Kontakt
Logo
8 rot kontrast 300dpi

ISO 27001 trifft auf DORA: Wie ISO 27001 bei der Erreichung der DORA-Compliance unterstützen kann

Episode 10 unserer Artikelreihe: The Cybersecurity Compass

  • Publication
  • Episode 10: ISO 27001 trifft auf DORA: Wie ISO 27001 bei der Erreichung der DORA-Compliance unterstützen kann

In der neuesten Episode von „The Cybersecurity Compass“ beleuchten wir, wie ISO 27001 – der international anerkannte Standard für Informationssicherheits-Managementsysteme (ISMS) – eine zentrale Rolle bei der Erreichung der Compliance mit dem Digital Operational Resilience Act (DORA) der EU spielen kann.

Da DORA darauf abzielt, die Cybersecurity-Resilienz im EU-Finanzsektor zu stärken, stehen Organisationen unter erheblichem Druck, strenge Anforderungen im Bereich IKT-Risikomanagement, Incident-Reporting und Resilienztests umzusetzen.

 

cybersec_grafik14

Digital Decade Strategy

ISO 27001 und DORA: Eine strategische Ausrichtung für Finanzdienstleister

DORA führt strenge Standards ein, um die Abwehrfähigkeit von Finanzinstituten gegenüber digitalen Risiken zu stärken. Die verbindlichen Anforderungen umfassen unter anderem IKT-Risikomanagement, Incident-Response, Drittparteirisikomanagement und Resilienztests.

ISO 27001 bietet hierfür ein umfassendes Framework, das diese Bereiche durch einen strukturierten Ansatz im Informationssicherheitsmanagement abdeckt. Für Organisationen, die sich auf die DORA-Compliance vorbereiten, ergeben sich dadurch erhebliche Vorteile.

Der Umfang der ISO-27001-Abdeckung im Hinblick auf DORA-Compliance

Unsere detaillierte Mapping-Analyse zwischen ISO 27001 und dem Digital Operational Resilience Act (DORA) zeigt eine hohe Übereinstimmung beider Frameworks. Dies unterstreicht die Eignung von ISO 27001 als solide Grundlage zur Erfüllung der Cybersecurity- und Anforderungen an die operative Resilienz gemäß DORA.

cybersec_grafik22

Ihr Ansprechpartner

_profilepic_round-2025 natalia

Natalia Petrova-Korudzhiyski

Senior Business Consultant • BU Security & Safety

+4366480740359

Ihr Ansprechpartner

_profilepic_round-2025 Ayhan

Ayhan Mehmed

Lead Business Consultant • BU Security & Safety

+43 664 80740139

Zentrale Anforderungen und Unterschiede

Nachfolgend eine Übersicht der spezifischen Abdeckungsbereiche:

  • Abdeckung im Bereich IKT-Risikomanagement: 83 %
    Details: ISO 27001 bietet umfassende Leitlinien zur Identifizierung, Bewertung und Minderung von Risiken und steht damit in enger Übereinstimmung mit DORAs Anforderungen an robuste IKT-Risikomanagement-Frameworks gemäß Artikel 5–16. Dazu gehören Governance-Strukturen, Überwachungssysteme und Risikominderungsstrategien, die für das Management von IKT-Risiken erforderlich sind.
  • Abdeckung im Bereich Incident-Management und Reporting: 87 %
    Details: ISO 27001 enthält detaillierte Verfahren zur Dokumentation, Protokollierung und Eskalation von Sicherheitsvorfällen. Diese unterstützen die Anforderungen aus DORA Artikel 17–23 hinsichtlich eines wirksamen Incident-Managements und der Meldung an zuständige Behörden im Rahmen der operativen Resilienzstrategie.
  • Abdeckung im Bereich Drittparteirisikomanagement: 60 %
    Details: ISO 27001 legt großen Wert auf Sicherheitsanforderungen an Drittanbieter und Geschäftspartner und stimmt damit teilweise mit DORA Artikel 28–44 überein. Dies umfasst Prozesse zur Bewertung, Überwachung und Minderung von Risiken in der IKT-Lieferkette, die für die DORA-Compliance von zentraler Bedeutung sind.
  • Abdeckung im Bereich Resilienztests: 49 %
    Details: ISO 27001 schreibt keine spezifischen Resilienztests vor, empfiehlt jedoch regelmäßige Prüfungen und Validierungen von Sicherheitskontrollen als Best Practice, einschließlich Vulnerability-Analysen und Penetrationstests. Damit werden die Anforderungen aus DORA Artikel 24–27 teilweise erfüllt, die regelmäßige Tests zur Bewertung der digitalen Resilienz verlangen.
  • Abdeckung im Bereich Informationsaustausch: 40 %
    Details: ISO 27001 enthält Regelungen zum internen Informationsaustausch, insbesondere in Bezug auf Sicherheitsvorfälle und Bedrohungsinformationen. Allerdings deckt der Standard nur etwa 40 % der Anforderungen aus DORA Artikel 45 ab, da DORA einen stärkeren Fokus auf sektorübergreifenden und externen Informationsaustausch zur Stärkung der kollektiven Resilienz legt.

 

Fazit

Diese Ergebnisse zeigen, dass ISO 27001 in mehreren zentralen Bereichen von DORA eine starke Abdeckung bietet. Mit einer hohen Übereinstimmung insbesondere im IKT-Risikomanagement und im Incident-Reporting stellt ISO 27001 einen strukturierten Weg dar, mit dem Finanzinstitute ihre digitale operative Resilienz stärken können – insbesondere im Hinblick auf die vollständige Anwendbarkeit von DORA im Januar 2025.

Organisationen im Finanzsektor können die Frameworks von ISO 27001 gezielt nutzen, um ihre DORA-Compliance effizient umzusetzen, ihre Cybersecurity-Strategie zu stärken und die operative Kontinuität angesichts wachsender digitaler Bedrohungen sicherzustellen.