Digitale Resilienz beginnt in der Softwareentwicklung

Der Digital Operational Resilience Act (DORA) verpflichtet Finanzunternehmen dazu, ihre digitale Widerstandsfähigkeit systematisch zu verbessern.

Was dabei oft unterschätzt wird: Ein grosser Teil der geforderten Resilienz entsteht bereits in der Softwareentwicklung, nicht erst im Betrieb.

Warum DORA für Softwareentwicklung relevant ist

DORA ist keine reine IT- oder Compliance-Verordnung.
Sie zielt auf die Beherrschung von IKT-Risiken und damit direkt auf:

Softwarearchitektur
Entwicklungsprozesse
Abhängigkeiten und Drittparteien
Änderungs- und Release-Prozesse

Viele operative Risiken, die DORA adressiert, entstehen lange vor dem produktiven Betrieb: durch Design- und Entwicklungsentscheidungen.

Bin ich von DORA betroffen?

Direkt betroffen sind:

Banken, Versicherungen und andere Finanzunternehmen in der EU
Finanzmarktinfrastrukturen
Zahlungsdienstleister und FinTechs

Indirekt betroffen sind:

Software- und SaaS-Anbieter
IT- und Entwicklungsdienstleister
Cloud- und Plattformanbieter
Unternehmen, die als IKT-Drittparteien für Finanzunternehmen tätig sind

In der Praxis bedeutet das: Auch viele Schweizer Softwareanbieter geraten durch ihre Kunden unter DORA-Druck.

DORA-Kernanforderungen aus AppSec-Sicht

DORA fordert unter anderem:

ein strukturiertes IKT-Risikomanagement
sichere und nachvollziehbare Systeme
kontrollierte Änderungen
belastbare Nachweise über Sicherheitsmassnahmen

Aus Sicht der Softwareentwicklung bedeutet das:

Risiken müssen verstanden, nicht nur dokumentiert werden
Sicherheitsmassnahmen müssen angemessen und überprüfbar sein
Entscheidungen müssen nachvollziehbar begründet werden

IKT-Risikomanagement beginnt in der Architektur

IKT-Risiken sind nicht gleich Incidents.

Viele Risiken entstehen durch:

komplexe oder unklare Architekturen
implizite Abhängigkeiten
fehlende Bedrohungsanalysen
unkontrollierte Änderungen

Application Security wirkt hier präventiv, indem Risiken früh identifiziert und strukturell adressiert werden anstatt sie später zu «patchen».

IKT-Drittparteien & Supply Chain

Ein zentrales Element von DORA ist der Umgang mit IKT-Drittparteien.

Für Softwareentwicklung heisst das konkret:

Abhängigkeiten müssen bekannt und bewertet sein
Open-Source-Komponenten sind Teil der Lieferkette
Build-, Test- und Deployment-Prozesse gehören zur Sicherheitsbetrachtung
Kunden erwarten transparente Nachweise, nicht nur Versprechen

Supply-Chain Security wird damit zu einem wesentlichen Compliance- und Wettbewerbsfaktor.

Testing, Resilienz & Secure SDLC

DORA fordert regelmässige Tests. Aber Tests allein reichen nicht aus.

Wichtig ist die Unterscheidung:

Tests ≠ Sicherheit
Resilienz ≠ Verfügbarkeit
Pentests ≠ Risikomanagement

Ein Secure Software Development Lifecycle (SSDLC) schafft den Rahmen, um:

Sicherheitsmassnahmen systematisch zu integrieren
Risiken kontinuierlich zu bewerten
Nachweise nachvollziehbar zu erbringen

Mein Lösungsansatz: DORA praxisnah umsetzen

Ich unterstütze Unternehmen dabei, DORA-Anforderungen konkret und umsetzbar in ihre Softwareentwicklung zu integrieren.

Einordnung & Gap-Analyse

Wo stehen Sie heute?
Welche DORA-relevanten Risiken bestehen?
Welche Massnahmen sind bereits vorhanden?

Ableitung einer Roadmap

priorisierte, realistische Massnahmen
Fokus auf Wirkung und Nachweisbarkeit
keine Tool-getriebenen Schnellschüsse

Umsetzung im Team

Übersetzung regulatorischer Anforderungen in Entwicklungsrealität
Begleitung der Teams
nachhaltige Verankerung in Prozessen und Entscheidungen

Weiterführende Schritte

Je nach Ausgangslage sind folgende Einstiege sinnvoll:

AppSec Assessments: Strukturierte Einordnung des aktuellen Reifegrads im Kontext regulatorischer Anforderungen
SSDLC & DevSecOps Consulting: Etablierung nachvollziehbarer Sicherheitsprozesse entlang des Entwicklungszyklus
Supply-Chain Security: Umgang mit Abhängigkeiten, Drittparteien und regulatorischen Nachweisen
Threat-Modeling: Systematische Identifikation und Bewertung relevanter Risiken

Diese Leistungen lassen sich einzeln nutzen oder sinnvoll kombinieren.

Erstgespräch buchen

FAQ

Gilt DORA auch für Softwareanbieter?

Direkt gilt DORA für Finanzunternehmen.
Indirekt sind jedoch viele Softwareanbieter betroffen, wenn sie als IKT-Drittparteien für regulierte Unternehmen tätig sind.

Was verlangt DORA konkret von Softwareentwicklern?

DORA fordert keine bestimmten Tools, sondern nachvollziehbare Sicherheits- und Risikomanagement-Prozesse.
Für Entwickler bedeutet das u.a. sichere Architektur, kontrollierte Änderungen und dokumentierte Entscheidungen.

Reicht ISO 27001 oder ein Pentest für DORA?

Nein.
ISO 27001 und Pentests können Bausteine sein, ersetzen aber kein durchgängiges IKT-Risikomanagement entlang der Softwareentwicklung.

DORA vs. NIS2 ‐ was ist der Unterschied?

NIS2 adressiert Cybersicherheit branchenübergreifend.
DORA fokussiert sich speziell auf die digitale Resilienz des Finanzsektors und stellt höhere Anforderungen an Nachweise und Drittparteien.