NIS2 für Entwickler: Sicherheitsbasis für SaaS-, ERP- und HR-Systeme
Ihre Unternehmenskunden werden anfangen, NIS2-Fragebögen zu verschicken. Das müssen Softwareunternehmen über Sicherheitsbasis, Incident Response und Lieferkettenpflichten wissen.
Seit Januar 2025 ist der Digital Operational Resilience Act (DORA) vollständig in Kraft. Für Banken, Versicherer und Investmentfirmen bedeutet das neue Pflichten im Bereich der digitalen Resilienz. Doch die Änderungen betreffen nicht nur Finanzinstitute, sie wirken sich direkt auf jeden IT-Zulieferer aus, der den Finanzsektor bedient. Und das ist keine abstrakte Bedrohung in ferner Zukunft, es passiert gerade jetzt.
DORA ist eine EU-Verordnung, die einen einheitlichen Rahmen für das Management von IKT-Risiken im Finanzsektor einführt. Anders als frühere Richtlinien nimmt DORA ausdrücklich auch Dritte in den Blick (IT-Zulieferer, Cloud-Dienstleister und Softwareentwickler).
Wenn Ihr Unternehmen Software für eine Bank oder einen Versicherer entwickelt, gilt DORA für Sie. Ganz direkt und konkret.
Finanzinstitute müssen nachweisen, dass ihre Zulieferer Prozesse für das IKT-Risikomanagement eingerichtet haben. In der Praxis enthalten Ausschreibungen inzwischen Fragen wie:
DORA verlangt regelmäßige Tests der Resilienz von IT-Systemen. Zulieferer müssen auf Folgendes vorbereitet sein:
Das neue Meldewesen für IKT-Vorfälle bedeutet, dass Zulieferer klare Prozesse haben müssen für:
Finanzinstitute müssen ein Register aller IKT-Zulieferer führen und diese nach Kritikalität einstufen. Rechnen Sie mit:
DORA legt genau fest, was Verträge mit IKT-Zulieferern enthalten müssen:
Viele slowakische IT-Unternehmen liefern Software an Finanzinstitute, entweder direkt oder als Subunternehmer größerer Integratoren. DORA legt die Messlatte für alle in der Lieferkette höher.
Unternehmen, die sich frühzeitig auf DORA vorbereiten, werden reibungslosere Verhandlungen mit Banken führen. Wer es ignoriert, erfährt möglicherweise erst aus einer Ausschreibung, dass das eigene Angebot die Bedingungen nicht erfüllt hat.
Bei Rise.sk entwickeln wir Software für Kunden aus regulierten Branchen, darunter auch der Finanzsektor. Letztes Jahr haben wir einem Kunden durch ein DORA-Compliance-Audit geholfen. Die größte Herausforderung war nicht technischer Natur. Die Prozessdokumentation existierte nur in den Köpfen der Beteiligten. Seitdem ist Sicherheitsdokumentation bei uns fester Bestandteil jedes Projekts.
Wenn Sie IT-Dienstleistungen für den Finanzsektor erbringen und sich auf DORA vorbereiten möchten:
Brauchen Sie Hilfe bei der Entwicklung von Software, die DORA-Anforderungen erfüllt? Kontaktieren Sie uns, wir unterstützen Sie bei Sicherheitsdokumentation und Prozessen.
Gründer und technischer Leiter von Rise.sk. Er konzipiert und liefert Webanwendungen, Datensysteme und Automatisierungen und schreibt über Softwareentscheidungen, KI und digitale Dienste.
Ihre Unternehmenskunden werden anfangen, NIS2-Fragebögen zu verschicken. Das müssen Softwareunternehmen über Sicherheitsbasis, Incident Response und Lieferkettenpflichten wissen.
Das slowakische CSIRT hat Phishing-Kampagnen aufgedeckt, die staatliche Dienste nachahmen, mit gefälschten Websites und QR-Aufklebern auf Autos. Was Unternehmen wissen müssen.
Chinesische Modelle liegen nur noch Monate hinter der US-Spitze, nicht Jahre, und das zu einem Bruchteil der Kosten. Für ein europäisches Unternehmen ist die eigentliche Frage nicht, wer das Rennen gewinnt, sondern ob und wie man sie einsetzt.
Ihr Kontext entscheidet