DORA IMPLEMENTATION

DORA implementation, step by step.

A practical 10-step roadmap to make your financial entity DORA-compliant — the five pillars, who is in scope, BaFin reporting, resilience testing (TLPT), third-party risk, deadlines and tooling.

Book a DORA demoRun free DORA readiness check

Based on Regulation (EU) 2022/2554 (DORA), applicable since 17 January 2025

The Short Answer

DORA in 30 seconds.

DORA (Digital Operational Resilience Act) is the EU regulation that harmonizes ICT risk management for the financial sector. It applies directly across all member states and covers banks, insurers, payment and e-money institutions, investment firms, crypto-asset service providers, fund managers and the critical ICT third-party providers that serve them.

You must build an ICT risk management framework, classify and report major incidents, test your digital operational resilience (including TLPT for significant entities), manage third-party risk via a register and Art. 30 contracts, and have the management body own it. DORA has applied since 17 January 2025 — there is no further grace period.

The 10 Steps

Your DORA implementation roadmap.

01

Scope assessment

Determine in 30 minutes whether you are a 'financial entity' under Art. 2 DORA — bank, insurer, payment institution, crypto-asset provider, or critical ICT third-party provider.

02

Scope and ICT asset inventory

Map all ICT systems, applications and data flows supporting critical or important functions. No DORA risk management can be built without a complete asset register.

03

ICT risk management framework

Establish a written framework under Art. 6 — strategy, governance, roles, risk tolerance. The management body holds ultimate accountability and must approve it.

04

Gap analysis against the 5 pillars

Compare your current state to the five DORA pillars: risk management, incident reporting, resilience testing, third-party risk, information sharing. Prioritize gaps.

05

Incident classification and reporting

Define criteria for classifying major ICT-related incidents and set up the reporting chain to the competent authority (in Germany: BaFin).

06

Build the third-party register

Maintain a register of all ICT third-party providers (Art. 28). Review and renegotiate contractual clauses under Art. 30 — including audit and exit rights.

07

Plan resilience testing

Establish a digital operational resilience testing programme. Significant entities must additionally run threat-led penetration tests (TLPT) every three years.

08

Business continuity and response plans

Document BCM, emergency and recovery plans. Backups, RTO/RPO targets and crisis communication must be tested.

09

Governance and management training

Demonstrably train the management body on ICT risk (Art. 5(4)). The responsibility cannot be delegated — executives are personally accountable.

10

Continuous monitoring and evidence

Automate evidence collection, monitor controls continuously, and keep the register and reporting workflows audit-ready for the competent authority.

The 5 Pillars

The five pillars of DORA.

  1. 1ICT risk management — framework, governance, asset register, controls (Art. 5–16)
  2. 2ICT-related incident management, classification and reporting to authorities (Art. 17–23)
  3. 3Digital operational resilience testing, incl. threat-led penetration testing / TLPT (Art. 24–27)
  4. 4ICT third-party risk management — register, due diligence, Art. 30 contractual clauses (Art. 28–44)
  5. 5Information and intelligence sharing on cyber threats among financial entities (Art. 45)
Key Deadlines

What's due when.

  • 16 January 2023 — DORA entered into force (EU)
  • 17 January 2025 — DORA applies; full compliance expected from this date
  • As soon as classified — initial notification of a major ICT-related incident
  • Within statutory windows — intermediate and final incident reports to the competent authority
  • Every 3 years — threat-led penetration testing (TLPT) for significant entities
  • Annually — review of the ICT risk framework, register and resilience tests
How Matproof Helps

DORA implementation in weeks — not a year.

  • Built-in DORA control library mapped to the five pillars and RTS/ITS
  • Automated evidence from 100+ tools (AWS, Azure, M365, Okta) — no screenshots
  • ICT third-party register with Art. 30 contract clause tracking
  • Incident classification and reporting workflows with deadline tracking
  • Cross-framework: NIS2, ISO 27001 and GDPR covered in parallel from the same evidence
See the DORA compliance software →

Frequently asked questions

Was ist DORA?+

DORA (Digital Operational Resilience Act, Verordnung (EU) 2022/2554) ist die EU-Verordnung, die das Management von IKT-Risiken im gesamten Finanzsektor europaweit vereinheitlicht. Sie trat am 16. Januar 2023 in Kraft und ist seit dem 17. Januar 2025 unmittelbar in allen EU-Mitgliedstaaten anwendbar. DORA stützt sich auf fünf Säulen: IKT-Risikomanagement, Behandlung und Meldung IKT-bezogener Vorfälle, Tests der digitalen operativen Resilienz, Steuerung des IKT-Drittparteienrisikos und Informationsaustausch über Cyberbedrohungen.

Bis wann muss DORA umgesetzt werden?+

DORA gilt seit dem 17. Januar 2025 vollständig. Anders als bei einer Richtlinie gibt es keine nationale Umsetzungsfrist und keine weitere Übergangsfrist – die Verordnung ist direkt anwendbar. Finanzunternehmen mussten ihren IKT-Risikomanagement-Rahmen, ihr Informationsregister der IKT-Drittdienstleister und ihre Meldeprozesse zu diesem Stichtag betriebsbereit haben. Die zuständigen Behörden, in Deutschland die BaFin, prüfen die Einhaltung laufend.

Wer ist von DORA betroffen?+

DORA erfasst nach Art. 2 nahezu den gesamten Finanzsektor: Kreditinstitute (Banken), Zahlungs- und E-Geld-Institute, Wertpapierfirmen, Krypto-Dienstleister (CASP), Versicherungs- und Rückversicherungsunternehmen, Versicherungsvermittler, Kapitalverwaltungsgesellschaften und Fondsverwalter, zentrale Gegenparteien, Handelsplätze, Ratingagenturen sowie Schwarmfinanzierungsdienstleister. Zusätzlich werden kritische IKT-Drittdienstleister (z. B. große Cloud-Anbieter) durch ein eigenes Aufsichtsregime der europäischen Aufsichtsbehörden direkt überwacht. Für Kleinstunternehmen gilt ein vereinfachter Rahmen (Verhältnismäßigkeitsprinzip).

Was sind die fünf Säulen von DORA?+

(1) IKT-Risikomanagement (Art. 5–16): ein vom Leitungsorgan verantworteter Rahmen mit Strategie, Governance, Asset-Register und Kontrollen. (2) Behandlung, Klassifizierung und Meldung IKT-bezogener Vorfälle (Art. 17–23): einheitliche Kriterien und Meldewege an die zuständige Behörde. (3) Tests der digitalen operativen Resilienz (Art. 24–27): regelmäßige Tests, für bedeutende Institute zusätzlich bedrohungsgeleitete Penetrationstests (TLPT) alle drei Jahre. (4) Steuerung des IKT-Drittparteienrisikos (Art. 28–44): Informationsregister, Due Diligence und verpflichtende Vertragsklauseln nach Art. 30. (5) Informationsaustausch über Cyberbedrohungen (Art. 45): freiwilliger Austausch zwischen Finanzunternehmen.

Welche Meldepflichten gelten bei IKT-Vorfällen unter DORA?+

Finanzunternehmen müssen schwerwiegende IKT-bezogene Vorfälle anhand harmonisierter Kriterien (Anzahl betroffener Kunden, Datenverlust, Dauer, geografische Ausbreitung, wirtschaftliche Auswirkung) klassifizieren und der zuständigen Behörde melden. Der Meldeprozess ist mehrstufig: eine Erstmeldung unverzüglich nach Einstufung, ein Zwischenbericht bei wesentlichen Statusänderungen sowie ein Abschlussbericht nach Behebung. Die konkreten Fristen ergeben sich aus den technischen Regulierungsstandards (RTS/ITS) der europäischen Aufsichtsbehörden. In Deutschland ist die BaFin der zentrale Meldeempfänger.

Was ist TLPT und wen betrifft es?+

TLPT (Threat-Led Penetration Testing) sind bedrohungsgeleitete Penetrationstests nach dem TIBER-EU-Rahmen. Bedeutende Finanzunternehmen, die von der zuständigen Behörde benannt werden, müssen mindestens alle drei Jahre einen TLPT an ihren produktiven, kritische Funktionen unterstützenden Systemen durchführen. Anders als ein normaler Penetrationstest bildet TLPT realistische Angreiferszenarien (Threat Intelligence) ab und wird von qualifizierten, unabhängigen Testern durchgeführt. Kleinere Institute führen reguläre Resilienztests durch, sind aber nicht zwingend zu TLPT verpflichtet.

Wie unterscheiden sich DORA und NIS2?+

DORA ist eine Verordnung speziell für den Finanzsektor und gilt als Lex specialis – wo DORA greift, verdrängt es die NIS2-Anforderungen für dieselben Pflichten. NIS2 ist eine sektorübergreifende Richtlinie für kritische und wichtige Einrichtungen in 18 Sektoren und wird in Deutschland über das NIS2UmsuCG umgesetzt. Ein Finanzunternehmen, das vollständig unter DORA fällt, erfüllt seine Cybersicherheitspflichten primär über DORA. Viele Kontrollen (Risikomanagement, Incident Response, Lieferkettensicherheit) überschneiden sich jedoch – eine framework-übergreifende Plattform deckt beide Regime aus denselben Nachweisen ab.

Welche Rolle spielt eine DORA-Software bei der Umsetzung?+

Eine DORA-Software bildet die fünf Säulen als Control-Katalog ab, sammelt kontinuierlich Nachweise aus Ihren Systemen (AWS, Azure, Microsoft 365, Okta etc.), führt das Informationsregister der IKT-Drittdienstleister samt Art.-30-Vertragsklauseln, automatisiert die Vorfallsklassifizierung und -meldung und erzeugt prüfungsfähige Berichte für die BaFin. Ohne Tool-Unterstützung ist DORA bei einem mittelgroßen Finanzunternehmen kaum dauerhaft aufrechtzuerhalten. Matproof bündelt dies und deckt NIS2, ISO 27001 und DSGVO parallel aus denselben Nachweisen ab.

Start

Ready to get DORA-compliant?

30-minute demo. We walk you through your scope, the five pillars, your third-party register and a realistic implementation plan.

Book a demoFree DORA readiness check →