Blackfort Technology
DORA Beratung

Digital Operational Resilience Act

DORA Beratung

Der Digital Operational Resilience Act (DORA) stellt neue Anforderungen an Finanzunternehmen und IKT-Dienstleister in der EU. Wir begleiten Sie bei der vollständigen Umsetzung.

Beratung anfragen

DORA im Überblick: Geltungsbereich und Kernpflichten

Der Digital Operational Resilience Act (EU 2022/2554) gilt seit dem 17. Januar 2025 verbindlich für den gesamten EU-Finanzsektor. Betroffen sind Banken, Versicherungen, Wertpapierfirmen, Zahlungsdienstleister, Kreditinstitute, Investmentfonds, Ratingagenturen und zentrale Gegenparteien. Neu und besonders weitreichend: DORA gilt auch für kritische IKT-Drittanbieter – also Cloud-Anbieter, Rechenzentren und Managed Service Provider, die für den Finanzsektor tätig sind.

Im Kern zwingt DORA Finanzunternehmen dazu, ihre operationale Resilienz gegenüber IKT-Risiken systematisch zu managen. Das klingt nach einer Fortschreibung bekannter IT-Sicherheitspflichten – ist es aber nicht vollständig. DORA schafft einheitliche, verbindliche Anforderungen auf EU-Ebene, die über das hinausgehen, was bestehende nationale Regelungen (z.B. MaRisk oder BAIT in Deutschland) bislang gefordert haben. Bestehende Compliance mit nationalen Vorgaben ist kein Garant für DORA-Konformität.

Die fünf Säulen von DORA sind: IKT-Risikomanagement, Incident-Meldung und -Klassifizierung, digitale operative Resilienztests, Drittanbieter-Management und Informationsaustausch. Jede dieser Säulen ist durch Regulatory Technical Standards (RTS) und Implementing Technical Standards (ITS) untermauert, die detaillierte Umsetzungsanforderungen vorgeben.

IKT-Risikomanagement: Die Governance-Anforderungen

DORA verlangt einen vollständigen IKT-Risikomanagementrahmen mit klarer Verantwortung auf Leitungsebene. Die Geschäftsführung trägt die Gesamtverantwortung für IKT-Risiken und muss aktiv in deren Steuerung eingebunden sein – nicht nur durch formelle Genehmigungen, sondern durch ein nachweisbares Verständnis der wesentlichen Risiken. Schulungen und regelmäßige Lageberichte für die Führungsebene sind keine Option, sondern Pflicht.

Der Risikomanagementrahmen muss alle Phasen des IKT-Lebenszyklus abdecken: Identifizierung von Abhängigkeiten und kritischen Systemen, Schutzmaßnahmen und Härtung, Erkennung von Anomalien, Reaktion auf Vorfälle und Wiederherstellung. Dabei sind die Kommunikationspläne für Krisen (intern und extern) ebenso verbindlich wie die technischen Gegenmaßnahmen.

Ein oft unterschätztes Element ist die Business-Impact-Analyse: DORA fordert, dass Finanzunternehmen ihre Geschäftsprozesse nach Kritikalität einstufen und für kritische Prozesse spezifische Recovery Time Objectives (RTO) und Recovery Point Objectives (RPO) definieren. Diese Werte müssen regelmäßig getestet und aktualisiert werden.

TLPT: Threat-Led Penetration Testing nach DORA

Threat-Led Penetration Testing (TLPT) ist die anspruchsvollste Anforderung von DORA. Bedeutende Finanzinstitute müssen mindestens alle drei Jahre einen TLPT durchführen – einen realitätsnahen Angriffssimulation, die sich an aktuellen Bedrohungsszenarien orientiert, die speziell auf den Finanzsektor zugeschnitten sind. DORA orientiert sich dabei am TIBER-EU-Framework (Threat Intelligence-Based Ethical Red Teaming), das von der EZB entwickelt wurde.

Ein TLPT ist kein regulärer Penetrationstest. Er beginnt mit einer spezifischen Threat-Intelligence-Phase: Externe Anbieter analysieren, welche Angreifergruppen das Institut realistischerweise ins Visier nehmen könnten und welche Taktiken, Techniken und Prozeduren (TTPs) diese Gruppen einsetzen. Auf dieser Basis werden Angriffsszenarien entwickelt, die das Red Team im Test nachbildet. Das Ergebnis ist kein Standard-Vulnerability-Report, sondern ein tiefes Verständnis der realen Angriffsfläche.

Wir koordinieren TLPT-Programme end-to-end: von der Scope-Definition und Abstimmung mit der zuständigen Behörde über die Auswahl qualifizierter Threat-Intelligence- und Red-Team-Anbieter bis zur Nachbereitung und Behebung identifizierter Schwachstellen. Für Unternehmen, die TLPT zum ersten Mal durchführen, ist diese Koordinationsleistung ebenso wichtig wie die technische Durchführung.

Drittanbieter-Management: Die unterschätzte DORA-Pflicht

DORA legt besonderes Gewicht auf das Management von IKT-Drittanbietern – und das aus gutem Grund: Die meisten schwerwiegenden Ausfälle im Finanzsektor haben ihren Ursprung nicht im eigenen Rechenzentrum, sondern bei externen Dienstleistern. DORA verpflichtet Finanzunternehmen dazu, ein vollständiges Register aller IKT-Drittanbieter zu führen, kritische Abhängigkeiten zu identifizieren und das Risikoniveau jedes Anbieters zu bewerten.

Verträge mit kritischen IKT-Drittanbietern müssen DORA-spezifische Klauseln enthalten: Ausstiegsstrategien, Auditrechte, Meldepflichten bei eigenen Sicherheitsvorfällen, Business-Continuity-Anforderungen und Regelungen zur Sub-Outsourcing-Kette. Viele bestehende IT-Verträge genügen diesen Anforderungen nicht – ein sorgfältiges Contract Review und, wo nötig, Nachverhandlungen sind erforderlich.

Für kritische IKT-Drittanbieter schafft DORA zudem eine direkte Aufsicht durch die europäischen Finanzaufsichtsbehörden (EBA, EIOPA, ESMA). Anbieter wie große Cloud-Plattformen, die für den europäischen Finanzsektor systemrelevant sind, können direkt reguliert werden. Das verändert das Machtgefüge in Verhandlungen – und gibt Finanzunternehmen stärkere Argumente für vertragliche Anforderungen.

Unsere Leistungen

  • DORA Gap-Analyse und Compliance-Roadmap
  • IKT-Risikomanagementrahmen und Governance
  • Incident-Klassifizierung und Meldeprozesse
  • TLPT-Vorbereitung, Koordination und Nachbereitung
  • IKT-Drittanbieter-Register und Vertrags-Review
  • Schulung von Führungsebene und Sicherheitsverantwortlichen

Ihre Vorteile

  • Fristgerechte DORA-Compliance zum Stichtag 17. Januar 2025
  • Klare Governance-Strukturen für IKT-Risiken
  • Stärkere Verhandlungsposition gegenüber IKT-Dienstleistern
  • Vertrauen bei Aufsichtsbehörden und institutionellen Kunden

Jetzt beraten lassen

Sprechen Sie mit unseren Experten über Ihren konkreten Bedarf.

Beratung anfragen

Vertiefende Seite

IKT-Referenzarchitektur nach DORA

Definition, Pflichtbestandteile und Aufbau der IKT-Referenzarchitektur nach Art. 8 DORA – das Kerndokument Ihres IKT-Risikomanagementrahmens.

Jetzt ansehen

Weitere Ressourcen

Häufige Fragen

Fällt unser Unternehmen unter DORA?

DORA gilt für das gesamte Spektrum der EU-Finanzsektor-Einrichtungen: Banken, Versicherungen, Wertpapierfirmen, Zahlungsdienstleister, Kreditinstitute, Investmentfonds, Handelsplätze, zentrale Gegenparteien, Transaktionsregister und Ratingagenturen. Entscheidend ist auch: DORA gilt zudem für IKT-Drittanbieter, die für den Finanzsektor als kritisch eingestuft werden. Wer IKT-Dienste für Finanzunternehmen erbringt, kann selbst unter DORA-Aufsicht stehen, ohne ein Finanzunternehmen zu sein.

Wie verhält sich DORA zu bestehenden Frameworks wie ISO 27001 oder MaRisk/BAIT?

ISO 27001 und DORA haben erhebliche gemeinsame Schnittmengen – Risikomanagement, Incident Handling, Business Continuity und Drittanbietersicherheit werden von beiden adressiert. Ein ISO 27001-ISMS ist eine starke Grundlage für DORA-Compliance. DORA geht aber in bestimmten Bereichen weiter: Die TLPT-Pflicht, die detaillierte Struktur des IKT-Risikomanagementrahmens und das Drittanbieter-Register sind DORA-spezifische Bestandteile, die ISO 27001 nicht direkt abdeckt. Unternehmen mit MaRisk/BAIT-Compliance sollten ohne Gap-Analyse nicht von vollständiger DORA-Konformität ausgehen.

Was ist TLPT und welche Unternehmen müssen es durchführen?

Threat-Led Penetration Testing (TLPT) ist ein von DORA verlangtes fortgeschrittenes Sicherheitstest-Programm nach dem Vorbild des TIBER-EU-Frameworks der EZB. Es umfasst Threat-Intelligence-basierte Angriffssimulationen durch qualifizierte externe Red Teams. TLPT gilt für bedeutende Finanzinstitute – typischerweise solche, die von den nationalen zuständigen Behörden als systemrelevant eingestuft sind. Der Test muss alle drei Jahre durchgeführt werden und betrifft Live-Produktionssysteme. Er ist deutlich anspruchsvoller als klassische Penetrationstests in Umfang, Methodik und Einbindung der Aufsichtsbehörden.

Was verlangt das DORA-Register der IKT-Drittanbieter?

DORA verpflichtet Finanzunternehmen, ein vollständiges Register aller IKT-Drittdienstleister zu führen, darunter: die erbrachten Dienste und deren Kritikalitätseinstufung, die unterstützten Daten und Prozesse, eventuelle Sub-Outsourcing-Ketten und die getroffenen vertraglichen Regelungen. Kritische IKT-Anbieter müssen identifiziert und einer erweiterten Sorgfaltsprüfung unterzogen werden. Dieses Register ist ein aufsichtsrelevantes Dokument – Aufseher können es im Rahmen der Aufsichtstätigkeit anfordern.

Welche Meldepflichten sieht DORA bei Sicherheitsvorfällen vor?

DORA klassifiziert IKT-bezogene Vorfälle als „schwerwiegend“ oder „signifikant“, anhand von Kriterien wie der Anzahl betroffener Kunden, der Dauer des Ausfalls, der geografischen Verbreitung und dem Datenverlust. Schwerwiegende Vorfälle müssen der nationalen zuständigen Behörde innerhalb der in den RTS definierten Fristen gemeldet werden: eine initiale Meldung, ein detaillierter Zwischenbericht und ein Abschlussbericht mit Ursachenanalyse. Finanzunternehmen müssen außerdem ihre Kunden informieren, wenn ein schwerwiegender Vorfall finanzielle Auswirkungen auf sie haben kann.

Kontakt aufnehmen

Bereit für den nächsten Schritt?

Sprechen Sie mit uns über Ihre Sicherheitsanforderungen – konkret, ohne Verpflichtung und auf Augenhöhe.

Beratungsgespräch anfragen