DORA-Umsetzung: Schritt-für-Schritt-Leitfaden für Finanzunternehmen.
Ein praxiserprobter 10-Schritte-Fahrplan, um Ihr Finanzunternehmen DORA-konform zu machen – mit den fünf Säulen, Anwendungsbereich, BaFin-Meldewegen, Resilienztests (TLPT), Drittparteienrisiko, Fristen und Tool-Unterstützung.
Basierend auf Verordnung (EU) 2022/2554 (DORA), anwendbar seit dem 17. Januar 2025
DORA in 30 Sekunden.
DORA (Digital Operational Resilience Act) ist die EU-Verordnung, die das IKT-Risikomanagement im Finanzsektor europaweit vereinheitlicht. Sie gilt unmittelbar in allen Mitgliedstaaten und erfasst Banken, Versicherer, Zahlungs- und E-Geld-Institute, Wertpapierfirmen, Krypto-Dienstleister, Kapitalverwaltungsgesellschaften sowie die kritischen IKT-Drittdienstleister, die sie beliefern.
Sie müssen einen IKT-Risikomanagement-Rahmen aufbauen, schwerwiegende Vorfälle klassifizieren und melden, Ihre digitale operative Resilienz testen (bedeutende Institute zusätzlich per TLPT), das Drittparteienrisiko über ein Register und Verträge nach Art. 30 steuern – und das Leitungsorgan trägt die Verantwortung. DORA gilt seit dem 17. Januar 2025 – eine weitere Übergangsfrist gibt es nicht.
Ihr DORA-Umsetzungsfahrplan.
Betroffenheitsanalyse
Prüfen Sie in 30 Minuten: Sind Sie ein „Finanzunternehmen“ im Sinne von Art. 2 DORA – Bank, Versicherer, Zahlungsdienstleister, Krypto-Dienstleister oder kritischer IKT-Drittdienstleister?
Scope und IKT-Asset-Inventar
Erfassen Sie alle IKT-Systeme, -Anwendungen und -Datenflüsse, die kritische oder wichtige Funktionen unterstützen. Ohne vollständiges Asset-Register lässt sich kein DORA-Risikomanagement aufbauen.
IKT-Risikomanagement-Rahmen
Etablieren Sie einen schriftlichen Rahmen nach Art. 6 – Strategie, Governance, Rollen, Risikotoleranz. Das Leitungsorgan trägt die Letztverantwortung und muss den Rahmen genehmigen.
Gap-Analyse gegen die 5 Säulen
Gleichen Sie den Ist-Zustand mit den fünf DORA-Säulen ab: Risikomanagement, Vorfallsmeldung, Resilienztests, Drittparteienrisiko, Informationsaustausch. Lücken priorisieren.
Vorfallsklassifizierung und Meldewege
Definieren Sie Kriterien zur Einstufung schwerwiegender IKT-bezogener Vorfälle und richten Sie die Meldekette zur zuständigen Behörde (in Deutschland: BaFin) ein.
Drittparteienregister aufbauen
Führen Sie ein Informationsregister aller IKT-Drittdienstleister (Art. 28). Vertragliche Mindestklauseln nach Art. 30 prüfen und nachverhandeln – inklusive Audit- und Exit-Rechten.
Resilienztests planen
Etablieren Sie ein Programm für Tests der digitalen operativen Resilienz. Bedeutende Institute müssen zusätzlich alle drei Jahre bedrohungsgeleitete Penetrationstests (TLPT) durchführen.
Business Continuity und Reaktionspläne
Dokumentieren Sie BCM-, Notfall- und Wiederherstellungspläne. Backups, RTO/RPO-Ziele und Krisenkommunikation müssen getestet sein.
Governance und Management-Schulung
Schulen Sie das Leitungsorgan nachweisbar zu IKT-Risiken (Art. 5 Abs. 4). Die Verantwortung ist nicht delegierbar – die Geschäftsleitung haftet persönlich.
Kontinuierliche Überwachung und Nachweis
Automatisieren Sie die Nachweissammlung, überwachen Sie Kontrollen laufend und halten Sie das Register sowie die Meldeprozesse prüfungsfähig gegenüber der BaFin.
Die fünf Säulen der DORA.
- 1IKT-Risikomanagement – Rahmen, Governance, Asset-Register, Kontrollen (Art. 5–16)
- 2Behandlung, Klassifizierung und Meldung IKT-bezogener Vorfälle an die Behörden (Art. 17–23)
- 3Tests der digitalen operativen Resilienz, inkl. bedrohungsgeleiteter Penetrationstests / TLPT (Art. 24–27)
- 4Steuerung des IKT-Drittparteienrisikos – Register, Due Diligence, Vertragsklauseln nach Art. 30 (Art. 28–44)
- 5Austausch von Informationen über Cyberbedrohungen zwischen Finanzunternehmen (Art. 45)
Was wann fällig ist.
- 16. Januar 2023 – DORA in Kraft getreten (EU)
- 17. Januar 2025 – DORA anwendbar; vollständige Compliance ab diesem Datum erwartet
- Unverzüglich nach Einstufung – Erstmeldung eines schwerwiegenden IKT-bezogenen Vorfalls
- Innerhalb der gesetzlichen Fristen – Zwischen- und Abschlussbericht an die zuständige Behörde
- Alle 3 Jahre – bedrohungsgeleitete Penetrationstests (TLPT) für bedeutende Institute
- Jährlich – Überprüfung des IKT-Risikorahmens, des Registers und der Resilienztests
DORA-Umsetzung in Wochen – nicht in einem Jahr.
- ✓Vorgefertigte DORA-Control-Bibliothek nach den fünf Säulen und RTS/ITS
- ✓Automatisierte Nachweise aus 100+ Tools (AWS, Azure, M365, Okta) – ohne Screenshots
- ✓IKT-Drittparteienregister mit Nachverfolgung der Vertragsklauseln nach Art. 30
- ✓Workflows zur Vorfallsklassifizierung und -meldung mit Fristenüberwachung
- ✓Framework-übergreifend: NIS2, ISO 27001 und DSGVO parallel aus denselben Nachweisen abgedeckt
Häufige Fragen zur DORA-Umsetzung
Was ist DORA?+
DORA (Digital Operational Resilience Act, Verordnung (EU) 2022/2554) ist die EU-Verordnung, die das Management von IKT-Risiken im gesamten Finanzsektor europaweit vereinheitlicht. Sie trat am 16. Januar 2023 in Kraft und ist seit dem 17. Januar 2025 unmittelbar in allen EU-Mitgliedstaaten anwendbar. DORA stützt sich auf fünf Säulen: IKT-Risikomanagement, Behandlung und Meldung IKT-bezogener Vorfälle, Tests der digitalen operativen Resilienz, Steuerung des IKT-Drittparteienrisikos und Informationsaustausch über Cyberbedrohungen.
Bis wann muss DORA umgesetzt werden?+
DORA gilt seit dem 17. Januar 2025 vollständig. Anders als bei einer Richtlinie gibt es keine nationale Umsetzungsfrist und keine weitere Übergangsfrist – die Verordnung ist direkt anwendbar. Finanzunternehmen mussten ihren IKT-Risikomanagement-Rahmen, ihr Informationsregister der IKT-Drittdienstleister und ihre Meldeprozesse zu diesem Stichtag betriebsbereit haben. Die zuständigen Behörden, in Deutschland die BaFin, prüfen die Einhaltung laufend.
Wer ist von DORA betroffen?+
DORA erfasst nach Art. 2 nahezu den gesamten Finanzsektor: Kreditinstitute (Banken), Zahlungs- und E-Geld-Institute, Wertpapierfirmen, Krypto-Dienstleister (CASP), Versicherungs- und Rückversicherungsunternehmen, Versicherungsvermittler, Kapitalverwaltungsgesellschaften und Fondsverwalter, zentrale Gegenparteien, Handelsplätze, Ratingagenturen sowie Schwarmfinanzierungsdienstleister. Zusätzlich werden kritische IKT-Drittdienstleister (z. B. große Cloud-Anbieter) durch ein eigenes Aufsichtsregime der europäischen Aufsichtsbehörden direkt überwacht. Für Kleinstunternehmen gilt ein vereinfachter Rahmen (Verhältnismäßigkeitsprinzip).
Was sind die fünf Säulen von DORA?+
(1) IKT-Risikomanagement (Art. 5–16): ein vom Leitungsorgan verantworteter Rahmen mit Strategie, Governance, Asset-Register und Kontrollen. (2) Behandlung, Klassifizierung und Meldung IKT-bezogener Vorfälle (Art. 17–23): einheitliche Kriterien und Meldewege an die zuständige Behörde. (3) Tests der digitalen operativen Resilienz (Art. 24–27): regelmäßige Tests, für bedeutende Institute zusätzlich bedrohungsgeleitete Penetrationstests (TLPT) alle drei Jahre. (4) Steuerung des IKT-Drittparteienrisikos (Art. 28–44): Informationsregister, Due Diligence und verpflichtende Vertragsklauseln nach Art. 30. (5) Informationsaustausch über Cyberbedrohungen (Art. 45): freiwilliger Austausch zwischen Finanzunternehmen.
Welche Meldepflichten gelten bei IKT-Vorfällen unter DORA?+
Finanzunternehmen müssen schwerwiegende IKT-bezogene Vorfälle anhand harmonisierter Kriterien (Anzahl betroffener Kunden, Datenverlust, Dauer, geografische Ausbreitung, wirtschaftliche Auswirkung) klassifizieren und der zuständigen Behörde melden. Der Meldeprozess ist mehrstufig: eine Erstmeldung unverzüglich nach Einstufung, ein Zwischenbericht bei wesentlichen Statusänderungen sowie ein Abschlussbericht nach Behebung. Die konkreten Fristen ergeben sich aus den technischen Regulierungsstandards (RTS/ITS) der europäischen Aufsichtsbehörden. In Deutschland ist die BaFin der zentrale Meldeempfänger.
Was ist TLPT und wen betrifft es?+
TLPT (Threat-Led Penetration Testing) sind bedrohungsgeleitete Penetrationstests nach dem TIBER-EU-Rahmen. Bedeutende Finanzunternehmen, die von der zuständigen Behörde benannt werden, müssen mindestens alle drei Jahre einen TLPT an ihren produktiven, kritische Funktionen unterstützenden Systemen durchführen. Anders als ein normaler Penetrationstest bildet TLPT realistische Angreiferszenarien (Threat Intelligence) ab und wird von qualifizierten, unabhängigen Testern durchgeführt. Kleinere Institute führen reguläre Resilienztests durch, sind aber nicht zwingend zu TLPT verpflichtet.
Wie unterscheiden sich DORA und NIS2?+
DORA ist eine Verordnung speziell für den Finanzsektor und gilt als Lex specialis – wo DORA greift, verdrängt es die NIS2-Anforderungen für dieselben Pflichten. NIS2 ist eine sektorübergreifende Richtlinie für kritische und wichtige Einrichtungen in 18 Sektoren und wird in Deutschland über das NIS2UmsuCG umgesetzt. Ein Finanzunternehmen, das vollständig unter DORA fällt, erfüllt seine Cybersicherheitspflichten primär über DORA. Viele Kontrollen (Risikomanagement, Incident Response, Lieferkettensicherheit) überschneiden sich jedoch – eine framework-übergreifende Plattform deckt beide Regime aus denselben Nachweisen ab.
Welche Rolle spielt eine DORA-Software bei der Umsetzung?+
Eine DORA-Software bildet die fünf Säulen als Control-Katalog ab, sammelt kontinuierlich Nachweise aus Ihren Systemen (AWS, Azure, Microsoft 365, Okta etc.), führt das Informationsregister der IKT-Drittdienstleister samt Art.-30-Vertragsklauseln, automatisiert die Vorfallsklassifizierung und -meldung und erzeugt prüfungsfähige Berichte für die BaFin. Ohne Tool-Unterstützung ist DORA bei einem mittelgroßen Finanzunternehmen kaum dauerhaft aufrechtzuerhalten. Matproof bündelt dies und deckt NIS2, ISO 27001 und DSGVO parallel aus denselben Nachweisen ab.
Bereit für die DORA-Umsetzung?
30-minütige Demo. Wir zeigen Ihnen Ihren Anwendungsbereich, die fünf Säulen, Ihr Drittparteienregister und einen realistischen Umsetzungsplan.