Digital Operational Resilience Act (DORA) gilt ab dem 17.01.2025 – Was ist DORA und warum ist die Umsetzung wichtig?
Der Digital Operational Resilience Act (DORA) soll die Widerstandsfähigkeit für Versicherer, Banken und Kritische Infrastruktur verbessern.
Interne Prozesse sollten geprüft werden und fehlende Prozesse im Rahmen der IT-Compliance bereits jetzt angestoßen und optimiert werden
Die Regelungen der DORA sind bereits seit dem 16.01.2023 in Kraft getreten und gilt aufgrund eines Übergangszeitraums verbindlich ab dem 17.01.2025.
In diesem DORA-Act wird die digitale Resilienz in den Fokus gerückt. Die DORA ist die Verordnung ( EU ) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act), der auch andere Bereiche, wie die Versicherungswirtschaft, betreffen kann. Dabei ist aufgrund der DORA-Vorgaben ein Technischer Regulierungsstandard (auf Englisch regulatory technical standard; RTS) von den betroffenen Akteuren zu berücksichtigen und einzuhalten.
Es handelt sich dabei um ein Rahmenwerk, das die digitale Widerstandsfähigkeit bzw. Wettbewerbsfähigkeit aller Marktteilnehmenden in der Finanzbranche sicherstellen soll und gleichzeitig die digitale Transformation fördert. Hier steht die zunehmende Abhängigkeit des Finanzsektors von der IKT steht im Fokus. Für die Umsetzung der DORA-Regelungen sind daher bei den betoffenen Akteuren entsprechende interne Prozesse umzusetzen, die durchaus komplex sein können und für die ein erhöhter personeller und finanzieller Auwand bei den betroffenen Unternehmen, Organisationen und Institutionen anzusetzren und einzuplanen ist. Dies insbesondere auch deshalb, da sich die Vorgaben der DORA durchaus mit anderen EU-Regelungen der Kommission verzahnen können bzw. von diesen abzugrenzen sind, wie z.B. den Regelungen der KritisV oder NIS-2.
Ab wann ist das DORA-Regelwerk zu beachten?
Das Regelwerk der DORA ist ab dem 17.01.2025 für die betroffenen Unternehmen und betroffenen Institutionen umzusetzen.
Denn im Gegensatz zu einer EU-Richtlinie, die für die Wirksamkeit regelmäßig noch eines Umsetzungsgesetzes im jeweiligen EU-Staat bedürfen, gelten EU-Verordnungen, wie die DORA, unmittelbar und ohne weiteren gesetzlichen Umsetzungsakt. Daher müssen EU-Verordnungen – wie die DORA – unmittelbar in den EU-Staaten von den betroffenen Unternehmen, Institutionen und Organisationen direkt berücksichtigt werden.
Finanzunternehmen und Versicherungsunternehmen und Teile der kritischen Infrastruktur müssen deshalb diese DORA Verordnung ab dem 17. Januar 2025 verpflichtend einhalten.
Eine frühzeitige Beschäftigung mit dem Thema DORA ist wichtig und ratsam, um die intern notwendigen Prozesse nicht quasi auf den letzten Drücker umsetzen zu müssen oder die Umsetzung verspätet vorzunehmen.
Denn bei nicht rechtzeitiger Umsetzung können teils hohe Bußgelder drohen und für Banken, Versicherungen und Unternehmen bzw. Institutionen, die zur kritischen Infrastruktur zählen, daher erhebliche rechtliche und finanzielle Risiken bestehen.
Für wen gilt der Digital Resilience Act (DORA) und welche Unternehmen sind nicht betroffen?
Von DORA sind nur Einrichtungen mit weniger als 15 Versorgungsanwärtern komplett ausgenommen. Geringere Anforderungen gelten bei IT-Risikomanagement für Einrichtungen mit weniger als 1000 Versorgungsanwärtern.
Die DORA-Verordnung findet im Wesentlichen auf zwei Arten von Unternehmen Anwendung: Einerseits auf Finanzdienstleistungsunternehmen und andererseits auf IKT-Drittanbieter.
IKT-Drittanbieter sind dabei Unternehmen, die digitale Dienste im Kontext zur Finanzwirtschaft anbieten, beispielsweise Betreiber von Rechenzentren, Softwareunternehmen oder Datenauswertungsdienstleister. Finanzdienstleistungsunternehmen und ITK-Drittanbieter im Sinne der Verordnung sind in Artikel 2 Absatz 1 DORA aufgelistet.
Neben „klassischen Vertretern“ wie Kreditinstituten, Zahlungsdienstleistern, (Rück)Versicherungsunternehmen und ITK-Dienstleistern und damit Drittdienstleister, fallen auch beispielsweise Krypto- Dienstleister, Versicherungsvermittler und Datenbereitstellungsdienste darunter. Es lässt sich festhalten, dass die DORA-Verordnung einen weiten Adressatenkreis umfasst, um so effektiv ihr Ziel, eine Stärkung des Europäischen Finanzsektors zu erreichen.
Ein paar wenige Ausnahmen sind in Artikel 2 Absatz 3 DORA geregelt. So fallen beispielweise Verwalter alternativer Investmentfonds oder Einrichtungen der betrieblichen Altersversorgung, die Altersversorgungssysteme mit insgesamt weniger als 15 Versorgungsanwärtern betreiben nicht darunter.
Zusätzlich spezifiziert DORA, dass betroffene Akteure über ein geeignetes Krisenmanagement verfügen müssen, das nicht nur technische, sondern auch organisatorische Maßnahmen umfasst. Dies schließt die Verpflichtung ein, ITKDrittanbieter systematisch zu überwachen, um sicherzustellen, dass deren Dienstleistungen den regulatorischen Anforderungen entsprechen.
Nur wenn ein Unternehmen oder eine Instititution oder Organisation nicht in den Anwendungsbereich der DORA fällt müssen die Regelungen der DORA nicht beachtet werden. Es kann für möglicherweise betroffene Unternehmen, Institutionen und Organisationen daher sinnvoll sein, im ersten Schritt zu prüfen, ob überhaupt der Anwendungsbereich im Einzelfall überhaupt eröffnet ist. Denn ist dies nicht der Fall, ist man gar nicht von der Umsetzung der DORA-Regelungen betroffen, muss die Vorschriften der DORA daher auch nicht beachten und die DORA hat keine Auswirkungen für Ihr Unternehmen, Ihre Institution oder Ihre Organisation. Die Frage des Anwendungsbereichs kann sich beispielsweise für bestimmte Finanzunternehmen, Versicherungen oder auch Versicherungsvermittler im Einzelfall stellen. Dies sollte daher im ersten Schritt überprüft werden.
Ist der Anwendungsbereich jedoch eröffnet, sind die Regelungen der DORA zu beachten, da insbesondere die BaFin als Aufsichtsbehörde die Einhaltung der Regelungen und Vorschriften der DORA überwacht und die Aufsicht darüber ausübt, dass die von der EU-Kommission und der EU mit der DORA verfolgten Ziele und Vorgaben eingehalten werden, insbesondere zur Abwehr von Cyberbedrohungen.
Wie ist DORA aufgebaut?
DORA umfasst insgesamt sechs Kapitel sowie 45 Artikel. Diese werden im Folgenden separat aufgelistet, da diese sehr speziell sind und im jeweiligen Kapitel zu untersuchen sind.
Diese sind
- Anforderungen an die Governance
- Anforderungen an das IKT-Risikomanagement (Art. 5-16)
- Meldung IKT-bezogener Vorfälle (Art. 17-23)
- Prüfung der digitalen Betriebsstabilität/Testen der digitalen operationalen Resilienz (Art. 24-27)
- IKT-Drittparteienrisiko (Art. 28-44)
- Informationsaustausch (Art. 45)
Wesentliche Inhalte der DORA im Einzelnen:
- IKT-Risikomanagement:
Finanzinstitute sind verpflichtet, umfassende IKT-Risikomanagementsysteme zu implementieren. Diese Systeme müssen sicherstellen, dass Risiken frühzeitig erkannt, bewertet und gemindert werden.
Dazu gehört die regelmäßige Überprüfung und Aktualisierung der Sicherheitsmaßnahmen sowie die Schulung des Personals in Bezug auf Cyberbedrohungen und Risikominderungstechniken.
Insbesondere Finanzinstitute müssen auch sicherstellen, dass sie über geeignete Notfallpläne verfügen, um im Falle eines IKTVorfalls schnell und effizient reagieren zu können.
Die Regelungen der DORA verlangen hier einen risikobasierten Ansatz, der sich nicht nur auf bekannte Bedrohungen konzentriert, sondern auch neue und potenzielle Risiken berücksichtigt, die durch die fortschreitende Digitalisierung entstehen können. Dabei wird ein Standardisierungsrahmen empfohlen, um länderübergreifende Konsistenz in der Bewertung und Handhabung von IKT-Risiken zu gewährleisten.
- IKT-Vorfälle und Meldungen:
Die EU-Verordnung der DORA legt fest, dass schwerwiegende IKT-Vorfälle unverzüglich den zuständigen Aufsichtsbehörden gemeldet werden müssen.
In Deutschland ist die BaFin zur Aufsicht zuständig. Dies umfasst die detaillierte Dokumentation von Vorfällen, ihre Ursachenanalyse und die ergriffenen Gegenmaßnahmen.
Finanzinstitute müssen sicherstellen, dass ihre Meldesysteme robust und effizient sind, um eine schnelle Reaktion auf Vorfälle zu ermöglichen. Zudem müssen sie regelmäßig Berichte über IKTVorfälle und deren Bewältigung an die Aufsichtsbehörden übermitteln.
Meldesysteme müssen nicht nur Vorfälle erfassen, sondern auch eine automatisierte Analyse von Bedrohungsdaten ermöglichen, um zukünftige Vorfälle proaktiv zu verhindern. Zudem wird die Einführung eines zentralisierten Incident-ManagementTools empfohlen, das sowohl interne Prozesse als auch externe Meldepflichten unterstützt.
- Digitale betriebliche Resilienz-Tests:
Insbesondere Finanzinstitute müssen regelmäßige Resilienz-Tests durchführen, um die Wirksamkeit ihrer IKT-Sicherheitsmaßnahmen zu überprüfen.
Diese Tests sollen sowohl interne Prüfungen als auch sektorspezifische Tests umfassen, die von den Aufsichtsbehörden organisiert werden.
Ziel dieser Tests ist es, Schwachstellen zu identifizieren und die Belastbarkeit der Systeme zu gewährleisten.
Finanzinstitute müssen außerdem sicherstellen, dass sie aus den Testergebnissen lernen und kontinuierlich Verbesserungen implementieren.
Resilienz-Tests sollten auch Worst-Case-Szenarien, wie groß angelegte koordinierte Cyberangriffe oder den gleichzeitigen Ausfall mehrerer kritischer Systeme, umfassen.
Dies kann beispielsweise softwareseitige sog. Penetrationstests und die Prüfung von sog. gehärteten Systemen umfassen. Dies ist regelmäßig mit erhöhtem technischen Aufwand und damit auch einem gesteigertem personellen und finanziellen Aufwand verbunden, so dass betroffene Unternehmen und Akteure dies im Rahmen der Planung und auch der Budgetplanung entsprechend berücksichtigen müssen, wenn sie die DORA-Regelungen zu beachten haben.
Die Verwendung von Threat-Intelligence-Feeds und Red-Teaming-Ansätzen wird als Best Practice empfohlen, um die Belastbarkeit realistisch zu bewerten.
- IKT-Drittanbieter-Risiken:
Die DORA-Verordnung betont die Bedeutung des Managements von Risiken, die von
Drittdienstleistern ausgehen. Finanzinstitute müssen sicherstellen, dass sie die
Risiken, die durch die Zusammenarbeit mit externen IKT-Dienstleistern entstehen,
angemessen managen.
Dies umfasst die Durchführung von Risikobewertungen, die
vertragliche Absicherung und die kontinuierliche Überwachung der Leistungen und
Sicherheitsstandards der Drittanbieter. Finanzinstitute müssen auch sicherstellen,
dass sie über Notfallpläne verfügen, um den Ausfall eines Drittanbieters zu bewältigen.
DORA verlangt von Unternehmen, dass sie eine Risikoklassifikation für alle
Drittanbieter durchführen. Kritische Anbieter, deren Ausfall erhebliche Folgen hätte,
unterliegen einer besonderen Überwachungspflicht.
Zusätzlich wird die Implementierung eines Drittanbieter-Dashboards empfohlen, um Risiken in Echtzeit zu überwachen.
- Informationsaustausch und Zusammenarbeit:
Die DORA Verordnung fordert eine verbesserte Zusammenarbeit und den Informationsaustausch zwischen den Finanzunternehmen und den Aufsichtsbehörden.
Dies soll dazu beitragen, systemische Risiken von Cyberbedrohungen frühzeitig zu erkennen und effektiv zu bekämpfen. Finanzunternehmen müssen sicherstellen, dass sie über Mechanismen verfügen, um Informationen über Cyber-Bedrohungen und IKT Vorfälle schnell und sicher auszutauschen.
Zudem müssen sie an sektorspezifischen Arbeitsgruppen und Kooperationsinitiativen teilnehmen, um ihre Resilienz zu stärken.
Welche Schutzrichtungen verfolgt DORA?
Die Schutzrichtung umfasst vordergründig die operative Widerstandsfähigkeit und Cybersicherheit, ein umfassendes Management von Cybersicherheits- und IKT-Risiken auf den Finanzmärkten zu schaffen. Hier ist anzuraten eine umfassende GAP-Analyse durchzuführen, um gegeben falls Schwachstellen als auch Stärken zu finden sowie eine Priorisierung anzustellen.
Welche Pflichten ergeben sich hieraus?
Die im vorangegangenen Punkte in DORA umfassen in jedem Kapital andere Pflichten.
- Governance
Im Rahmen der Governance ist v.a. die Einrichtung eines internen Governance- und Kontrollrahmens notwendig. Hier steht die Kommunikation im Fokus. Auch kommt dem Leitungsorgan eine entscheidende und tragende Rolle zu, um die die Entscheidungen im Rahmen eines IKT-Risikomanagements klar zu definieren, zu koordinieren und zu überwachen.
- IKT-Risikomanagement
Im Rahmen des IKT-Risikomanagements geht es v.a. um die die Ermittlung des Risikos aber auch um eine Ermittlung der Vernetzung von IKT-Drittanbietern. Zudem ist auch die Übermittlung von Ergebnissen von Notfalltests an Behörden vorgesehen. Herbei ist auch relevant, dass die IKT-Systeme auf dem neuesten Stand gehalten werden müssen.
- Meldung IKT-bezogener Vorfälle
Im Rahmen der Meldung von IKT-bezogenen Vorfällen ist zu berücksichtigen, dass bei Vorfällen solcher Art Angaben zu diesem Vorfall gemacht werden müssen. Zudem müssen die Betroffenen informiert werden.
- Prüfung der digitalen Betriebsstabilität
Die Prüfung der digitalen Betriebsstabilität dient der Etablierung von Programmen zum Testen der digitalen Betriebsstabilität. Unternehmen sollen nämlich vorbereitet sein und etwaige allgemeine Schwächen identifizieren und vermeiden. Hier spielen bedrohungsorientierte Penetrationstests (sog. Deep Dives) eine tragende Rolle. Mittels dieser kann simuliert werden, wie das Unternehmen mit relevanten Angriffen im Unternehmen umgehen kann. Mithilfe dieser Tests können Schwachstellen ausfindig gemacht werden. Wichtig ist hierbei, dass für diese Tests interne/externe Tester in Anspruch genommen werden müssen. Zudem muss sichergestellt werden, dass relevante Drittdienstleister in die bedrohungsorientierten Penetrationstests eingebunden sind.
- Informationsaustausch sowie IKT-Drittparteienaustausch
Im nächsten Punkt geht es um den Informationsaustausch sowie dem IKT-Drittparteienaustausch. In diesem Punkt geht es v.a. um die Verbesserung der operationellen Resilienz und der Sicherheit von Informationssystemen. Angestrebt ist darüber hinaus mehr Transparenz sowie eine umfassende Berichterstattung. Hier ist eine jährliche Berichtspflicht an die Behörde über neue – und auf Anfrage Gesamtübersicht der genutzten – IKT- Drittanbieter in Form eines Registers vorgesehen. Zudem ist eine zeitnahe Unterrichtung der Behörde über geplante Auslagerung von kritischen oder wichtigen Funktionen festgelegt. Hierzu werden von den ESA noch technische Durchführungsstandards bzw. Regulierungsstandards erarbeitet. Zudem darf ein kritischer IKT-Drittanbieter mit Sitz in einem Drittland nur dann in Anspruch genommen werden, wenn 12 Monate nach Einstufung seine Eingliederung in die Union mittels einer Gründung eines Tochterunternehmens vorgenommen wurde.
- Informationsaustausch
Im Rahmen des Informationsaustausches dürfen Betroffene, Institute und Unternehmen Informationen über Cyberbedrohungen austauschen.
- Bezüge zur KI-Verordnung in Fragen der CybersicherheitI
Die DORA legt detaillierte Anforderungen an die Cybersicherheit von Finanzunternehmen fest.
Diese Anforderungen umfassen unter anderem regelmäßige Tests der digitalen Betriebsstabilität und Meldepflichten bei IKT-bezogenen Vorfällen.
Die KI-Verordnung (AI-Act) enthält ebenfalls Bestimmungen zur Cybersicherheit, indem sie sicherstellt, dass KISysteme robust und sicher gegen Manipulationen und Cyberangriffe sind. Beide Verordnungen beinhalten Mechanismen zur Überwachung und Durchsetzung.
DORA sieht die Schaffung eines europäischen Überwachungsrahmens für kritische IKT-Drittanbieter vor, während die KI-Verordnung die Einrichtung nationaler Aufsichtsbehörden und die Zusammenarbeit dieser Behörden innerhalb der EU verlangt.
Die Verbindungen zwischen DORA und der KI-Verordnung zeigen, dass die EU bestrebt ist, eine umfassende und kohärente Regulierung des digitalen und technologischen Raums zu schaffen.
Beide Verordnungen ergänzen sich, indem sie unterschiedliche, aber sich überschneidende Aspekte der digitalen Sicherheit und Resilienz adressieren. Sie fördern gemeinsam ein sicheres, stabiles und vertrauenswürdiges digitales Umfeld in der EU. Nachdem die KI-VO nun am 01.08.2024 in Kraft getreten ist, wird aktuell auf EU-Ebene an der den AI Act ergänzende KI-Haftungsrichtlinie (KI-Haftungs-RL) gearbeitet. Diese EU-Richtlinie hat das Ziel Geschädigten u.a. mit Beweiserleichterungen und weitgehenden Offenlegungsansprüchen gegenüber betroffenen Unternehmen und insbesondere Softwareanbietern, die auch Anbieter von IKT-Leistungen als Drittdienstleister sein können, bei der Durchsetzung ihrer Ansprüche zu unterstützen, hier bleibt allerdings die tatsächliche Ausgestaltung und Umsetzung der KI-Haftungs-RL noch abzuwarten.
Für den Bereich der kritischen Infrastruktur ist außerdem die sog. NIS-2-Richtlinie zu beachten. Die NIS-Richtlinie steht für „Network and Information Security“-Richtlinie und gilt für viele Unternehmen und Organisationen. NIS-2 legt den betroffenen Unternehmen insbesondere in einer Vielzahl von kritischen Sektoren verpflichtende Sicherheitsmaßnahmen und Meldepflichten auf – auch für viele Unternehmen, die bisher nicht betroffen waren. NIS2 ersetzt die NIS Directive von 2016 und zielt auf ein besseres gemeinsames Cybersicherheitsniveau in der EU ab.
Im Vergleich zur vorigen NIS Directive erweitert NIS2 stark den Kreis der betroffenen Unternehmen, die Pflichten und die behördliche Aufsicht. Bei Verstößen gegen die NIS 2 Directive drohen hohe Geldstrafen.
Neben der DORA dürfte daher auch die NIS-2-Richtlinie den regulatorischen Aufwand für betroffene Unternehmen und Institutionen merklich erhöhen. In diesem Zusammenhang dürfte auch Bedeutung von Product Security in Zukunft weiter steigen, gerade im Bereich IoT (Internet of Things), also bei Geräten und Produkten mit digitalen Elementen sind in der Industrie 4.0. Daher sollten sich betroffene Unternehmen beispielsweise im Hinblick auf verpflichtende IT-Sicherheitskennzeichen bereiten jetzt auf die ab 2027 verpflichtende Regulierung des Cyber Resilience Acts der EU (CRA) vorbereiten, insbesondere dann, wenn diese Unternehmen Dienstleister für von DORA und NIS-2 betroffene Unternehmen und Institutionen sind.
Was ist wegen der Vorgaben und Auswirkungen jetzt zu tun?
In jedem Fall sollten Unternehmen, Institutionen und Organisationen aus der Finanzwirtschaft und Versicherungswirtschaft prüfen, ob die Regelung der DORA für sie gelten. Diese Marktakteure sollten daher im ersten Schritt prüfen oder prüfen lassen, ob sie unter den Anwendungsbereich der DORA fallen.
Falls dies der Fall ist, sollte innerhalb der betroffenen Organisation eine GAP-Analyse bzw. eine Bestandsaufnahme der bestehenden Prozesse erfolgen, ob die Vorgaben der DORA ab dem 17.01.2025 vollständig eingehalten werden.
Dazu ist die Durchführung einer internen Bestandsaufnahme und GAP-Analyse sinnvoll.
Im Rahmen dieser GAP-Analyse sollte im Rahmen eines Audits ein Vergleich zwischen dem Ist-Zustand und dem Soll-Zustand vorgenommen werden. Auch spezielle Rechtsfragen rund um das jeweilige Geschäftsfeld der von DORA betroffenen Unternehmen sollten im Zusammenhang geprüft werden, damit die internen Prozesse darauf abgestimmt werden können.
Bei den Punkten, die negativ vom Soll-Zustand abweichen besteht unmittelbarer Handlungsbedarf. Bei Nichtumsetzung der Anforderungen drohen empfindliche Sanktionen, die von den Aufsichtsorganen, wie der BaFin, verfolgt werden können
Denn bei Verstößen können Strafen von bis zu 10 Millionen EUR oder 2 % des weltweiten Vorjahresumsatzes drohen und auch die Aufsichtsorgane, wie der Vorstand von Finanz- und Versicherungsunternehmen unter Umständen direkt in Person betroffen sein.
Im Zusammenhang mit den Vorgaben der DORA ist daher betroffenen Unternehmen ist zusätzlich zu raten, einen Krisenstab einzurichten um im Ernstfall direkt handlungsfähig zu sein und durch regelmäßige Schulungen ein Bewusstsein für sich stetig ändernde Cyberrisiken zu schaffen.
Es ist daher jedem Unternehmen in der Finanzdienstleitungsbranche und ITDienstleistern mit Branchenbezug zu raten, zunächst zu überprüfen, ob sie unter den Anwendungsbereich der DORA-Verordnung fallen.
Ist dies der Fall sollten sie zur Vermeidung von rechtlichen und finanziellen Nachteielen dringend ihre Konformität mit den Anforderungen sicherstellen und interne Prozesse optimieren, sofern dies nicht bereits insgesamt DORA-konform erfolgt ist.
Prüfung im einzelnen Unternehmen
Da hier eine individuelle Implementierung in dem Unternehmen erforderlich ist, sind im Rahmen der interne Prozessoptimierung insbesondere die durch DORA auferlegten Pflichten zu prüfen, aber auch die Überschneidung mit anderen Regelungen, wie z.B. KritisV und NIS-2. Es gibt daneben außerdem teilweise Überlagerungen mit anderen Regelwerken (wie z.B. BAIT, VAIT, KAIT, ZAIT).
Wie können die Pflichten sinnvoll im Unternehmen umgesetzt werden?
Insbesondere Finanzunternehmen sind verpflichtet, ein umfassendes IKT-Risikomanagement einzurichten, das u.a. die folgenden Punkte beinhaltet:
Pflege und Einrichtung von belastbaren IKT-Systemen sowie Werkzeugen, Identifizierung, Klassifizierung und Dokumentation kritischer Funktionen, eine kontinuierliche Überwachung aller Quellen, um rechtzeitig etwaige Präventionsmaßnahmen zu gewährleisten und gegeben falls einzurichten.
Die Regelungen der DORA haben u.a. die Zielsetzung, ein unternehmensinternes Bewusstsein für das Auffinden von anomalen Aktivitäten sowie der Einrichtung von Sicherheitslücken und dem weiterem Vorgehen und Umgang mit solchen Szenarien in den betroffenen Unternehmen zu schaffen.
Gerne unterstützen wir Sie und Ihre Compliance-Abteilung bzw. den Compliance-Officer oder auch Arbeitskreise im Bereich der rechtlichen Begleitung von IT-Projekten, insbesondere bei Spezialfragen wie der Umsetzung der DORA und den damit zusammenhängenden Regelungswerken, ebenso wie auch Unternehmen und Institutionen., die zur kritischen Infrastruktur zählen.