Informationssicherheit Datenschutz KI-Compliance Unternehmens-Compliance

DORA pragmatisch umsetzen.

Vom IKT-Risikomanagement über das Informationsregister bis zum Resilienzbericht. Strukturiert und behördenkonform.

ISMS
4h
Frist für die Erstmeldung schwerwiegender IKT-Vorfälle an die Aufsichtsbehörde
5
Säulen: IKT-Risiko, Incidents, Resilienztests, Drittanbieter, Information Sharing
20+
Betroffene Unternehmenstypen im Finanzsektor

Unsicher, ob DORA für Sie gilt?

Betroffenheit prüfen →
Hintergrund

Was fordert DORA und wen betrifft es?

Der Digital Operational Resilience Act (DORA) ist seit Januar 2025 verbindlich und betrifft Banken, Versicherungen, Wertpapierfirmen, Zahlungsdienstleister, Krypto-Unternehmen und kritische IKT-Drittdienstleister. DORA fordert strukturiertes IKT-Risikomanagement, ein vollständiges Informationsregister, definierte Incident-Meldeprozesse und regelmäßige Resilienztests. Bringen Sie es mit uns Anforderungen in eine pragmatische Umsetzung.

Aktueller Stand

Die BaFin hat DORA als zentralen Aufsichtsschwerpunkt für 2026 definiert. Geprüft werden insbesondere IKT-Risikomanagement-Frameworks, Informationsregister und Incident-Meldeprozesse.

Am 11. Mai 2026 hat die BaFin die MaRisk 10.0 (9. Novelle) zur Konsultation veröffentlicht (Frist: 8. Juli 2026). Kernänderung: Das Outsourcing-Kapitel AT 9 entfällt vollständig und wird durch das DORA-Informationsregister ersetzt. IKT-Risiken unterliegen damit ausschließlich der DORA-Logik. Zusätzlich werden ESG-Risiken als eigenständige Risikokategorie eingeführt und Proportionalitätsregelungen für kleinere Institute überarbeitet.

Finanzinstitute und IKT-Drittdienstleister sollten Lieferantenverträge, Informationsregister und interne Governance-Dokumente bereits jetzt auf MaRisk-10.0-Kompatibilität prüfen. Mit dem finalen Rundschreiben ist nach Ablauf der Konsultationsfrist voraussichtlich im Herbst 2026 zu rechnen.

Die 5 DORA-Säulen

  • IKT-Risikomanagement: Framework, Governance, Richtlinien
  • Incident Management: Meldepflichten, 4h/24h/72h-Fristen
  • Resilienztests: Planung, Koordination und Dokumentation von TLPT und Szenario-Übungen
  • Drittanbieter-Risiken: Informationsregister, Vertragsklauseln, Exit-Strategien
  • Information Sharing: Austausch über Cyberbedrohungen
Leistungen

Was wir für Sie übernehmen.

IKT-Risikomanagement

  • IKT-Risiko-Framework aufbauen und dokumentieren
  • Governance-Struktur und Verantwortlichkeiten
  • Richtlinien für IKT-Sicherheit und Business Continuity
  • Jährlicher Resilienzbericht an das Leitungsorgan

Informationsregister

  • Vollständige Erfassung aller IKT-Dienste und Provider
  • Kritikalitätsklassifikation der Funktionen
  • Provider-SLA-Evidenzen und Exit-Strategien
  • Meldung an Aufsichtsbehörde (EBA/BaFin)

Incident Management Prozess

  • Incident-Klassifikation nach DORA-Kriterien
  • Meldeprozesse: 4h Erstmeldung, 24h Zwischenstand, 72h Abschlussmeldung
  • Ursachenanalyse und Lessons Learned
  • Integration mit ISMS-Incident-Response

Resilienztests & Drittanbieter

  • Aufbau eines Resilienztest-Programms
  • Vorbereitung und Koordination von TLPT für bedeutende Institute
  • Vertragsanpassungen mit IKT-Drittanbietern
  • Überwachung kritischer IKT-Dienstleister
Vorgehen

Strukturierte DORA-Umsetzung.

01

Scoping

Betroffenheit und Kritikalität der IKT-Funktionen bestimmen.

02

Gap-Analyse

Abgleich gegen alle 5 DORA-Säulen.

03

Umsetzung

Informationsregister, Governance, Meldeprozesse, Verträge.

04

Betrieb

Resilienztests, Monitoring, Berichtswesen.

FAQ

Häufige Fragen zu DORA und digitaler operationaler Resilienz.

Verwandte Themen

Verstöße gegen DORA werden von der zuständigen nationalen Aufsichtsbehörde geahndet, in Deutschland der BaFin. DORA sieht empfindliche Bußgelder vor, die sich am weltweiten Jahresumsatz des Unternehmens orientieren. Neben Geldstrafen können Aufsichtsbehörden die öffentliche Bekanntmachung des Verstoßes anordnen sowie Maßnahmen zur Mängelbeseitigung verlangen. Für Mitglieder des Leitungsorgans ist auch eine persönliche Haftung möglich. Kritische IKT-Drittanbieter unter direkter EU-Aufsicht riskieren zusätzlich tägliche Zwangsgelder.

DORA schreibt für schwerwiegende IKT-Vorfälle ein dreistufiges Meldeverfahren vor: Erstmeldung innerhalb von 4 Stunden nach Klassifizierung, Zwischenbericht innerhalb von 24 Stunden und Abschlussbericht innerhalb von 72 Stunden. Empfänger ist die zuständige nationale Aufsichtsbehörde, in Deutschland die BaFin. Voraussetzung ist eine klare Incident-Klassifikation nach DORA-Kriterien.

Das Informationsregister ist eine vollständige Dokumentation aller IKT-Dienstleister und der von ihnen erbrachten Funktionen. Für jeden Anbieter sind Kritikalität, vertragliche Vereinbarungen und Exit-Strategien festzuhalten. Das Register muss auf Anfrage der Aufsichtsbehörde vorgelegt werden und bildet die Grundlage für das gesamte Drittanbieter-Risikomanagement nach DORA.

TLPT steht für Threat-Led Penetration Testing. DORA verlangt von bedeutenden Finanzunternehmen die Durchführung dieser fortgeschrittenen Penetrationstests durch zertifizierte externe Tester in regelmäßigen Abständen. TLPT simuliert realistische Angreiferszenarien.

ISO 27001 ist eine sehr gute Grundlage für DORA, ersetzt die Compliance aber nicht vollständig. DORA enthält spezifische Anforderungen an IKT-Risikomanagement, Vorfallsmeldung, Resilienztests und Drittanbieter-Governance, die über ISO 27001 hinausgehen.

IKT-Drittanbieter, die kritische oder wichtige Funktionen für regulierte Finanzunternehmen erbringen, müssen bestimmte Vertragsbedingungen erfüllen und sich auf Audits durch Finanzunternehmen und Regulatoren vorbereiten. Kritische Drittanbieter unterliegen einer direkten Aufsicht durch europäische Behörden.

Die Kosten hängen von der Unternehmensgröße, der Ausgangssituation und dem Umsetzungsumfang ab. Nach einem kostenlosen Erstgespräch erhalten Sie eine transparente Aufwandsschätzung.

DORA gilt. Wo steht Ihre Umsetzung?

Prüfen Sie Ihren Umsetzungsstand. Wir helfen Ihnen strukturiert voranzukommen.

Erstgespräch buchen