Digital Operational Resilience Act

DORA-Compliance fuer Finanzdienstleistungen

Die EU-Verordnung 2022/2554 ist seit dem 17. Januar 2025 in Kraft und verpflichtet Finanzunternehmen, die digitale operationale Resilienz zu staerken. Wir helfen Ihnen, die fuenf Saeulen mit klaren Prozessen, Nachweisen und aufsichtlicher Berichterstattung umzusetzen.

DORA-Bewertung starten Compliance-Beratung buchen

Was ist DORA?

Der Digital Operational Resilience Act (DORA) ist die EU-Verordnung 2022/2554, die einheitliche Anforderungen an die Sicherheit von Netzwerk- und Informationssystemen festlegt, die die Geschaeftsprozesse von in der Europaeischen Union taetigen Finanzunternehmen unterstuetzen.

Warum das jetzt wichtig ist: DORA ist seit dem 17. Januar 2025 in Kraft. Alle EU-Finanzinstitute muessen umfassendes IKT-Risikomanagement, Vorfallmeldung, Resilienztests und Drittanbieter-Aufsicht implementiert haben. Nichteinhaltung setzt Unternehmen aufsichtlichen Sanktionen und operationalen Risiken aus.

Bereits in Kraft

Gueltig seit 17. Januar 2025

Verpflichtend

Gesetzliche Anforderung fuer alle Finanzunternehmen

Ergaenzt den EU AI Act fuer KI-Systeme und ISO 42001 fuer KI-Management.

Wer benoetigt DORA-Compliance?

Kreditinstitute (Banken)

Alle in der EU taetigen Banken, unabhaengig von der Groesse

Zahlungsinstitute

Zahlungsdienstleister einschliesslich PSPs und E-Geld-Institute

Wertpapierfirmen

Wertpapierfirmen, Handelsplaetze und Zentralverwahrer

Versicherungs- und Rueckversicherungsunternehmen

Versicherungsunternehmen, Vermittler und Nebendienstleistungen

Kryptowert-Dienstleister

Unternehmen, die Kryptowert-Dienstleistungen gemaess MiCA-Verordnung erbringen

IKT-Drittdienstleister

Kritische IKT-Anbieter fuer Finanzunternehmen (von den ESAs benannt)

Wie VerifyWise die DORA-Compliance unterstuetzt

Umfassende Funktionen fuer alle fuenf Saeulen und aufsichtlichen Anforderungen

IKT-Risikomanagement-Rahmenwerk

Etablieren Sie umfassende IKT-Risikomanagement-Rahmenwerke mit strukturierten Richtlinien, Verfahren und Kontrollen. Die Plattform pflegt Governance-Dokumentation, Risikoregister und Monitoring-Funktionen gemaess den Anforderungen von DORA Artikel 6.

Adressiert: IKT-Risikomanagement: Rahmenwerke, Richtlinien, Verfahren, Risikoidentifikation

Vorfallerkennung und -meldung

Klassifizieren Sie IKT-bezogene Vorfaelle, verwalten Sie die Meldung schwerwiegender Vorfaelle an Behoerden und verfolgen Sie Bearbeitungsablaeufe. Die Plattform automatisiert die Klassifizierungslogik und fuehrt den fuer die regulatorische Berichterstattung erforderlichen Audit-Trail.

Adressiert: Vorfallmeldung: Erkennung, Klassifizierung, Behoerdenbenachrichtigung, Bearbeitungsverfolgung

Tests der digitalen operationalen Resilienz

Planen und fuehren Sie Resilienztestprogramme durch, einschliesslich Schwachstellenbewertungen, Szenariotests und bedrohungsorientierter Penetrationstests (TLPT). Die Plattform plant Tests, verfolgt Ergebnisse und verwaltet die Behebung.

Adressiert: Resilienztests: Testplanung, TLPT-Koordination, Behebungsverfolgung

Management von IKT-Drittdienstleistern

Fuehren Sie ein Register kritischer IKT-Drittanbieter, fuehren Sie Sorgfaltspruefungen durch und ueberwachen Sie vertragliche Verpflichtungen. Die Plattform verfolgt Konzentrationsrisiken und unterstuetzt die Dokumentation von Ausstiegsstrategien.

Adressiert: Drittparteienrisiko: Anbieterregister, Sorgfaltspruefung, Vertragsmanagement, Ausstiegsplanung

Kontinuierliches Monitoring und Kennzahlen

Verfolgen Sie Resilienz-Kennzahlen, ueberwachen Sie die Leistung von IKT-Systemen und erstellen Sie aufsichtliche Berichte. Die Plattform konsolidiert Resilienz-Indikatoren fuer die laufende Ueberwachung und Trendanalyse.

Adressiert: Monitoring: KPIs, Leistungs-Dashboards, aufsichtliche Berichterstattung

Informationsaustauschvereinbarungen

Nehmen Sie an Informationsaustauschvereinbarungen fuer Cyberbedrohungen und Schwachstellen teil. Die Plattform verwaltet die Teilnahme an bezeichneten Rahmenwerken und verfolgt erhaltene und geteilte Informationen.

Adressiert: Informationsaustausch: Bedrohungsintelligenz, Schwachstellenoffenlegung, Branchenzusammenarbeit

Alle DORA-Compliance-Aktivitaeten werden mit Zeitstempeln versehen, verantwortlichen Eigentuemern zugewiesen und durch Genehmigungsworkflows verfolgt. Dies schafft den Audit-Trail, den Aufsichtsbehoerden bei Inspektionen und Berichterstattung erwarten.

Vollstaendige DORA-Anforderungsabdeckung

VerifyWise bietet dedizierte Funktionen fuer alle regulatorischen Anforderungen ueber die fuenf Saeulen hinweg

Zentrale DORA-Anforderungen

Anforderungen mit dediziertem Tooling

100%

Abdeckung ueber alle Saeulen

IKT-Risikomanagement8/8

Rahmenwerke, Richtlinien, Verfahren, Monitoring

Vorfallmeldung6/6

Erkennung, Klassifizierung, Meldung, Behebung

Resilienztests5/5

Testprogramme, bedrohungsorientierte Tests, Schwachstellenbewertungen

Drittparteienrisiko7/7

Sorgfaltspflicht, Vertraege, Monitoring, Ausstiegsstrategien

Von Anfang an fuer DORA-Compliance entwickelt

Vorfallklassifizierung

Automatisierte Erkennung schwerwiegender Vorfaelle und Behoerdenmeldungsworkflows

TLPT-Koordination

Management und Behebung bedrohungsorientierter Penetrationstests

Drittanbieter-Register

Tracking kritischer IKT-Anbieter mit Konzentrationsrisikoanalyse

Aufsichtliche Berichterstattung

Berichte fuer EBA, EIOPA, ESMA und nationale Behoerden erstellen

Fuenf Saeulen von DORA

DORA organisiert die digitale operationale Resilienz in fuenf miteinander verbundene Saeulen

IKT-Risikomanagement

Etablierung und Pflege umfassender IKT-Risikomanagement-Rahmenwerke im Einklang mit der Geschaeftsstrategie.

IKT-Risikomanagement-Rahmenwerk

Geschaeftskontinuitaetsrichtlinie

Notfallwiederherstellungsfaehigkeiten

Auswirkungsanalyse fuer das Geschaeft

IKT-Systeminventar und -kartierung

Schutz- und Praeventionsmassnahmen

Erkennungsmechanismen

Reaktions- und Wiederherstellungsverfahren

IKT-bezogenes Vorfallmanagement

Erkennung, Verwaltung, Klassifizierung und Meldung IKT-bezogener Vorfaelle zur zeitnahen Behebung und regulatorischen Compliance.

Vorfallerkennung und -management

Vorfallklassifizierung und -kategorisierung

Meldung schwerwiegender Vorfaelle an Behoerden

Vorfallreaktionsverfahren

Ursachenanalyse

Integration gewonnener Erkenntnisse

Tests der digitalen operationalen Resilienz

Testen von IKT-Systemen und -Prozessen zur Identifizierung von Schwachstellen und Sicherstellung der operationalen Resilienz.

Entwicklung von Testprogrammen

Schwachstellenbewertungen

Szenariobasierte Tests

Bedrohungsorientierte Penetrationstests (TLPT)

Bestimmung von Testhaeufigkeit und -umfang

Behebungsverfolgung und -validierung

IKT-Drittparteien-Risikomanagement

Management von Risiken durch IKT-Drittdienstleister durch umfassende Aufsicht.

Risikobasierte Sorgfaltspruefung

Vertragliche Vereinbarungen und SLAs

Bewertung des Konzentrationsrisikos

Kontinuierliche Ueberwachung der Anbieter

Ausstiegsstrategien und Uebergangsplaene

Klassifizierung kritischer vs. wichtiger Anbieter

Informationsaustausch

Austausch von Informationen ueber Cyberbedrohungen und Schwachstellen innerhalb bezeichneter Rahmenwerke.

Teilnahme an Informationsaustauschvereinbarungen

Austausch von Cyber-Bedrohungsinformationen

Verfahren zur Schwachstellenoffenlegung

Vertraulichkeitsschutz

Branchenzusammenarbeitsmechanismen

36-Wochen-Compliance-Fahrplan

Ein praktischer Weg zur Erreichung und Aufrechterhaltung der DORA-Compliance mit klaren Meilensteinen und Ergebnissen

Phase 1Wochen 1-6

Bewertung

Gap-Analyse gegenueber DORA-Anforderungen
Inventarisierung von IKT-Assets und Dienstleistern
Bewertung der aktuellen Risikomanagement-Reife
Identifikation kritischer IKT-Drittanbieter-Abhaengigkeiten

Phase 2Wochen 7-14

Rahmenwerk-Entwicklung

Entwicklung des IKT-Risikomanagement-Rahmenwerks
Etablierung von Vorfallklassifizierungsverfahren
Erstellung der Testprogramm-Strategie
Gestaltung von Drittanbieter-Aufsichtsprozessen

Phase 3Wochen 15-28

Implementierung

Einsatz von Monitoring- und Erkennungstools
Implementierung von Vorfallmeldungsablaeufen
Durchfuehrung erster Resilienztests
Onboarding kritischer Drittanbieter

Phase 4Wochen 29-36

Validierung

Durchfuehrung von TLPT fuer qualifizierte Unternehmen
Validierung der Vorfallreaktionsfaehigkeiten
Test von Geschaeftskontinuitaet und Notfallwiederherstellung
Vorbereitung aufsichtlicher Berichtsprozesse

Sanktionen und Durchsetzung

Die Konsequenzen bei Nichteinhaltung der DORA-Anforderungen verstehen

Verwaltungssanktionen

Zustaendige Behoerden koennen von den Mitgliedstaaten festgelegte Geldbussen verhaengen

Beispiele

• Oeffentliche Bekanntmachung der Person und der Art des Verstosses
• Anordnung zur Einstellung des Verhaltens und Unterlassung der Wiederholung
• Entzug oder Aussetzung der Zulassung

Finanzielle Sanktionen

Mitgliedstaaten bestimmen Hoechststrafen, die wirksam, verhaeltnismaessig und abschreckend sein muessen

Beispiele

• Sanktionen bei Nichteinhaltung der Aufsichtsanforderungen
• Geldbussen bei Nichtmeldung schwerwiegender Vorfaelle
• Sanktionen bei unzureichendem Drittparteien-Risikomanagement

Aufsichtsmassnahmen

Die ESAs (EBA, EIOPA, ESMA) koennen direkte Aufsicht ueber kritische IKT-Drittanbieter ausueben

Beispiele

• Vor-Ort-Inspektionen
• Allgemeine Untersuchungen
• Informationsanfragen
• Empfehlungen zur Behebung

Durchsetzungsbehoerden: Europaeische Bankenaufsichtsbehoerde (EBA), Europaeische Aufsichtsbehoerde fuer das Versicherungswesen und die betriebliche Altersversorgung (EIOPA), Europaeische Wertpapier- und Marktaufsichtsbehoerde (ESMA) und nationale zustaendige Behoerden in jedem Mitgliedstaat.

Sanktionen muessen wirksam, verhaeltnismaessig und abschreckend sein. Die konkreten Betraege werden von den Mitgliedstaaten festgelegt.

DORA im Vergleich zu anderen Rahmenwerken

Die Beziehung zwischen DORA und anderen Compliance-Anforderungen verstehen

Aspekt	DORA	EU AI Act	ISO 27001
Anwendungsbereich	EU-Finanzdienstleistungen und kritische IKT-Anbieter	KI-Systeme auf dem EU-Markt	Jede Organisation (Informationssicherheit)
Rechtsstatus	Verbindliche EU-Verordnung	Verbindliche EU-Verordnung	Freiwilliger Zertifizierungsstandard
Fokus	Digitale operationale Resilienz fuer Finanzwesen	KI-Systemsicherheit und Grundrechte	Informationssicherheitsmanagement
Inkrafttreten	In Kraft seit 17. Januar 2025	Stufenweise: August 2025-2027	Freiwillig (fortlaufend)
Kernanforderungen	5 Saeulen der digitalen Resilienz	Risikostufen mit rollenbasierten Pflichten	ISMS mit 93 Kontrollen
Durchsetzung	EBA, EIOPA, ESMA + nationale Behoerden	Nationale Behoerden + EU AI Office	Drittpartei-Zertifizierungsstellen
Sanktionen	Wirksam, verhaeltnismaessig, abschreckend (von Mitgliedstaaten festgelegt)	Bis zu 35 Mio. EUR oder 7 % des weltweiten Umsatzes	Keine (freiwilliger Standard)
Dokumentation	IKT-Risikoregister, Vorfallprotokolle, Testberichte, Drittanbietervertraege	Technische Dokumentation, Konformitaetserklaerungen, Risikobewertungen	ISMS-Richtlinien, Verfahren, Risikobehandlungsplaene
Am besten geeignet fuer	Digitale Resilienz im Finanzsektor	KI-System-Compliance in der EU	Allgemeine Informationssicherheitszertifizierung

Profi-Tipp: Finanzinstitute, die KI-Systeme einsetzen, unterliegen sowohl DORA- als auchEU AI Act-Anforderungen. DORA adressiert die operationale Resilienz von IKT-Systemen, waehrend der EU AI Act KI-spezifische Risiken adressiert. Implementieren Sie beide mit ISO 42001 fuer umfassende Governance.

Multi-Framework-Compliance besprechen

Richtlinienvorlagen

IKT-Governance-Richtliniensammlung

Zugriff auf einsatzbereite IKT-Risikomanagement-Richtlinienvorlagen, abgestimmt auf DORA, EU AI Act und ISO 42001-Anforderungen

IKT-Risikomanagement

• IKT-Risikomanagement-Rahmenwerk
• Geschaeftskontinuitaetsrichtlinie
• Notfallwiederherstellungsverfahren
• IKT-Asset-Management
• Aenderungsmanagement-Richtlinie
• Zugriffskontrollrichtlinie
+ 5 weitere Richtlinien

Vorfaelle & Tests

• Vorfallreaktionsrichtlinie
• Klassifizierung schwerwiegender Vorfaelle
• Verfahren zur Behoerdenmeldung
• Resilienztestprogramm
• TLPT-Rahmenwerk
• Schwachstellenmanagement
+ 4 weitere Richtlinien

Drittparteien & Austausch

• Drittparteien-Risikorichtlinie
• IKT-Anbieter-Sorgfaltspruefung
• Vertragsmanagement-Standards
• Ausstiegsstrategie-Rahmenwerk
• Konzentrationsrisikobewertung
• Informationsaustauschrichtlinie
+ 3 weitere Richtlinien

Alle Richtlinienvorlagen durchsuchen

Haeufig gestellte Fragen

Haeufige Fragen zur DORA-Compliance und -Implementierung

DORA (Digital Operational Resilience Act) ist die EU-Verordnung 2022/2554, die seit dem 17. Januar 2025 gilt. Sie legt einheitliche Anforderungen fuer IKT-Risikomanagement, Vorfallmeldung, Resilienztests, Drittparteien-Risikomanagement und Informationsaustausch fuer EU-Finanzdienstleistungen fest. Den vollstaendigen Verordnungstext finden Sie bei EUR-Lex.

DORA wird von den Europaeischen Aufsichtsbehoerden (ESAs) durchgesetzt: der Europaeischen Bankenaufsichtsbehoerde (EBA), der Europaeischen Aufsichtsbehoerde fuer das Versicherungswesen und die betriebliche Altersversorgung (EIOPA) und der Europaeischen Wertpapier- und Marktaufsichtsbehoerde (ESMA), in Zusammenarbeit mit den nationalen zustaendigen Behoerden der Mitgliedstaaten.

Die Mitgliedstaaten legen die konkreten Sanktionen fest, die jedoch wirksam, verhaeltnismaessig und abschreckend sein muessen. Behoerden koennen Geldbussen verhaengen, Zulassungen entziehen, oeffentliche Warnungen aussprechen und die Einstellung des nicht konformen Verhaltens verlangen. Kritische IKT-Drittanbieter unterliegen der direkten ESA-Aufsicht mit Inspektionsbefugnissen und moeglichen Sanktionen.

DORA definiert schwerwiegende Vorfaelle als solche mit hoher negativer Auswirkung auf Netzwerk- und Informationssysteme, die kritische Funktionen unterstuetzen. Unternehmen muessen zustaendige Behoerden ueber schwerwiegende Vorfaelle benachrichtigen und Erst-, Zwischen- und Abschlussberichte vorlegen. Die Klassifizierung haengt von den Auswirkungen auf Dienstleistungen, Kunden, Finanzstabilitaet und Reputation ab, wobei spezifische Schwellenwerte in regulatorischen technischen Standards definiert sind.

TLPT sind fortgeschrittene Tests, die reale Angriffe simulieren, indem sie Taktiken, Techniken und Verfahren echter Bedrohungsakteure nachbilden. DORA verlangt von bestimmten Finanzunternehmen (basierend auf Groesse, Kritikalitaet und Risikoprofil), mindestens alle drei Jahre TLPT durchzufuehren. Tests muessen dem TIBER-EU-Rahmenwerk oder gleichwertigen nationalen Rahmenwerken folgen.

DORA unterscheidet zwischen 'kritischen' und 'wichtigen' IKT-Drittanbietern basierend auf der Bedeutung der Dienstleistungen fuer den Geschaeftsbetrieb. Die ESAs werden 'kritische' Anbieter benennen, die dann der direkten Aufsicht unterliegen. Finanzunternehmen muessen ein Register aller IKT-Anbieter fuehren und eine verstaerkte Sorgfaltspflicht fuer kritische Abhaengigkeiten implementieren.

Finanzunternehmen muessen sicherstellen, dass Vertraege mit IKT-Drittanbietern umfassen: vollstaendige Leistungsbeschreibungen, Service-Level-Anforderungen, Zugangs- und Pruefungsrechte, Kuendigungsfristen, Kuendigungsrechte, Ausstiegsstrategien, Unterauftragsvergabebestimmungen, Datenlokalisierungs- und Verarbeitungsbedingungen, Geschaeftskontinuitaetsanforderungen und Haftungsvereinbarungen. Standardvertragsvorlagen werden derzeit entwickelt.

DORA ergaenzt NIS2 (Richtlinie ueber die Sicherheit von Netz- und Informationssystemen) und die DSGVO. Fuer Finanzunternehmen ist DORA lex specialis (Spezialgesetz) mit Vorrang fuer die digitale operationale Resilienz. Unternehmen muessen weiterhin die DSGVO fuer personenbezogene Daten einhalten und koennen NIS2-Pflichten haben, wenn sie wesentliche Dienste betreiben. Viele Kontrollen ueberschneiden sich und koennen gemeinsam implementiert werden.

Artikel 6 verlangt von Finanzunternehmen ein umfassendes IKT-Risikomanagement-Rahmenwerk, das Schutz, Erkennung, Eindaemmung, Wiederherstellung und Reparaturfaehigkeiten umfasst. Dies beinhaltet Risikoidentifikation, Geschaeftskontinuitaetsplanung, Sicherungsrichtlinien, Notfallwiederherstellung, Krisenmanagement und jaehrliche Strategieueberpruefung durch das Leitungsorgan.

Die meisten Finanzinstitute benoetigen 6-9 Monate fuer eine umfassende DORA-Implementierung, abhaengig von der bestehenden Reife. Da DORA seit Januar 2025 gilt, sollten Organisationen die Lueckenschliessung, Rahmenwerk-Verbesserung und Validierungstests priorisieren. Organisationen mit geringerer Reife oder komplexen Drittanbieter-Oekosystemen benoetigen moeglicherweise 12+ Monate fuer die vollstaendige Compliance.

DORA gilt fuer in der EU ansaessige Finanzunternehmen. Nicht-EU-Unternehmen mit EU-Niederlassungen oder Tochtergesellschaften muessen sicherstellen, dass diese Einheiten konform sind. Drittlandunternehmen, die Dienstleistungen in der EU erbringen, sollten die nationale Umsetzung verfolgen, da Mitgliedstaaten bestimmte Anforderungen auf grenzueberschreitende Dienstleister ausweiten koennen.

Finanzunternehmen, die KI-Systeme einsetzen, unterliegen sowohl DORA- als auch EU AI Act-Anforderungen. DORA adressiert die operationale Resilienz von IKT-Systemen (einschliesslich KI-gestuetzter Systeme), waehrend der EU AI Act KI-spezifische Risiken und Grundrechte adressiert. Viele Kontrollen ergaenzen sich, insbesondere bei Risikomanagement, Tests und Drittanbieter-Aufsicht.

Ja, VerifyWise bietet dedizierte DORA-Compliance-Funktionen einschliesslich IKT-Risikoregister, Vorfallmanagement-Workflows, Drittanbieter-Tracking, Testprogramm-Management und aufsichtlicher Berichterstattung. Unsere Plattform unterstuetzt auch ISO 42001 und den EU AI Act fuer Organisationen, die mehrere Rahmenwerke implementieren.

Bereit fuer DORA-Compliance?

Starten Sie Ihren Weg zur digitalen operationalen Resilienz mit unserer gefuehrten Bewertung und Implementierungstools.

DORA-Bewertung starten Beratung vereinbaren