren Sie robuste Protokollierungs- und Monitoring-Features in Ihre Anwendungen. So lassen sich Anomalien und potenzielle Sicherheitsvorfälle frühzeitig erkennen. Darüber hinaus sollten Teams die Sicherheitsrisiken über den gesamten SDLC hinweg managen, um ein Single System of Record zu behalten.

Strafen bei Nichteinhaltung

Bei Verstößen gegen DORA drohen Finanzunternehmen empfindliche Geldbußen – bis zu einem Prozent des durchschnittlichen täglichen weltweiten Umsatzes pro Tag der Nichteinhaltung.

So unterstützt JFrog Finanzunternehmen in der EU bei der DORA-Compliance

Die Sicherheitslösungen von JFrog, wie JFrog Xray, JFrog Advanced Security und JFrog Curation, können Finanzdienstleistungsunternehmen dabei unterstützen, die DORA-Vorschriften für die Softwareentwicklung einzuhalten.

Sie bieten Finanzinstituten einen umfassenden Werkzeugkasten mit Tools für Sicherheit und Compliance der Software-Lieferkette, die für die Einhaltung der DORA-Vorschriften unerlässlich sind. Compliance gehört zu den schwierigsten Aspekten der Geschäftstätigkeit von Finanzinstituten, da sie strenge regulatorische Frameworks wie OCC, DSGVO, PCI DSS, SOX und NIST einhalten müssen, die sichere und konforme Softwareentwicklungsprozesse, Datenschutz und Corporate Governance vorschreiben.

Die JFrog Software Supply Chain Plattform bildet die Grundlage für diese Sicherheits- und Compliance-Prozesse und wird von den meisten großen Finanzinstituten weltweit.

Die JFrog-Plattform ermöglicht während des gesamten Softwareentwicklungs-Lebenszyklus eine kontinuierliche Identifizierung, Priorisierung, Verfolgung, Überwachung und Verwaltung potenzieller Schwachstellen und stellt dabei konkrete Vorschläge zur Behebung bereit. Die Lösung verwendet automatisierte und konfigurierbare Richtlinien, die auf die Einhaltung von DORA oder anderen spezifischen regulatorischen Anforderungen zugeschnitten werden können.

Beispielsweise kann die Kuratierung von Open-Source-Bibliotheken und -Paketen, die frei von Schwachstellen, nicht bösartig und sicher für den Betrieb sind, dazu beitragen, die Zielefür  Sicherheit und Risikominderung von DORA zu erfüllen.

Der ganzheitliche Ansatz von JFrog für Sicherheit und Compliance in der Software-Lieferkette versetzt das Unternehmen in eine hervorragende Position, um Finanzinstitute bei der Einhaltung der DORA-Vorschriften zu unterstützen, und lässt sich auch auf künftige Sicherheits- und Compliance-Vorschriften für Finanzdienstleister oder andere  Branchen angewendet werden.

Eine Software Bill of Materials  (SBOM) ist ein unverzichtbares Mittel, um zu verstehen, welche Komponenten in Ihrer Produktionsversion enthalten sind. Die automatisierte SBOM-Generierungsfunktion von JFrog bietet Release-Managern, QA- und Sicherheitsteams eine detaillierte Bestandsaufnahme der Komponenten, die für die Produktion vorgesehen sind, einschließlich aller identifizierten Sicherheitslücken und Lizenzkonformitätsprobleme. Die SBOM-Exporte von JFrog unterstützen gängigen Standardformate wie SPDX und CycloneDX (CDX) sowie das neu eingeführte VEX-Format.

Die JFrog Plattform hilft dabei, Silos zwischen Entwicklungs-, Sicherheits- und Betriebsteams aufzubrechen. JFrog kann eine kollaborative DevSecOps-Umgebung ermöglichen, in der alle auf dem gleichen Stand sind und Sicherheit an erster Stelle steht.

Fazit

Bei der Einhaltung der DORA geht es nicht nur darum, regulatorische Anforderungen zu erfüllen, sondern vor allem darum, eine widerstandsfähige und sichere digitale Umgebung für Finanzgeschäfte zu schaffen. Die Verordnung legt den Fokus auf die operative Widerstandsfähigkeit von Finanzinstituten gegenüber Störungen der IKT und verlangt von ihnen, Frameworks für das IKT-Risikomanagement zu etablieren und zu pflegen sowie deren Widerstandsfähigkeit regelmäßig zu testen.

Durch die Integration eines robusten Risikomanagements, sicherer Softwareentwicklungsprozesse und kontinuierlicher Tests in den Softwareentwicklungs-Lebenszyklus können Finanzunternehmen sicherstellen, dass sie für die Herausforderungen des digitalen Zeitalters gut gerüstet sind. Um die operative Widerstandsfähigkeit aufrechtzuerhalten und die Integrität von Finanzdienstleistungen zu gewährleisten, ist es entscheidend, stets informiert und proaktiv zu bleiben. Bei DORA geht es nicht nur um das Abarbeiten von Checklisten, sondern um die Schaffung einer soliden Grundlage für die Stabilität des gesamten Finanzsystems. Sicherer Code ist der Schlüssel zu einer sicheren finanziellen Zukunft!

Vereinbaren Sie eine Demo oder nehmen Sie an einer Produktvorführung teil, um selbst zu sehen, wie JFrog Ihnen dabei helfen kann, Ihre Softwareentwicklungsprozesse DORA-konform zu gestalten und sich gleichzeitig auf neue Standards vorzubereiten.

Haftungsausschluss: Der Inhalt dieses Artikels dient ausschließlich allgemeinen Informationszwecken und stellt keine Rechtsberatung dar. Der Inhalt spiegelt möglicherweise nicht die aktuellen rechtlichen Entwicklungen wider, ist nicht garantiert korrekt oder vollständig und bezieht sich nicht auf Ihre Situation. Sie sollten sich nicht auf diesen Inhalt verlassen.

Popular Tags