Die CER-Richtlinie und DORA sind zwei wichtige EU-Vorschriften, die darauf abzielen, Organisationen auf unterschiedliche Weise widerstandsfähiger zu machen. Aber woher wissen Sie, welche davon für Ihr Unternehmen gilt? Und wenn eine (oder beide) zutrifft, welche Schritte sollten Sie jetzt unternehmen, um die Vorschriften einzuhalten?

Was sind CER und DORA?

Auf hoher Ebene zielen sowohl CER als auch DORA darauf ab, die Resilienz zu stärken, aber sie befassen sich mit unterschiedlichen Arten von Risiken in verschiedenen Branchen:

  • Die Richtlinie zur Resilienz kritischer Entitäten (CER) betrifft die physische Resilienz von Organisationen in kritischen Sektoren. Sie konzentriert sich auf physische Bedrohungen wie Terrorismus, Naturkatastrophen und Unterbrechungen der Lieferkette.
  • Der Digital Operational Resilience Act (DORA) zielt speziell auf den Finanzsektor ab und konzentriert sich auf die digitale Resilienz. Er stellt sicher, dass Finanzinstitute sowie deren Technologiepartner auf Cyberrisiken wie Hacking und Systemausfälle vorbereitet sind.

CER und DORA betonen beide die Notwendigkeit einer starken Cybersicherheit und Resilienz für kritische Dienste in der EU. Diese Gesetze tragen dazu bei, Systeme angesichts schwerwiegender Bedrohungen stabil und sicher zu halten.

Sind Sie also betroffen?

Welche dieser Vorschriften gilt für Ihr Unternehmen? So finden Sie es heraus:

    • Energie
    • Transport
    • Bankwesen
    • Finanzmarktinfrastruktur
    • Gesundheit
    • Groß angelegte Lebensmittelproduktion, -verarbeitung und -verteilung
    • Trinkwasser
    • Abwasser
    • Digitale Infrastruktur
    • Öffentliche Verwaltung
    • Raumfahrt
  • DORA hingegen ist spezifisch für den Finanzsektor, einschließlich:
    • Banken
    • Wertpapierfirmen
    • Versicherungsunternehmen
    • IKT-Dienstleister für diese Institutionen

Wenn Sie in einem Finanzinstitut arbeiten und in einem kritischen Sektor, wie dem Bankwesen, tätig sind, können beide Vorschriften auf Sie zutreffen. Obwohl CER und DORA unterschiedliche Bereiche abdecken (physisch vs. digital), überschneiden sie sich zudem, wenn es um die Verwaltung von Drittanbieterrisiken geht. Beide verlangen von Ihnen, die Resilienz Ihrer Lieferanten zu bewerten, nicht nur die Ihres eigenen Unternehmens.

Was ist der Unterschied zwischen CER und DORA?

Obwohl die beiden Rahmenwerke ähnliche Ziele verfolgen, unterscheiden sie sich auch in einigen Punkten. Hier ist ein Vergleich hinsichtlich Umfang und Anforderungen:

CER-Richtlinie DORA
Fokus Physische Resilienz kritischer Infrastruktur Digitale Resilienz und IKT-Management
Branchen 11 kritische Sektoren Finanzsektor
Primäre Risiken Physische Bedrohungen Cyberbedrohungen
Wichtige Durchsetzungsstelle Nationale Regulierungsbehörden in jedem EU-Land Europäische Aufsichtsbehörden (ESAs) und nationale Finanzaufsichtsbehörden

Strafen bei Nichteinhaltung

 Nationale Behörden können Bußgelder verhängen oder Lizenzen entziehen Hohe finanzielle Strafen und aufsichtsrechtliche Durchsetzungsmaßnahmen
Anforderung CER-Richtlinie DORA
Risikobewertungen Obligatorisch alle vier Jahre, physische Risiken für den Betrieb abdeckend Obligatorische kontinuierliche IKT-Risikoüberwachung und -tests
Meldung von Vorfällen Vorfälle der physischen Sicherheit müssen den nationalen Behörden gemeldet werden Vorfälle im Bereich Cybersicherheit und IKT müssen den Finanzaufsichtsbehörden gemeldet werden
Meldung von Vorfällen Einheiten müssen Kontinuitätsstrategien für kritische physische Infrastruktur entwickeln Unternehmen müssen volle digitale operationelle Resilienz gewährleisten, einschließlich Systemredundanzen
Drittanbieter- und Lieferkettenrisiko Kritische Lieferanten müssen auf physische Sicherheitsresilienz bewertet werden Obligatorische Aufsicht über IKT-Drittanbieter, einschließlich Cloud-Diensten

Was sollten Sie jetzt tun?

Ob Sie DORA einhalten, sich auf CER vorbereiten oder beides: Hier sind fünf Schritte, um die Nase vorn zu haben:

1. Bestätigen Sie, ob Sie betroffen sind.

  • Wenn Sie in einem kritischen Sektor tätig sind, gilt CER für Sie.
  • Wenn Sie im Finanzsektor tätig sind, gilt DORA für Sie.

Wenn Sie sich noch unsicher sind, konsultieren Sie Ihre Compliance- oder Rechtsteams zur Bestätigung.

2. Identifizieren Sie die richtigen Stakeholder.

Diese Vorschriften werden mehrere Abteilungen betreffen. Sie müssen Teams aus den Bereichen Risikomanagement, Business Continuity Management (BCM), IT, Compliance und Drittanbieter-Risikomanagement (TPRM) einbeziehen. Genauer gesagt, werden sie Folgendes umfassen:

  • CER: Teams für Enterprise Risk Management (ERM), BCM und Lieferkettenmanagement.
  • DORA: Teams für Risiko, Cybersicherheit, IT und Compliance.

3. Führen Sie eine Gap-Analyse durch.

Bewerten Sie, wo Ihre aktuellen Systeme die Anforderungen der jeweiligen Vorschrift nicht erfüllen. Konzentrieren Sie sich auf die folgenden Bereiche:

  • Physische Risikobewertungen (CER)
  • Kontinuierliche IKT-Überwachung und -Tests digitaler Systeme (DORA)
  • Bewertungen von Drittanbietern (beide)

4. Teamübergreifende Integration.

Um die Einhaltung von CER und/oder DORA zu optimieren, integrieren Sie Ihre Governance-, Risiko- und Compliance (GRC)-Funktionen mit Ihren BCM- und Resilienz-Bemühungen.

  • Gemeinsame Systeme: Implementieren Sie eine einheitliche GRC- und Resilienz-Software, um Risikobewertungen, Drittanbieter-Risiken, Vorfälle und den Compliance-Status in beiden Bereichen zu verfolgen. Dies stellt sicher, dass ERM-, TPRM- und Compliance-Daten alle miteinander verbunden sind und eine einzige Quelle der Wahrheit bieten.
  • Regelmäßige Abstimmung: Planen Sie regelmäßige, funktionsübergreifende Meetings zwischen Risiko-, Compliance-, IT-, Cybersicherheits- und BCM-Teams. Dies hält alle über Fortschritte, Fristen und Verbesserungsbereiche auf dem Laufenden.

5. Erstellen Sie eine Compliance-Roadmap.

DORA trat 2025 in Kraft. CER hingegen hat einen Compliance-Zeitplan mit Fristen, die 2026 beginnen und bis 2027 andauern. Ein frühzeitiger Start hilft Ihrem Unternehmen, einen Last-Minute-Ansturm zu vermeiden.

Wie Risikomanagement-Software hilft

Mit neuen Vorschriften Schritt zu halten, kann entmutigend sein, aber die richtigen Tools können den Prozess vereinfachen. So kann Risikomanagement-Software Ihre Compliance stärken:

  • Zentralisieren Sie all Ihre Risikodaten: Erhalten Sie ein vollständiges Bild Ihrer Compliance mit beiden Vorschriften, indem Sie Ihre Risikodaten – physisch, digital, von Drittanbietern und mehr – an einem Ort haben.
  • Führen Sie Gap-Analysen und kontinuierliche Überwachung durch: Bei DORA ist dies entscheidend für das laufende IKT-Risikomanagement, während es bei CER hilft, die physische Sicherheitsresilienz zu verfolgen und zu bewerten.
  • Automatisieren Sie die Berichterstattung und Vorfallsverfolgung: Beide Vorschriften erfordern eine zeitnahe Meldung von Vorfällen; Software automatisiert diesen Prozess und stellt sicher, dass Vorfälle schnell verfolgt und gemeldet werden.
  • Teamübergreifende Zusammenarbeit: Compliance erfordert den Input mehrerer Teams, und eine Risikomanagement-Plattform ermöglicht allen Stakeholdern die Zusammenarbeit auf derselben Plattform und gewährleistet die Abstimmung.
  • Verwalten Sie Ihr Drittanbieter-Risiko: Eine Softwareplattform kann die Resilienz Ihrer Lieferanten über physische und digitale Systeme hinweg bewerten und überwachen.

DORA ist bereits in Kraft, und die CER-Fristen rücken schnell näher. Jetzt ist es an der Zeit, Ihre Risikoposition zu bewerten, Ihre Teams abzustimmen und sicherzustellen, dass Ihre Compliance-Strategie steht. Indem Sie verstehen, welche Vorschriften für Sie gelten, welche Maßnahmen zu ergreifen sind und wie Sie den Prozess optimieren können, können Sie sicherstellen, dass Ihre Organisation konform – und resilient – ist.

Weitere Informationen zur Resilienz finden Sie in GRC: Der definitive Leitfaden, und erfahren Sie mehr über die Operationalisierung dieser Vorschriften in Ihrem Unternehmen, indem Sie unsere CER-Richtlinie und DORA-Factsheets herunterladen.