NIS2 & DORA gelten. EU AI Act folgt — Demo buchen
Alle Frameworks
Framework

DORA-Compliance, vollständig automatisiert

Der Digital Operational Resilience Act ist jetzt für EU-Finanzunternehmen verpflichtend. Matproof deckt alle fünf DORA-Säulen ab — vom IKT-Risikomanagement bis zum Art. 28 Dienstleisterregister.

Demo anfragen

Was ist der Digital Operational Resilience Act (DORA)?

Der Digital Operational Resilience Act (DORA), offiziell EU-Verordnung 2022/2554, ist ein umfassendes regulatorisches Rahmenwerk zur Stärkung der digitalen operationellen Resilienz des europäischen Finanzsektors. Im November 2022 vom Europäischen Parlament verabschiedet und seit dem 17. Januar 2025 verbindlich, legt DORA einheitliche Anforderungen fest, damit Finanzunternehmen IKT-bezogene Störungen und Bedrohungen standhalten, darauf reagieren und sich davon erholen können.

DORA wurde als Reaktion auf die wachsende Abhängigkeit von Finanzinstituten von Informations- und Kommunikationstechnologie (IKT) eingeführt. Mit der zunehmenden Digitalisierung von Finanzdienstleistungen ist das potenzielle Auswirkungsrisiko von Cybervorfällen, Systemausfällen und Technologiestörungen auf die Finanzstabilität erheblich gestiegen. Die Verordnung beseitigt den fragmentierten Ansatz zum IKT-Risikomanagement, der zuvor in den EU-Mitgliedstaaten herrschte, durch die Schaffung eines einheitlichen, harmonisierten Rahmenwerks.

Im Gegensatz zu vielen EU-Richtlinien, die eine nationale Umsetzung erfordern, ist DORA eine Verordnung, die unmittelbar und einheitlich in allen EU-Mitgliedstaaten gilt. Das bedeutet, dass Finanzunternehmen in Deutschland, Frankreich, den Niederlanden und jedem anderen EU-Land exakt dieselben Anforderungen erfüllen müssen. Die Verordnung wird durch eine Reihe von Regulierungstechnischen Standards (RTS) und Durchführungstechnischen Standards (ITS) ergänzt, die von den Europäischen Aufsichtsbehörden (ESAs) - EBA, EIOPA und ESMA - entwickelt werden.

DORA ist um fünf Kernsäulen strukturiert, die zusammen einen umfassenden Ansatz für digitale operationelle Resilienz bilden: IKT-Risikomanagement, IKT-bezogenes Vorfallmanagement und Meldewesen, digitale operationelle Resilienztests, Management von IKT-Drittparteienrisiken sowie Informationsaustausch und Intelligence Sharing. Jede Säule enthält spezifische Pflichten, die Finanzunternehmen umsetzen müssen, wobei der Grundsatz der Verhältnismäßigkeit je nach Größe, Risikoprofil und Komplexität der IKT-Dienste des Unternehmens angewendet wird.

Wer benötigt DORA-Compliance?

DORA gilt für rund 22.000 Finanzunternehmen in der gesamten Europäischen Union. Der Geltungsbereich ist bewusst breit gefasst, um eine umfassende Abdeckung des Finanzökosystems und seiner IKT-Abhängigkeiten sicherzustellen. Folgende Arten von Unternehmen fallen unter den Geltungsbereich von DORA:

Finanzunternehmen

  • Kreditinstitute (Banken)
  • Zahlungsinstitute und E-Geld-Institute
  • Wertpapierfirmen und Fondsmanager
  • Versicherungs- und Rückversicherungsunternehmen
  • Krypto-Asset-Dienstleister
  • Zentralverwahrer

IKT-Dienstleister

  • Cloud-Computing-Dienstleister
  • Software-as-a-Service (SaaS) Anbieter
  • Datenanalyse- und Rechenzentrumsanbieter
  • Kritische IKT-Drittdienstleister (CTPPs)
  • Managed Security Service Provider
  • IT-Infrastruktur- und Netzwerkanbieter

In Deutschland ist die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die primäre nationale Aufsichtsbehörde für die Überwachung der DORA-Compliance. Die BaFin arbeitet im breiteren europäischen Aufsichtsrahmen zusammen mit der EZB/SSM für bedeutende Institute und den ESAs für regulierungstechnische Standards. Deutsche Finanzunternehmen, die bereits BaFin-Anforderungen wie BAIT, VAIT und KAIT unterliegen, werden erhebliche Überschneidungen mit DORA feststellen, obwohl die EU-Verordnung zusätzliche Anforderungen einführt - insbesondere bei Resilienztests und der Überwachung von Drittparteienrisiken.

Not sure if you're compliant?

Take the free DORA readiness assessment — 10 questions, 3 minutes.

Check your readiness

DORA-Kernanforderungen: Die 5 Säulen im Detail

1. IKT-Risikomanagement-Rahmenwerk (Art. 5-16)

Finanzunternehmen müssen ein umfassendes IKT-Risikomanagement-Rahmenwerk als Teil ihres Gesamtrisikomanagements etablieren und pflegen. Dies umfasst die Identifikation aller IKT-gestützten Geschäftsfunktionen, die Klassifizierung von Informationsaßets, kontinuierliche Risikobewertungen sowie die Implementierung von Schutz-, Erkennungs- und Reaktionsmaßnahmen. Das Leitungsorgan trägt die letztendliche Verantwortung und muss das IKT-Risikomanagement-Rahmenwerk genehmigen und regelmäßig überprüfen, angemeßene Budgets bereitstellen und über IKT-Risiken informiert bleiben.

2. IKT-bezogenes Vorfallmanagement und Meldewesen (Art. 17-23)

DORA führt ein standardisiertes Rahmenwerk zur Klassifizierung, Steürung und Meldung IKT-bezogener Vorfälle ein. Finanzunternehmen müssen Prozesse zur Erkennung, Steürung und Protokollierung von Vorfällen implementieren, wobei Kriterien wie die Anzahl betroffener Kunden, die Daür, geografische Ausdehnung und Kritikalität der betroffenen Dienste herangezogen werden. Schwerwiegende Vorfälle müssen der zuständigen Behörde über vorgeschriebene Formulare gemeldet werden - eine Erstmeldung innerhalb von 4 Stunden nach Klassifizierung, ein Zwischenbericht innerhalb von 72 Stunden und ein Abschlußbericht innerhalb eines Monats.

3. Digitale operationelle Resilienztests (Art. 24-27)

Alle im Geltungsbereich befindlichen Finanzunternehmen müssen regelmäßige Tests ihrer IKT-Systeme und -Tools durchführen. Basistests (Schwachstellenbewertungen, Netzwerksicherheitsprüfungen, Lückenanalysen) müssen mindestens jährlich durchgeführt werden. Bedeutende Finanzunternehmen müssen darüber hinaus alle drei Jahre erweiterte Tests durch bedrohungsorientierte Penetrationstests (TLPT) durchführen lassen, die von qualifizierten externen Prüfern nach dem TIBER-EU-Rahmenwerk durchgeführt werden. TLPT-Tests müssen kritische Funktionen und Dienste abdecken, und die Ergebniße müssen der zuständigen Behörde mitgeteilt werden.

4. IKT-Drittparteien-Risikomanagement (Art. 28-44)

DORA legt umfangreiche Pflichten für das Management von Risiken durch IKT-Drittdienstleister auf. Finanzunternehmen müssen ein Verzeichnis aller vertraglichen Vereinbarungen mit IKT-Anbietern führen (das Informationsregister nach Art. 28(3)), eine gründliche Due Diligence vor der Beauftragung durchführen und spezifische Vertragsklauseln zu Sicherheit, Prüfungsrechten, Datenstandorten und Außtiegsstrategien aufnehmen. Kritische IKT-Drittdienstleister (CTPPs) werden über ein dediziertes Aufsichtsrahmenwerk direkt von den ESAs beaufsichtigt.

5. Informationsaustausch und Intelligence Sharing (Art. 45)

DORA ermutigt Finanzunternehmen zum freiwilligen Austausch von Cyber-Bedrohungsinformationen und -Intelligence untereinander. Dies umfasst Indicators of Compromise (IoCs), Taktiken, Techniken und Verfahren (TTPs) sowie Cybersicherheitswarnungen. Der Informationsaustausch muss datenschutzkonform erfolgen und über vertraünswürdige Gemeinschaften abgewickelt werden. Obwohl freiwillig, wird die Teilnahme an Informationsaustauschmechanismen als Best Practice angesehen und von Aufsichtsbehörden positiv bewertet.

6. IKT-Geschäftskontinuitätsmanagement

Finanzunternehmen müssen umfassende IKT-Geschäftskontinuitätsrichtlinien und zugehörige Notfallwiederherstellungspläne entwickeln und pflegen. Diese müssen mindestens jährlich getestet werden und alle kritischen Funktionen und unterstützenden IKT-Systeme abdecken. Die Pläne müssen Recovery Time Objectives (RTO) und Recovery Point Objectives (RPO) enthalten, und Unternehmen müssen sicherstellen, dass sie innerhalb definierter Zeitrahmen auf Backup-Systeme umschalten und den Betrieb wiederherstellen können. Regelmäßige szenariobasierte Übungen sind erforderlich.

7. Governance und Verantwortung des Leitungsorgans

DORA legt dem Leitungsorgan (Vorstand oder Geschäftsführung) explizit die Verantwortung für das IKT-Risikomanagement auf. Die Mitglieder müssen über angemeßene Kenntniße der IKT-Risiken verfügen, sich aktiv an der Gestaltung des IKT-Risikomanagement-Rahmenwerks beteiligen und spezifische Schulungen absolvieren. Das Leitungsorgan muss die IKT-Risikostrategie definieren, genehmigen und deren Umsetzung überwachen, einschließlich der Risikotoleranzgrenzen. Die Nichterfüllung dieser Pflichten kann zu persönlicher Haftung führen.

Strafen bei DORA-Nichtkonformität

DORA etabliert ein robustes Durchsetzungsregime mit erheblichen finanziellen und persönlichen Konsequenzen bei Nichtkonformität. Nationale zuständige Behörden - wie die BaFin in Deutschland - verfügen über weitreichende Aufsichts- und Ermittlungsbefugniße, einschließlich der Möglichkeit, Vor-Ort-Prüfungen durchzuführen, Informationen anzufordern und verbindliche Anordnungen zu erlassen.

Bis zu 10 Mio. EUR

oder 5% des jährlichen Gesamtumsatzes für Finanzunternehmen (je nachdem, welcher Betrag höher ist)

Bis zu 5 Mio. EUR

für Einzelpersonen in Leitungspositionen, die die Einhaltung nicht sicherstellen

Periodische Strafen

CTPPs drohen tägliche Strafzahlungen von bis zu 1% des durchschnittlichen täglichen weltweiten Umsatzes, bis die Konformität wiederhergestellt ist

Persönliche Haftung

Vorstandsmitglieder tragen persönliche Verantwortung für Compliance-Versäumniße, einschließlich möglicher Disqualifizierung

Über finanzielle Strafen hinaus kann Nichtkonformität mit DORA zu Reputationsschäden, Verlust von Betriebsgenehmigungen, verschärfter Aufsicht und Einschränkungen der Geschäftstätigkeit führen. Zuständige Behörden können zudem Feststellungen der Nichtkonformität veröffentlichen, was erhebliche Marktkonsequenzen nach sich zieht.

So starten Sie mit der DORA-Compliance

Da DORA seit dem 17. Januar 2025 verbindlich ist, sollten Finanzunternehmen aktiv an der vollständigen Compliance arbeiten. Nachfolgend ein strukturierter Ansatz zur Erreichung und Aufrechterhaltung der DORA-Konformität:

  1. 1

    Lückenanalyse und Scoping

    Bewerten Sie Ihre aktüllen IKT-Risikomanagement-Praktiken anhand aller DORA-Anforderungen. Identifizieren Sie Lücken über alle fünf Säulen hinweg und priorisieren Sie Abhilfemaßnahmen basierend auf Risiko und regulatorischen Erwartungen. Ordnen Sie bestehende Kontrollen aus BAIT, ISO 27001 oder anderen Rahmenwerken den DORA-Anforderungen zu.

  2. 2

    IKT-Risikomanagement-Rahmenwerk

    Etablieren oder aktualisieren Sie Ihr IKT-Risikomanagement-Rahmenwerk mit dokumentierten Richtlinien, Verfahren und Kontrollen. Definieren Sie Risikoappetit, Klassifizierungskriterien und weisen Sie klare Rollen und Verantwortlichkeiten zu. Stellen Sie sicher, dass Genehmigungen und Überwachungsmechanismen des Leitungsorgans vorhanden sind.

  3. 3

    Drittparteien-Register und Lieferantenmanagement

    Erstellen und pflegen Sie das Informationsregister (RoI) für alle IKT-Drittparteien-Vereinbarungen. Überprüfen und aktualisieren Sie Verträge, um DORA-konforme Bestimmungen aufzunehmen. Implementieren Sie laufende Überwachungs- und Due-Diligence-Prozesse für kritische und wichtige IKT-Anbieter.

  4. 4

    Vorfallmanagement und Meldewesen einrichten

    Implementieren Sie Verfahren zur Vorfallklassifizierung, Eskalation und Meldung gemäß den DORA-Anforderungen. Richten Sie Kommunikationskanäle mit zuständigen Behörden ein und testen Sie Melde-Workflows. Stellen Sie sicher, dass Sie die 4-Stunden-Frist für die Erstmeldung bei schwerwiegenden Vorfällen einhalten können.

  5. 5

    Resilienztestprogramm

    Entwerfen und implementieren Sie ein Testprogramm, das jährliche Basistests und - für bedeutende Unternehmen - TLPT alle drei Jahre umfasst. Wählen Sie qualifizierte Testanbieter und definieren Sie Testszenarien, die kritische Funktionen abdecken. Dokumentieren Sie Ergebniße und verfolgen Sie die Behebung identifizierter Schwachstellen.

  6. 6

    Kontinuierliche Überwachung und Verbeßerung

    Implementieren Sie eine kontinuierliche Überwachung von IKT-Risiken, Kontrollen und Drittanbietern. Überprüfen und aktualisieren Sie Ihr IKT-Risikomanagement-Rahmenwerk regelmäßig basierend auf Änderungen der Bedrohungslandschaft, Erkenntnißen aus Vorfällen und regulatorischen Leitlinien. Bereiten Sie sich auf laufende Aufsichtskommunikation und Meldepflichten vor.

Häufig gestellte Fragen zu DORA

Was ist der Digital Operational Resilience Act (DORA)?

DORA (EU-Verordnung 2022/2554) ist eine verbindliche EU-Verordnung, die einheitliche Anforderungen an die Sicherheit von Netz- und Informationssystemen im Finanzsektor festlegt. Sie umfasst IKT-Risikomanagement, Vorfallmeldung, digitale operationelle Resilienztests, IKT-Drittparteien-Risikomanagement und Informationsaustausch. DORA ist seit dem 17. Januar 2025 verbindlich.

Wer muss DORA einhalten?

DORA gilt für rund 22.000 Finanzunternehmen in der EU, darunter Banken, Versicherungsunternehmen, Wertpapierfirmen, Zahlungsinstitute, Krypto-Asset-Dienstleister und kritische IKT-Drittdienstleister. Sie umfasst auch Cloud-Dienstleister, Datenanalysefirmen und Softwareanbieter, die diese Finanzunternehmen bedienen.

Welche Strafen drohen bei DORA-Nichtkonformität?

Finanzunternehmen drohen Verwaltungsgeldbußen von bis zu 10 Millionen EUR oder 5% des jährlichen Gesamtumsatzes, je nachdem, welcher Betrag höher ist. Für Einzelpersonen können Bußgelder bis zu 5 Millionen EUR betragen. Kritische IKT-Drittdienstleister können mit bis zu 5 Millionen EUR und Einzelpersonen mit bis zu 500.000 EUR belangt werden. Darüber hinaus tragen Vorstandsmitglieder persönliche Haftung für Compliance-Versäumniße.

Was ist der Unterschied zwischen DORA und NIS2?

Während sowohl DORA als auch NIS2 die Cybersicherheit adressieren, ist DORA spezifisch auf den Finanzsektor ausgerichtet und stellt detailliertere Anforderungen an IKT-Risikomanagement, Resilienztests und Drittparteien-Risikomanagement. NIS2 ist breiter angelegt und deckt 18 Sektoren ab. Für Finanzunternehmen hat DORA als sektorspezifische Verordnung Vorrang (lex specialis).

Wie lange daürt es, DORA-konform zu werden?

Der Zeitrahmen hängt vom Reifegrad Ihrer Organisation ab. Mit einem bestehenden ISMS und Compliance-Rahmenwerk kann DORA-Bereitschaft in 3-6 Monaten erreicht werden. Für Organisationen, die bei null beginnen, sind 6-12 Monate zu erwarten. Matproofs Automatisierungsplattform kann diese Zeiträume um 50-70% verkürzen - durch automatisiertes Kontroll-Mapping, Beweißammlung und Lückenanalyse.

Was sind die 5 Säulen von DORA?

DORA basiert auf fünf Säulen: (1) IKT-Risikomanagement - Etablierung eines umfassenden Rahmenwerks zur Identifizierung und Minderung von IKT-Risiken; (2) IKT-bezogene Vorfallmeldung - standardisierte Klassifizierung und Meldung an Aufsichtsbehörden; (3) Digitale operationelle Resilienztests - einschließlich bedrohungsorientierter Penetrationstests (TLPT); (4) IKT-Drittparteien-Risikomanagement - Überwachung aller IKT-Dienstleister; und (5) Informationsaustausch - freiwilliger Austausch von Cyber-Bedrohungsinformationen zwischen Finanzunternehmen.

DORA Readiness Assessment

Check your digital operational resilience in 3 minutes

Take the free assessment

Kernfunktionen

IKT-Risikomanagement (Art. 5-16)

Automatisierte Risikoregister mit Wahrscheinlichkeits- und Auswirkungsbewertung. Kontinuierliches Monitoring und Maßnahmenverfolgung gemäß DORA-Anforderungen.

Vorfallmeldung (Art. 17-23)

IKT-Vorfälle erfassen, klassifizieren und an die BaFin im vorgeschriebenen Format melden. Automatische Schweregradbewertung und Zeitverlaufsberichte.

Resilienz-Tests (Art. 24-27)

TLPT- und Resilienz-Testprogramme verfolgen. Testpläne, Ergebnisse und Maßnahmenpläne an einem Ort verwalten.

Drittanbieter-Risiko (Art. 28-44)

Das Art. 28 Register aller IKT-Dienstleister führen. KI-gestützte Lieferantenbewertungen, Vertragsverfolgung und Exit-Strategien.

Informationsaustausch (Art. 45)

Vereinbarungen zum Austausch von Bedrohungsinformationen dokumentieren und Anforderungen zum Informationsaustausch zwischen Finanzunternehmen erfüllen.

BaFin-konforme Berichterstattung

Regulatorische Berichte im exakten BaFin-Format erstellen. Ein Klick, keine manuelle Formatierung.

Warum Matproof

Alle 5 DORA-Säulen in einer Plattform abgedeckt
BaFin-Meldeformat integriert
KI-generierte DORA-Richtlinien auf Deutsch und Englisch
100% EU-Datenresidenz (gehostet in Deutschland)

DORA-Compliance, Compliance in Deutschland

Stadtspezifische Compliance-Beratung für Ihr Finanzinstitut.

Frankfurt
Deutsche Bank, Commerzbank
Munich
Allianz, Munich Re
Berlin
N26, Trade Republic
Hamburg
Berenberg, M.M.Warburg & CO
Düsseldorf
HSBC Germany, NRW.BANK
Stuttgart
Börse Stuttgart / BSDEX, LBBW
Cologne
AXA Germany, DEVK
Paris
BNP Paribas, Crédit Agricole
Amsterdam
ING Group, ABN AMRO
Madrid
Banco Santander, BBVA
Milan
UniCredit, Intesa Sanpaolo
Zurich
UBS, Swiss Re
Vienna
Erste Group, Raiffeisen Bank International
Luxembourg
European Investment Bank, Clearstream
Brussels
SWIFT, Euroclear
Dublin
Stripe, Fidelity Investments
Stockholm
Klarna, SEB
Helsinki
Nordea, OP Financial Group
Warsaw
PKO Bank Polski, mBank
Prague
CSOB, Komercni Banka
Alle Städte & Frameworks anzeigen

DORA Readiness Assessment

Check your digital operational resilience in 3 minutes

Take the free assessment

Kundenstimmen

Teams, die keine Angst mehr vor der Audit-Saison haben.

85 %weniger Vorbereitungszeit

Montag Tools angebunden, Freitag hatten wir DORA-konforme Nachweise. Der Prüfer hat gefragt, wie wir das so schnell hinbekommen haben.

Ho

Head of Compliance

Series B Fintech, Germany

* Company names anonymized for privacy. All quotes from real compliance professionals using Matproof.

Bereit loszulegen?

Bereit loszulegen?

Erfahren Sie, wie Matproof Compliance für Ihr Unternehmen automatisiert.

Demo anfragen