![\"Get](\"https:\/\/media.jfrog.com\/wp-content\/uploads\/2024\/07\/10120201\/DORA-863x300-1.png\")
<\/p>\n<\/p>\n
Hinweis: Dieser Blog wurde am 1. Mai 2025 aktualisiert<\/em><\/p>\n Regulatorische Compliance ist ein zentraler Bestandteil eines sich schnell entwickelnden Finanzdienstleistungssektor. Eine neue Verordnung, die Finanzinstitute in der EU einhalten m\u00fcssen, ist der Digital Operational Resilience Act (DORA), die eingef\u00fchrt wurde, um die operationelle Resilienz digitaler Finanzservices zu st\u00e4rken. Der BCI-Supply Chain Resilience Report 2024<\/a> zeigt, dass 80\u202f% der Unternehmen St\u00f6rungen ihrer Lieferkette erlebt haben \u2013 ein deutlicher Anstieg im Vergleich zum Vorjahr. Das unterstreicht die anhaltenden Auswirkungen mangelnder Resilienz im Bereich der Informations- und Kommunikationstechnologie (IKT) auf die Betriebskontinuit\u00e4t.<\/p>\n Die DORA-Compliance gilt seit dem 17. Januar 2025<\/a>. Der Begriff IKT umfasst eine Vielzahl technologischer Tools und Ressourcen, die f\u00fcr die Kommunikation, die Erstellung von Inhalten und die Vorbereitung, die Speicherung und die Verwaltung von Informationen eingesetzt werden. Dazu geh\u00f6ren auch elektronische Ger\u00e4te, Netzwerkkomponenten und Softwareanwendungen, ie verschiedene Formen digitaler Kommunikation und Informationsverarbeitung erm\u00f6glichen.<\/p>\n Im Finanzdienstleistungssektor betrifft DORA Versicherungen, Investmentfirmen, Banken, Fintechs und IKT-Dienstleister \u2013 sie alle m\u00fcssen die Anforderungen verstehen und umsetzen, um ihre operationelle Resilienz sicherzustellen und hohe Strafen zu vermeiden. Dieser Beitrag beleuchtet die zentralen Anforderungen an die Softwareentwicklung, \u00a0die Finanzunternehmen erf\u00fcllen sollten, um DORA-konform zu sein.<\/p>\n Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung (20222\/2554) zur St\u00e4rkung der digitalen Resilienz von Finanzinstituten. Ziel ist es, sicherzustellen, dass Finanzunternehmen Technologieausf\u00e4lle und -bedrohungen standhalten und sich davon erholen k\u00f6nnen.<\/p>\n Das Ziel der Verordnung ist es, die operationelle Widerstandsf\u00e4higkeit des gesamten Finanzsektors zu erh\u00f6hen, selbst im Falle schwerwiegender operationeller St\u00f6rungen. DORA unterstreicht daher die Notwendigkeit, dass Finanzinstitute robuste F\u00e4higkeiten in Hinblick auf folgende Bereiche aufbauen:<\/p>\n DORA gilt f\u00fcr eine Vielzahl von Organisationen aus dem Finanzsektor, die innerhalb der EU operieren \u2013 sch\u00e4tzungsweise \u00fcber 22.000 betroffene Unternehmen. Die Einhaltung ist entscheidend f\u00fcr die Gesch\u00e4ftskontinuit\u00e4t und die Vermeidung regulatorischer Konsequenzen.<\/p>\n Diese f\u00fcnf S\u00e4ulen sind ma\u00dfgebliche f\u00fcr die Einhaltung der DORA-Vorschriften<\/em><\/p>\n DORA deckt viele Bereiche ab. Im Folgenden werden die Kernpfeiler aus Sicht der Softwareentwicklung beschrieben, inklusive konkreter Handlungsempfehlungen:<\/p>\n JFrog hilft dabei DORA-Konformit\u00e4t entlang der gesamten Software-Lieferkette \u00a0sicherzustellen (zum Vergr\u00f6\u00dfern anklicken)<\/em><\/p>\n Die Anforderungen von DORA \u00e4hneln jenen aus dem Cybersecurity Resilience Act (CRA)<\/em> in der EU und des NIST SP 800-218 Secure Software Development Framework (SSDF)<\/em> sowie der US-amerikanischen EO 14028 Cybersecurity Executive Order<\/em> was die Einhaltung von Sicherheits-, Risiko- und Compliance-Praktiken angeht. Bei Verst\u00f6\u00dfen gegen DORA drohen Finanzunternehmen empfindliche Geldbu\u00dfen \u2013 bis zu einem Prozent des durchschnittlichen t\u00e4glichen weltweiten Umsatzes pro Tag der Nichteinhaltung.<\/p>\n Die Sicherheitsl\u00f6sungen von JFrog, wie JFrog Xray<\/a>, JFrog Advanced Security<\/a> und JFrog Curation<\/a>, k\u00f6nnen Finanzdienstleistungsunternehmen dabei unterst\u00fctzen, die DORA-Vorschriften f\u00fcr die Softwareentwicklung einzuhalten.<\/p>\n Sie bieten Finanzinstituten einen umfassenden Werkzeugkasten mit Tools f\u00fcr Sicherheit und Compliance der Software-Lieferkette, die f\u00fcr die Einhaltung der DORA-Vorschriften unerl\u00e4sslich sind. Compliance geh\u00f6rt zu den schwierigsten Aspekten der Gesch\u00e4ftst\u00e4tigkeit von Finanzinstituten, da sie strenge regulatorische Frameworks wie OCC, DSGVO, PCI DSS, SOX und NIST einhalten m\u00fcssen, die sichere und konforme Softwareentwicklungsprozesse, Datenschutz und Corporate Governance vorschreiben.<\/p>\n Die JFrog Software Supply Chain Plattform bildet die Grundlage f\u00fcr diese Sicherheits- und Compliance-Prozesse und wird von den meisten gro\u00dfen Finanzinstituten weltweit.<\/p>\n Die JFrog-Plattform<\/a> erm\u00f6glicht w\u00e4hrend des gesamten Softwareentwicklungs-Lebenszyklus eine kontinuierliche Identifizierung, Priorisierung, Verfolgung, \u00dcberwachung und Verwaltung potenzieller Schwachstellen und stellt dabei konkrete Vorschl\u00e4ge zur Behebung bereit. Die L\u00f6sung verwendet automatisierte und konfigurierbare Richtlinien, die auf die Einhaltung von DORA oder anderen spezifischen regulatorischen Anforderungen zugeschnitten werden k\u00f6nnen.<\/p>\n Beispielsweise kann die Kuratierung von Open-Source-Bibliotheken und -Paketen, die frei von Schwachstellen, nicht b\u00f6sartig und sicher f\u00fcr den Betrieb sind, dazu beitragen, die Zielef\u00fcr \u00a0Sicherheit und Risikominderung von DORA zu erf\u00fcllen.<\/p>\n Der ganzheitliche Ansatz von JFrog f\u00fcr Sicherheit und Compliance in der Software-Lieferkette versetzt das Unternehmen in eine hervorragende Position, um Finanzinstitute bei der Einhaltung der DORA-Vorschriften zu unterst\u00fctzen, und l\u00e4sst sich auch auf k\u00fcnftige Sicherheits- und Compliance-Vorschriften f\u00fcr Finanzdienstleister oder andere \u00a0Branchen angewendet werden.<\/p>\n Eine Software Bill of Materials \u00a0(SBOM)<\/a> ist ein unverzichtbares Mittel, um zu verstehen, welche Komponenten in Ihrer Produktionsversion enthalten sind. Die automatisierte SBOM-Generierungsfunktion von JFrog bietet Release-Managern, QA- und Sicherheitsteams eine detaillierte Bestandsaufnahme der Komponenten, die f\u00fcr die Produktion vorgesehen sind, einschlie\u00dflich aller identifizierten Sicherheitsl\u00fccken und Lizenzkonformit\u00e4tsprobleme. Die SBOM-Exporte von JFrog unterst\u00fctzen g\u00e4ngigen Standardformate wie SPDX und CycloneDX (CDX) sowie das neu eingef\u00fchrte VEX-Format.<\/p>\n Die JFrog Plattform hilft dabei, Silos zwischen Entwicklungs-, Sicherheits- und Betriebsteams aufzubrechen. JFrog kann eine kollaborative DevSecOps-Umgebung erm\u00f6glichen, in der alle auf dem gleichen Stand sind und Sicherheit an erster Stelle steht.<\/p>\n Bei der Einhaltung der DORA geht es nicht nur darum, regulatorische Anforderungen zu erf\u00fcllen, sondern vor allem darum, eine widerstandsf\u00e4hige und sichere digitale Umgebung f\u00fcr Finanzgesch\u00e4fte zu schaffen. Die Verordnung legt den Fokus auf die operative Widerstandsf\u00e4higkeit von Finanzinstituten gegen\u00fcber St\u00f6rungen der IKT und verlangt von ihnen, Frameworks f\u00fcr das IKT-Risikomanagement zu etablieren und zu pflegen sowie deren Widerstandsf\u00e4higkeit regelm\u00e4\u00dfig zu testen.<\/p>\n Durch die Integration eines robusten Risikomanagements, sicherer Softwareentwicklungsprozesse und kontinuierlicher Tests in den Softwareentwicklungs-Lebenszyklus k\u00f6nnen Finanzunternehmen sicherstellen, dass sie f\u00fcr die Herausforderungen des digitalen Zeitalters gut ger\u00fcstet sind. Um die operative Widerstandsf\u00e4higkeit aufrechtzuerhalten und die Integrit\u00e4t von Finanzdienstleistungen zu gew\u00e4hrleisten, ist es entscheidend, stets informiert und proaktiv zu bleiben. Bei DORA geht es nicht nur um das Abarbeiten von Checklisten, sondern um die Schaffung einer soliden Grundlage f\u00fcr die Stabilit\u00e4t des gesamten Finanzsystems. Sicherer Code ist der Schl\u00fcssel zu einer sicheren finanziellen Zukunft!<\/p>\n Vereinbaren Sie eine Demo<\/a>\u00a0oder\u00a0nehmen Sie an einer Produktvorf\u00fchrung<\/a>\u00a0teil, um selbst zu sehen, wie JFrog Ihnen dabei helfen kann, Ihre Softwareentwicklungsprozesse DORA-konform zu gestalten und sich gleichzeitig auf neue Standards vorzubereiten.<\/p>\n Haftungsausschluss: Der Inhalt dieses Artikels dient ausschlie\u00dflich allgemeinen Informationszwecken und stellt keine Rechtsberatung dar. Der Inhalt spiegelt m\u00f6glicherweise nicht die aktuellen rechtlichen Entwicklungen wider, ist nicht garantiert korrekt oder vollst\u00e4ndig und bezieht sich nicht auf Ihre Situation. Sie sollten sich nicht auf diesen Inhalt verlassen.<\/em><\/p>\n \n","protected":false},"excerpt":{"rendered":" Hinweis: Dieser Blog wurde am 1. Mai 2025 aktualisiert Regulatorische Compliance ist ein zentraler Bestandteil eines sich schnell entwickelnden Finanzdienstleistungssektor. Eine neue Verordnung, die Finanzinstitute in der EU einhalten m\u00fcssen, ist der Digital Operational Resilience Act (DORA), die eingef\u00fchrt wurde, um die operationelle Resilienz digitaler Finanzservices zu st\u00e4rken. Der BCI-Supply Chain Resilience Report 2024 zeigt, …<\/p>\n","protected":false},"author":590,"featured_media":136238,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[9205],"tags":[10841,10842],"class_list":["post-153481","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-unkategorisiert","tag-software-regulations-de","tag-compliance-de"],"yoast_head":"\n![\"Get](\"https:\/\/media.jfrog.com\/wp-content\/uploads\/2024\/07\/10120145\/DORA-Logo.png\"){kind=logo}
<\/p>\n\n
Wer muss sich an DORA halten?<\/h2>\n
![\"DORA](\"https:\/\/media.jfrog.com\/wp-content\/uploads\/2024\/07\/14131430\/DORA-5-Pillars_v2.png\")
<\/p>\nDie 5 wichtigsten DORA-Anforderungen an die Softwareentwicklung<\/h2>\n
\n
\n
\n<\/strong>Finanzunternehmen m\u00fcssen potenzielle Schwachstellen in ihren Softwaresystemen identifizieren und bewerten, sowie Strategien zur Minderung der Auswirkungen der identifizierten Risiken umsetzen.<\/li>\n
\n<\/strong>Dies bezieht sich auf den Austausch von Informationen \u00fcber Cyber-Bedrohungen zwischen Organisationen, um eine kollektive Resilienz gegen solche Bedrohungen aufzubauen und die kollektive Bereitschaft und Reaktionsf\u00e4higkeit des Sektors zu verbessern.<\/li>\n
\nVorf\u00e4lle einzuhalten, muss\u00a0DevOps<\/a>Logging- und Monitoring-L\u00f6sungen implementieren, die Anomalien erkennen und potenzielle Sicherheitsvorf\u00e4lle verhindern. Dar\u00fcber hinaus muss\u00a0DevSecOps<\/a> einen klaren Plan f\u00fcr die Reaktion auf Vorf\u00e4lle erstellen, der Schritte zur Eind\u00e4mmung, Beseitigung, Wiederherstellung und Analyse nach dem Vorfall definiert.<\/li>\n
\n<\/strong>Kontinuierliche Tests sind f\u00fcr die Aufrechterhaltung der Stabilit\u00e4t von Finanzsoftwaresystemen unerl\u00e4sslich. Dazu sollten Penetrationstests, Vulnerability Assessments sowie Disaster- und Business-Recovery-Planungen geh\u00f6ren.<\/li>\n
\nFinanzunternehmen sind f\u00fcr Software und technologiebezogene Dienstleistungen h\u00e4ufig auf Drittanbieter angewiesen. Um die DORA-Vorgaben zu erf\u00fcllen, ist es unerl\u00e4sslich, die Sicherheitspraktiken ihrer Zulieferer einer sorgf\u00e4ltigen Pr\u00fcfung zu unterziehen, die Einhaltung von Sicherheits- und Resilienzstandards vertraglich festzulegen und die Sicherheitspraktiken von Drittanbietern zu \u00fcberwachen.<\/li>\n<\/ol>\n<\/li>\n<\/ol>\n![\"\"](\"https:\/\/media.jfrog.com\/wp-content\/uploads\/2024\/07\/14130515\/DORA-Diagram-v2.png\")
<\/p>\nDORA-konform coden: Die Umsetzung in der Praxis<\/h2>\n
\nWie lassen sich diese DORA-S\u00e4ulen nun bei der Softwareentwicklungs konkret umsetzen? \u00a0Hier sind ein paar wichtige Punkte dazu:<\/p>\n\n
Strafen bei Nichteinhaltung<\/h2>\n
So unterst\u00fctzt JFrog Finanzunternehmen in der EU bei der DORA-Compliance<\/h2>\n
Fazit<\/h2>\n