Kostenlos testen

DORA: was der Finanzsektor und seine IT-Dienstleister erfüllen müssen

DORA (Digital Operational Resilience Act) ist die europäische Verordnung über die digitale operationale Resilienz des Finanzsektors. Im Gegensatz zur NIS2-Richtlinie gilt sie unmittelbar, ohne nationale Umsetzung, und ist seit Januar 2025 anwendbar. Die Aufsicht über deutsche Finanzunternehmen führt die BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht).

Wer von DORA betroffen ist

Praktisch das gesamte Finanzökosystem — die Verordnung benennt über 20 Arten von Unternehmen: Banken, Versicherungs- und Rückversicherungsunternehmen, Wertpapierfirmen, Kapitalverwaltungsgesellschaften, Zahlungsinstitute, E-Geld-Institute, Anbieter von Krypto-Dienstleistungen, Einrichtungen der betrieblichen Altersversorgung sowie Versicherungsvermittler (ab einer bestimmten Größe).

Eine zentrale Besonderheit: DORA erfasst auch die ICT-Dienstleister der Finanzinstitute. Wenn Sie Software, Hosting, Cloud- oder IT-Dienstleistungen für eine Bank oder Versicherung erbringen, fließen deren DORA-Pflichten in Ihren Vertrag ein — und kritische ICT-Drittdienstleister können unter die direkte Aufsicht europäischer Behörden fallen.

Die fünf Säulen von DORA

1. Management von ICT-Risiken

Ein von der Geschäftsleitung genehmigter Risikomanagementrahmen: Identifizierung der Werte, Schutz, Erkennung, Reaktion und Wiederherstellung. Die Geschäftsleitung trägt die volle Verantwortung — genau wie bei NIS2.

2. Meldung von ICT-Vorfällen

Klassifizierung von Vorfällen nach einheitlichen Kriterien und Meldung schwerwiegender Vorfälle an die Aufsichtsbehörde innerhalb festgelegter Fristen (Erstmeldung, Zwischenbericht, Abschlussbericht). Das erfordert ein funktionierendes Vorfallsverzeichnis mit Zeitstempeln.

3. Testen der digitalen Resilienz

Regelmäßige Tests — von Schwachstellenscans bis zu Penetrationstests. Die größten Institute müssen alle drei Jahre fortgeschrittene bedrohungsorientierte Tests (TLPT) absolvieren.

4. Management des Drittparteienrisikos

Für die meisten Unternehmen die arbeitsintensivste Säule: ein Informationsregister über alle Verträge mit ICT-Dienstleistern (Register of Information), Bewertung von Konzentrationsrisiken, verpflichtende Vertragsklauseln und Exit-Strategien für kritische Dienste. Das Register wird der Aufsichtsbehörde vorgelegt.

5. Informationsaustausch

Freiwilliger Austausch von Bedrohungsinformationen innerhalb des Sektors.

DORA und ISO 27001: eine Überschneidung, die sich lohnt

DORA verlangt keine Zertifizierung, doch ihre Anforderungen folgen der Struktur eines ISMS nach ISO 27001: Risikomanagement (Kapitel 6), Vorfälle (A.5.24–A.5.27), Lieferanten (A.5.19–A.5.22), Betriebskontinuität (A.5.29–A.5.30), Testen und Überwachung. Ein Institut mit funktionierendem ISO 27001 erfüllt einen erheblichen Teil der DORA-Anforderungen und kann dies mit seiner Dokumentation nachweisen.

Ein praktisches Vorgehen für kleinere Finanzunternehmen und ihre IT-Dienstleister:

  1. ISMS-Dokumentation — Richtlinien, Risikomanagement, Incident-Response-Pläne. ISOForge generiert sie auf Deutsch, zugeschnitten auf Ihre Organisation.
  2. Register der ICT-Dienstleister — erfassen Sie die Dienstleister, ihre Kritikalität und die Termine für Vertragsüberprüfungen (ISOForge bietet dafür ein eigenes Modul mit DORA-Kennzeichnung der ICT-Dienstleister).
  3. Vorfallsverzeichnis — mit Fristenverfolgung und Aufzeichnungen für die Aufsichtsbehörde.
  4. Jahreszyklus — Dokumentenrevisionen, Neubewertung der Risiken, Schulungen und interne Audits im Compliance-Kalender.

Zusammenfassung

Benötigen Sie ISO-Dokumentation?

ISOForge erstellt audit-fähige Dokumentation, zugeschnitten auf Ihr Unternehmen — auf Deutsch, zu einem Bruchteil der Beraterkosten.

Mehr erfahren