DORA Oversight Guide: Was Finanzunternehmen jetzt über Verschlüsselung und Schlüsselhoheit wissen müssen
Am 15. Juli 2025 veröffentlichten die europäischen Aufsichtsbehörden (ESA) den ersten DORA Oversight Guide: ein entscheidendes Dokument, das die künftige Überwachung kritischer IKT-Drittdienstleister konkretisiert. Im Zentrum: der Aufbau sogenannter Joint Examination Teams (JETs) zur europaweiten Kontrolle von Cloud-Anbietern, Softwarelieferanten und anderen wichtigen Drittparteien.
Doch der Guide enthält weit mehr als nur organisatorische Hinweise. Insbesondere Artikel 5.4.1 des Leitfadens stellt klar: Aufsichtsbehörden dürfen künftig Empfehlungen zu Subcontracting und Verschlüsselungstechnologien aussprechen – mit gravierenden Folgen für alle Finanzunternehmen, die Hyperscaler wie Microsoft, Amazon oder Google nutzen.
Warum das jetzt relevant ist? Weil sich mit Inkrafttreten von DORA im Januar 2025 alle betroffenen Organisationen auf ein neues Kontrollniveau vorbereiten mussten – und die Zeit drängt, falls es noch nicht bereits geschehen ist.
Was steht im DORA Oversight Guide?
Der 74-seitige Leitfaden beschreibt detailliert, wie die ESA (EBA, ESMA und EIOPA) ihre Aufsichtsbefugnisse gegenüber kritischen IKT-Dienstleistern künftig ausüben. Ein zentraler Mechanismus: die Joint Examination Teams (JETs), die grenzüberschreitend Audits, technische Inspektionen und Vor-Ort-Besuche durchführen.
Ziel ist es, einheitliche Standards durchzusetzen und sicherzustellen, dass Anbieter kritischer Infrastruktur das Risiko- und Resilienzprofil des Finanzsektors nicht gefährden.
Besonders relevant: Die ESA kann Empfehlungen zu kritischen Sicherheitsmaßnahmen aussprechen, darunter:
- Sicherheitsvorgaben für Subunternehmer (Subcontracting),
- Verwendung starker Verschlüsselung,
- Nachweis der Schlüsselhoheit durch das Finanzunternehmen selbst.
Artikel 5.4.1 – Der Schlüssel zur Schlüsselkontrolle
Artikel 5.4.1 des Oversight Guides ist besonders bedeutsam. Dort heißt es sinngemäß: Aufsichtsbehörden dürfen Empfehlungen abgeben, die auch kryptografische Schutzmaßnahmen betreffen, insbesondere im Hinblick auf Subdienstleister und ausgelagerte IT-Umgebungen.
Das bedeutet konkret: Wenn ein Finanzunternehmen Cloud-Dienste von Microsoft, AWS oder Google nutzt, muss es in der Lage sein, jederzeit die Hoheit über die verwendeten Verschlüsselungsschlüssel nachzuweisen – auch bei redundanten oder ausgelagerten Systemen.
Damit rückt ein bislang oft vernachlässigter Punkt in den Fokus:
Wer kontrolliert Ihre Daten und wer hält die Schlüssel in der Hand?
Warum klassische Cloud-Verschlüsselung nicht mehr ausreicht
Viele Finanzunternehmen setzen bereits auf Verschlüsselung. Doch oft werden Schlüssel in der Cloud selbst gespeichert oder durch den Anbieter verwaltet. Das Problem:
- Die Datenhoheit ist nicht vollständig gewährleistet.
- Im Fall von Subcontracting (z. B. bei global verteilten Rechenzentren) fehlt der Überblick.
- Die Aufsichtsbehörden könnten dies als Mangel werten, inkl. Compliance-Risiken.
Die Anforderungen aus dem DORA Oversight Guide verlangen ein neues Niveau an Transparenz und Kontrolle.
Die Lösung: eperi sEcure – Schlüsselhoheit bleibt bei Ihnen
Mit eperi sEcure setzen Sie auf eine Verschlüsselungslösung, die perfekt auf die Anforderungen aus DORA zugeschnitten ist. Die Software verschlüsselt Ihre Daten bevor sie die Cloud erreichen – Client-seitig und formaterhaltend, damit sie im Hintergrund weiterverarbeitet werden können.
Was eperi sEcure besonders macht:
Schlüsselkontrolle bleibt vollständig bei Ihnen: weder Cloud-Anbieter noch Dritte haben Zugriff.
Kompatibel mit Microsoft 365, Salesforce und anderen Web Applikationen.
Erfüllt strengste regulatorische Vorgaben – inklusive DORA, NIS2, DSGVO.
Keine Funktionseinbußen – Suchfunktionen, Sortierung und Kollaboration
Mit dieser Architektur können Sie gegenüber Aufsichtsbehörden nachweisen, dass die kryptografischen Schutzmaßnahmen vollständig unter Ihrer Kontrolle stehen – genau das, was Artikel 5.4.1 fordert.
Fazit: Wer seine Schlüssel aus der Hand gibt, gibt auch die Kontrolle ab
Der neue DORA Oversight Guide zeigt unmissverständlich: Die Aufsichtsbehörden nehmen die ITK-Drittdienstleister künftig genau unter die Lupe. Für Finanzunternehmen bedeutet das: Nur wer Datenhoheit und Schlüsselkontrolle nachweisen kann, erfüllt die Anforderungen.
Mit eperi sEcure behalten Sie die volle Kontrolle: technisch, rechtlich und organisatorisch. Und schaffen die Voraussetzungen für eine zukunftssichere, resiliente IT-Strategie im Finanzumfeld.
Jetzt mehr erfahren: Wie eperi sEcure hilft, DORA-konform zu verschlüsseln und Ihre Schlüssel dort bleiben, wo sie hingehören: bei Ihnen.
Möchten Sie den DORA Oversight Guide selbst lesen?
📄 Hier geht’s zum offiziellen Dokument der ESA (PDF)
Hat Ihnen dieser Artikel gefallen?
Dann jetzt liken oder mit Kollegen, Geschäftspartnern sowie Freunden teilen.
Cyber-Risiken absichern
Cyberangriffe sind längst Alltag – doch wer im Ernstfall auf die Unterstützung seiner Cyberversicherung hofft, muss heute mehr denn je konkrete Sicherheitsnachweise erbringen. Verschlüsselung ist dabei kein „Nice to have“ mehr, sondern Voraussetzung. In unserem Whitepaper erfahren Sie, welche Anforderungen die aktuellen AVB Cyber 2024 stellen, worauf Versicherer besonders achten und wie Sie mit eperi sEcure Ihre Daten nachweislich absichern.
Bereiten Sie Ihr Unternehmen optimal vor – bevor es zum Schadenfall kommt. Jetzt kostenfrei herunterladen und informiert entscheiden.
