DORA-Regulierung für den Finanzsektor

Dallmeier unterstützt Banken und Finanzinstitute mit cybersicheren Videolösungen, um die Anforderungen aus dem Digital Operational Resilience Act zu erfüllen.

Was ist DORA?
DORA steht für „Digital Operational Resilience Act“. DORA regelt die digitale Resilienz und die Cybersicherheit im Finanzsektor und gilt seit dem 17.01.2025. Als Verordnung hat sie direkte Wirkung in allen 27 EU-Ländern und hat als sektorspezischer Rechtsakt Vorrang vor der NIS-2-Richtlinie. Betroffene Unternehmen sind u. a. Banken, Zahlungsinstitute, Wertpapierfirmen, Krypto-Dienstleister, Versicherungen und IKT-Dienstleister.

Zusammenhang DORA und NIS-2
DORA ist gemäß Artikel 1 Absatz 2 als sektorspezifischer Rechtsakt der Europäischen Union im Sinne von Artikel 4 der NIS-2-Richtlinie einzustufen. Das bedeutet, dass die Regelungen der DORA Vorrang vor den Bestimmungen der NIS-2-Richtlinie in Bezug auf das Cybersicherheitsrisikomanagement und die Meldung erheblicher Sicherheitsvorfälle haben und diese in diesen Bereichen ersetzen. 

Finanzinstitute und IKT-Dienstleister betroffen
Der Digital Operational Resilience Act („DORA“) ist eine neue EU-Verordnung, die seit dem 17. Januar 2025 gilt. Ziel ist es, die digitale Resilienz und Cybersicherheit von Finanzunternehmen zu stärken, indem einheitliche Anforderungen an den Umgang mit Informations- und Kommunikationstechnologie (IKT) geschaffen werden. 
Obwohl DORA primär für Finanzinstitute (z. B. Banken, Versicherungen, Zahlungsdienstleister) konzipiert wurde, betrifft die Verordnung auch externe (kritische!) IKT-Dienstleister und Anbieter, die kritische Technologien für diese Institute bereitstellen (IKT-Drittparteien).
Gerade für Hersteller von Videoüberwachungstechnik eröffnet DORA neue Chancen – aber auch Pflichten. In diesem Beitrag beleuchten wir, was DORA konkret bedeutet, welche Anforderungen sich ergeben und wie man sie strategisch nutzen kann.

„Gerade für Hersteller von Videoüberwachungstechnik eröffnet DORA neue Chancen – aber auch Pflichten.“

Jürgen Seiler, Head of Business Development at Dallmeier electronic GmbH & Co.KG

Die fünf Säulen von DORA – und ihre Bedeutung für Videoüberwachungstechnologie
DORA strukturiert ihre Anforderungen um fünf zentrale Themenbereiche: IKT-Risikomanagement, Vorfallmanagement, Resilienztests, Drittparteirisiko und Informationsaustausch. 

  1. IKT-Risikomanagement
    • Finanzunternehmen müssen ein ganzheitliches Framework zur Steuerung von IT-Risiken etablieren: Identifikation, Klassifizierung, Kontrollen, Monitoring, Business-Continuity-Pläne.
    • Für Hersteller von Videoüberwachung heißt das: Geräte, Software und Services können Teil dieser Risikopolitik werden. Wenn die Systeme kritisch für die Infrastruktur der Finanzkunden sind, werden sie wahrscheinlich intensiv geprüft.
       
  2. IKT-Incident-Management & Meldepflichten
    • Größere IKT-Störungen müssen klassifiziert und gemeldet werden, Zwischen- und Abschlussberichte sind vorgeschrieben.
    • Der Hersteller sollte Prozesse einrichten, um Vorfälle in den Komponenten (z. B. Ausfall einer Kamera, Cyber-Angriff auf Management-Software) schnell zu erfassen, zu analysieren und die Partner zu informieren. Nur so kann der Hersteller Kunden helfen, ihre eigenen Meldepflichten einzuhalten.
       
  3. Tests zur digitalen Resilienz
    • Regelmäßige Penetrationstests sind Pflicht.
    • Das bedeutet für den Hersteller, dass die Videoüberwachungssysteme nicht nur funktional sicher sein müssen, sondern auch unter realistischen Bedrohungsszenarien geprüft werden sollten. Schwachstellen (z. B. in Firmware, Netzwerkprotokollen) müssen proaktiv aufgedeckt und behoben werden.
       
  4. Management von Drittparteirisiken
    • Finanzinstitute müssen ihre IKT-Drittanbieter (z. B. Cloud-Provider, Softwarelieferanten) sorgfältig überwachen
    • Wenn der Hersteller seine Lösung über Drittparteien (z. B. Cloud-basiertes Video-Management, Hosting, Wartungsdienstleister) bereitstellt, sollten entsprechende vertragliche Regelungen berücksichtigt werden.
       
  5. Informationsaustausch
    • DORA fördert den sektorübergreifenden Austausch von Cyber-Bedrohungsinformationen unter Finanzakteuren.
    • Hersteller können davon profitieren, indem sie aktiv in solche Netzwerke eintreten oder Partnerschaften mit Finanzinstitutionen aufbauen. So kann der Hersteller über neue Bedrohungen im Videobereich informiert sein und seine Lösungen proaktiv weiterentwickeln.

Videotechnik und DORA:
Videoüberwachung kann so betrieben werden, dass sie mit DORA-Anforderungen vereinbar ist – durch sorgfältige Auswahl von Systemen, sichere Architektur, Verträge und Governance. Aber: Es gibt keine speziellen „DORA-Kameras“ (zumindest derzeit nicht als formeller Standard). Für Banken ist es wichtig, bei der Beschaffung von Videotechnik DORA-relevante Aspekte mit zu bedenken, gerade weil Kameras als Teil des IKT-Drittanbieter-Ökosystems angesehen werden können.
„Natürlich stellt die DORA-Verordnung Hersteller von Videosicherheitstechnik vor Herausforderungen: Resilienztests und Incident-Management-Systeme erfordern Investitionen. Aber sie kann auch eine Chance sein: Anbieter, die früh DORA-konform sind, können sich als bevorzugter Partner für Finanzinstitute positionieren und sich dadurch Wettbewerbsvorteile sichern“, schätzt Jürgen Seiler, Head of Business Development bei Dallmeier, die Lage ein. „Außerdem kann DORA ein Motor für Innovationen sein. Die Notwendigkeit regelmäßiger Tests wie z. B. Penetrationstests treibt die Weiterentwicklung hin zu sichereren, robusteren Systemen voran.“

Fazit & Ausblick
DORA ist mehr als ein regulatorisches Hindernis – für Finanzkunden und Hersteller von Videoüberwachungstechnik kann es ein strategischer „Sicherheitshebel“ sein. Wenn der Hersteller seine Produkte und Services DORA-konform aufstellt, erfüllt er nicht nur regulatorische Anforderungen, sondern schafft echten Mehrwert für seine Finanzkunden.
Gerade im Umfeld von Finanzinstituten, bei denen Sicherheit, Stabilität und Resilienz oberste Priorität haben, ist die (Sicherheits-) Technik ein wichtiger Baustein. Finanzkunden suchen daher vertrauenswürdige Partner und Hersteller.

Unser persönliches Angebot
Mit cybersicherer Videosicherheitstechnik „Made in Germany“, mit IT-Sicherheitsfunktionen auf Produktebene und eigenen, ISO 27001 zertifizierten, periodisch auditierten Sicherheitsprozessen unterstützt Dallmeier DORA-betroffene und regulierte Kunden aus dem Finanzsektor, ihre Sicherheitsanforderungen aus DORA zu erfüllen. 
Wenn Sie mehr darüber erfahren möchten, wie wir als Hersteller von Videoüberwachungslösungen Ihre DORA-Strategie aktiv unterstützen können – von resilienten und cybersicheren Systemen bis zu Compliance-Services – kontaktieren Sie uns gerne. Unsere Experten stehen bereit, um gemeinsam mit Ihnen eine DORA-konforme Lösung zu entwickeln.

Planen Sie ein Videoüberwachungsprojekt und sind unsicher, wie DORA, NIS-2 und das KRITIS-Dachgesetz zu berücksichtigen sind? 

Sichern Sie sich Ihren Termin für einen kostenlosen 30-minütigen 1:1 -Talk (online) mit unserem KRITIS-Experten Jürgen Seiler – fundiert und praxisnah.

Weiterführende Informationen und Links:

Über den Autor: