Was ist DORA Compliance?

DORA Compliance bedeutet die Erfüllung der Anforderungen des Digital Operational Resilience Act (Verordnung EU 2022/2554). Finanzunternehmen müssen ein IKT-Risikomanagement-Rahmenwerk umsetzen, IKT-bezogene Vorfälle nach strengen Fristen melden, digitale Belastbarkeitstests durchführen, IKT-Drittparteienrisiken managen und ein Informationsregister führen. DORA gilt seit dem 17. Januar 2025 unmittelbar in allen EU-Mitgliedstaaten — eine nationale Umsetzung ist nicht erforderlich.

Welche Bußgelder drohen bei DORA-Verstößen?

DORA legt für Finanzunternehmen keinen einheitlichen EU-weiten Bußgeldkatalog fest. Die Mitgliedstaaten müssen vielmehr wirksame, verhältnismäßige und abschreckende Sanktionen und Abhilfemaßnahmen vorsehen; die genaue finanzielle Exposition hängt daher von nationalem Recht und zuständiger Behörde ab. Für kritische IKT-Drittdienstleister sind unter dem DORA-Aufsichtsrahmen zudem periodische Strafzahlungen bei Nicht-Compliance oder Nicht-Kooperation möglich.

Was ist die DORA-Frist für das Informationsregister 2026?

Das Informationsregister (RoI) 2026 erfasst IKT-Drittparteienvereinbarungen mit Stichtag 31. Dezember 2025. Die nationalen Fristen variieren: Die niederländische AFM fordert eine Einreichung bis zum 31. März 2026, die Luxemburger CSSF öffnete ihr Portal am 11. Februar 2026, die konsolidierte ESA-Frist ist der 30. April 2026. Beim ESA-Probelauf 2024 bestanden nur 6,5% der Unternehmen alle 116 Datenqualitätsprüfungen.

Was ist der Unterschied zwischen DORA und NIS2?

DORA ist sektorspezifische Gesetzgebung für den Finanzsektor und gilt als Verordnung unmittelbar. NIS2 ist eine sektorübergreifende Richtlinie, die nationale Umsetzung erfordert. Für Finanzunternehmen ist DORA lex specialis — sie hat Vorrang, wo sich Anforderungen überschneiden. DORA enthält deutlich detailliertere Anforderungen an IKT-Risikomanagement, Belastbarkeitstests, das Informationsregister und die Drittparteienüberwachung.

Verlangt DORA Penetrationstests?

Ja. DORA verpflichtet alle Finanzunternehmen zur regelmäßigen Durchführung von Belastbarkeitstests, einschließlich Schwachstellenbewertungen. Bedeutende Finanzunternehmen müssen zusätzlich mindestens alle drei Jahre Threat-Led Penetration Tests (TLPT) durch externe Tester nach TIBER-EU oder gleichwertigen nationalen Rahmenwerken (z.B. TIBER-DE) durchführen.

DORA Compliance: Vollständiger Leitfaden zum Digital Operational Resilience Act (2026)

Published 16. März 2026

By Emre Salmanoglu

DORA Compliance: Vollständiger Leitfaden zum Digital Operational Resilience Act (2026)

Q: Wer muss DORA umsetzen?

DORA gilt für praktisch alle regulierten Finanzunternehmen in der EU: Banken, Versicherungen, Wertpapierfirmen, Zahlungsinstitute, Krypto-Asset-Dienstleister, Handelsplätze, zentrale Gegenparteien und mehr — insgesamt 20 Kategorien. IKT-Drittdienstleister sind separat aufgeführt und können unter den Aufsichtsrahmen für kritische IKT-Drittdienstleister (CTPPs) fallen. Seit November 2025 sind 19 Anbieter formal designiert, darunter AWS, Microsoft, Google Cloud, IBM, Bloomberg und weitere.

Alles, was Finanzunternehmen über DORA Compliance 2026 wissen müssen — IKT-Risikomanagement, Vorfallsmeldung, Resilienz-Tests, Drittparteienrisiko, Durchsetzung und das Informationsregister-Deadline.

DORA

Compliance

Finanzsektor

IKT-Risiko

EU-Regulierung

DORA Compliance: Vollständiger Leitfaden zum Digital Operational Resilience Act (2026)

Der Digital Operational Resilience Act (DORA) — Verordnung (EU) 2022/2554 — ist das EU-Rahmenwerk für IKT-Risikomanagement im Finanzsektor. Er gilt seit dem 17. Januar 2025 und betrifft praktisch jedes regulierte Finanzunternehmen in der Europäischen Union.

Anders als NIS2 ist DORA eine Verordnung, keine Richtlinie. Er gilt unmittelbar in allen Mitgliedstaaten ohne nationale Umsetzungsgesetz. Verordnung (EU) 2022/2554, Artikel 64 legt den 17. Januar 2025 als Anwendungsdatum fest. Im Jahr 2026 haben die Aufsichtsbehörden die Gangart verschärft: Es geht nicht mehr um Dokumentation, sondern um den Nachweis operativer Resilienz.

Was ist DORA?

DORA schafft einen umfassenden Rahmen, damit Finanzunternehmen IKT-bezogene Störungen und Bedrohungen standhalten, darauf reagieren und sich davon erholen können. Der Rechtsakt umfasst fünf Säulen:

IKT-Risikomanagement — Governance-Rahmenwerk für IKT-Risiken (Artikel 5–16)
IKT-bezogene Vorfallsmeldung — Standardisierte Meldung schwerwiegender Vorfälle (Artikel 17–23)
Digitale Belastbarkeitstests — Regelmäßige Prüfung der IKT-Systeme (Artikel 24–27)
IKT-Drittparteienrisikomanagement — Überwachung kritischer IKT-Dienstleister (Artikel 28–44)
Informationsaustausch — Freiwilliger Austausch von Cyber-Bedrohungsinformationen (Artikel 45)

Die Verordnung erkennt an, dass die wachsende technologische Abhängigkeit des Finanzsektors systemische Risiken erzeugt, die über einzelne Institute hinausgehen. Ein einzelner IKT-Ausfall oder Cyberangriff kann sich durch vernetzte Finanzsysteme ausbreiten — operationale Resilienz ist damit eine Frage der Finanzstabilität, nicht nur der IT-Sicherheit.

Wer muss DORA umsetzen?

DORA gilt für 20 Kategorien von Finanzunternehmen:

Kategorie	Beispiele
Kreditinstitute	Banken, Sparkassen, Volksbanken
Zahlungsinstitute	Zahlungsdienstleister, PSPs
E-Geld-Institute	E-Geld-Emittenten
Wertpapierfirmen	Broker, Vermögensverwalter
Krypto-Asset-Dienstleister	Handelsplattformen, Verwahrstellen
Versicherungsunternehmen	Versicherer, Rückversicherer
Versicherungsvermittler	Makler, Agenten
Einrichtungen der betrieblichen Altersversorgung	Pensionsfonds
Zentrale Gegenparteien	Clearinghäuser
Transaktionsregister	Meldewesen
Zentralverwahrer	Wertpapierabwicklung
Handelsplätze	Börsen, MTFs
Verbriefungsregister	ABS-Daten
Ratingagenturen	Bewertungsanbieter
Schwarmfinanzierungsdienstleister	Crowdfunding-Plattformen
Datenbereitstellungsdienste	APAs, ARMs
Verwalter alternativer Investmentfonds	Hedgefonds-Manager, PE-Manager
Verwaltungsgesellschaften	OGAW-Verwalter
Kontoinformationsdienstleister	Open-Banking-Anbieter

Zusätzlich unterliegen kritische IKT-Drittdienstleister (CTPPs) einem eigenen Aufsichtsrahmen.

Verhältnismäßigkeit

DORA wendet den Grundsatz der Verhältnismäßigkeit an. Die Anforderungen skalieren basierend auf:

Größe und Gesamtrisikoprofil des Unternehmens
Art, Umfang und Komplexität der Dienstleistungen
IKT-Risikoexposition des Unternehmens

Kleinstunternehmen (weniger als 10 Beschäftigte und unter 2 Mio.€ Umsatz) profitieren von einem vereinfachten IKT-Risikomanagement-Rahmenwerk nach Artikeln 15–16.

Die fünf Säulen von DORA

Säule 1: IKT-Risikomanagement (Artikel 5–16)

Finanzunternehmen müssen ein umfassendes IKT-Risikomanagement-Rahmenwerk einrichten, das folgende Bereiche abdeckt:

Governance:

Leitungsorgan behält die letztendliche Verantwortung für IKT-Risiken
Eigene IKT-Risikomanagementfunktion, unabhängig von operativer IKT
IKT-Risikomanagementstrategie mindestens jährlich überprüft
Leitungsorgan muss IKT-Risiko-Schulungen absolvieren

Identifizierung:

Alle IKT-gestützten Geschäftsfunktionen identifizieren, klassifizieren und dokumentieren
IKT-Assets und deren Abhängigkeiten kartieren
Alle IKT-Risikoquellen identifizieren
Risikobewertungen mindestens jährlich durchführen

Schutz und Prävention:

IKT-Sicherheitsrichtlinien und -verfahren umsetzen
Patch-Management mit definierten Zeitrahmen
Netzwerksicherheit und Zugriffskontrollen
Datenschutz und Verschlüsselungsmaßnahmen

Erkennung:

Kontinuierliche Überwachung der IKT-Systeme
Anomalie-Erkennungsmechanismen
Mehrere Kontrollschichten

Reaktion und Wiederherstellung:

IKT-Business-Continuity-Richtlinie
Disaster-Recovery-Pläne mit Recovery Time Objectives (RTOs) und Recovery Point Objectives (RPOs)
Krisenkommunikationsverfahren
Post-Incident-Reviews

Lernen und Weiterentwickeln:

Bedrohungsinformationen sammeln und auswerten
Ursachenanalyse nach Vorfällen
Kontinuierliche Verbesserung des Rahmenwerks

Säule 2: IKT-bezogene Vorfallsmeldung (Artikel 17–23)

DORA standardisiert die Vorfallklassifizierung und -meldung im gesamten Finanzsektor. Finanzunternehmen müssen schwerwiegende IKT-bezogene Vorfälle nach festgelegten Schwellenwerten klassifizieren und melden:

Klassifizierungskriterien für schwerwiegende Vorfälle:

Anzahl betroffener Kunden oder Gegenparteien
Dauer des Vorfalls
Geografische Ausbreitung
Umfang der Datenverluste
Auswirkungen auf kritische Dienste
Wirtschaftliche Auswirkungen

Meldefristen:

Frist	Berichtstyp	Inhalt
Innerhalb von 4 Stunden nach Klassifizierung als schwerwiegend (spätestens 24 Stunden nach Feststellung)	Erstmeldung	Grundlegende Fakten und Klassifizierung
Innerhalb von 72 Stunden nach Klassifizierung	Zwischenbericht	Aktualisierte Bewertung und Auswirkungen
Innerhalb von 1 Monat nach dem Zwischenbericht	Abschlussbericht	Ursachenanalyse, Abhilfemaßnahmen

Finanzunternehmen müssen betroffene Kunden unverzüglich informieren, wenn Vorfälle ihre finanziellen Interessen beeinträchtigen (Artikel 19 Abs. 3). Diese horizontale Kommunikationspflicht — gegenüber Gegenparteien, nicht nur gegenüber Aufsichtsbehörden — ist eine der operativ anspruchsvollsten DORA-Anforderungen.

Zuständige Behörden in Deutschland sind die BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) und die Bundesbank für die meisten Finanzunternehmen.

Säule 3: Digitale Belastbarkeitstests (Artikel 24–27)

Grundlegende Tests (alle Unternehmen):

Schwachstellenbewertungen und -scans
Open-Source-Analysen
Netzwerksicherheitsbewertungen
Lückenanalysen
Physische Sicherheitsprüfungen
Szenariobasierte Tests
Kompatibilitäts- und Leistungstests
End-to-End-Tests

Erweiterte Tests (bedeutende Unternehmen):

Threat-Led Penetration Testing (TLPT) mindestens alle drei Jahre
Muss anerkannten Rahmenwerken folgen: TIBER-EU oder das deutsche TIBER-DE-Framework der Bundesbank
Durchführung durch qualifizierte externe Tester
Deckung kritischer IKT-Systeme, die kritische oder wichtige Funktionen unterstützen
Ergebnisse an zuständige Behörden (BaFin/Bundesbank) melden

Das TIBER-DE-Programm der Deutschen Bundesbank ist das anerkannte nationale Rahmenwerk für TLPT in Deutschland.

Säule 4: IKT-Drittparteienrisikomanagement (Artikel 28–44)

DORA schafft einen umfassenden Rahmen für das Management von Auslagerungen und IKT-Drittparteienrisiken:

Vorvertragliche Anforderungen:

Risikobewertung vor Vertragsabschluss
Due-Diligence-Prüfung potenzieller Anbieter
Bewertung des Konzentrationsrisikos

Vertragliche Anforderungen (Artikel 30): Verträge mit IKT-Drittdienstleistern müssen Pflichtbestimmungen enthalten zu:

Vollständiger Dienstleistungsbeschreibung und SLAs
Standort der Datenverarbeitung und -speicherung
Prüfungs- und Zugangsrechten
Kooperationspflichten bei Vorfällen
Datenportabilität und Migrationsunterstützung
Ausstiegsstrategien und Übergangsplänen

Informationsregister (Artikel 28 Abs. 3): Finanzunternehmen müssen ein strukturiertes, kontinuierlich aktualisiertes Register aller IKT-Drittparteiendienstleistungsvereinbarungen führen. Dieses Register ist ein zentrales Aufsichtsinstrument und muss jederzeit für Prüfzwecke verfügbar und jährlich bei den nationalen Behörden eingereicht werden.

Überwachung kritischer IKT-Drittdienstleister (CTPPs): Die Europäischen Aufsichtsbehörden können Anbieter als CTPPs designieren. Diese unterliegen einer direkten Beaufsichtigung einschließlich:

Jährlicher Risikoanalysen
Umfassender Berichtspflichten
Vor-Ort- und Fernprüfungen durch Joint Examination Teams (JETs)
Periodischer Strafzahlungen von bis zu 1% des durchschnittlichen täglichen Weltumsatzes bei Nicht-Kooperation

Säule 5: Informationsaustausch (Artikel 45)

DORA ermutigt — verpflichtet aber nicht — Finanzunternehmen zum Austausch von Cyber-Bedrohungsinformationen:

Indikatoren für Kompromittierungen (IoCs), Taktiken, Techniken und Verfahren (TTPs) teilen
Informationen über Cyberbedrohungen innerhalb vertrauenswürdiger Gemeinschaften austauschen
An Informationsaustauschvereinbarungen teilnehmen
Zuständige Behörden über die Teilnahme informieren

DORA 2026: Was sich geändert hat

19 kritische IKT-Drittdienstleister designiert

Am 18. November 2025 veröffentlichten EBA, EIOPA und ESMA die erste offizielle Liste von 19 designierten kritischen IKT-Drittdienstleistern (CTPPs). Die Liste umfasst:

Hyperscale-Cloud: AWS, Microsoft Azure, Google Cloud
Finanzdaten und -technologie: Bloomberg, London Stock Exchange Group, IBM
IT-Dienstleistungen und Telekommunikation: Tata Consultancy Services, Orange

Diese Anbieter unterliegen nun der direkten Beaufsichtigung durch Joint Examination Teams (JETs). Finanzunternehmen, die stark von einem designierten CTPP abhängig sind, müssen diese Abhängigkeit im Informationsregister dokumentieren und das Konzentrationsrisiko gesondert bewerten.

Informationsregister — Fristen 2026

Das Informationsregister (RoI) 2026 erfasst IKT-Drittparteienvereinbarungen mit Stichtag 31. Dezember 2025:

Jurisdiction	Zuständige Behörde	Einreichungsfrist 2026
Niederlande	AFM	31. März 2026
Luxemburg	CSSF	Portal ab 11. Februar 2026
Belgien	FSMA	Vor dem 30. April 2026
EU konsolidiert	EBA/EIOPA/ESMA	30. April 2026
Deutschland	BaFin	Koordiniert mit ESA-Frist

Kritische Warnung: Beim ESA-Probelauf 2024 bestanden nur 6,5% von fast 1.000 Unternehmen alle 116 Datenqualitätsprüfungen. Die häufigsten Fehler: unvollständige Vertragsdaten, fehlende Unterauftragnehmer-Informationen und falsche Kritikalitätsklassifizierungen. Die Einreichung 2026 muss wesentlich vollständiger sein.

Durchsetzung hat sich verändert

Laut Branchenexperten markiert 2026 den Übergang von papierbasierter Compliance zum Nachweis operativer Resilienz. Aufsichtsbehörden erwarten jetzt Echtzeit-Nachweise statt Richtlinien-Dokumentation. Der neue Aufsichtsansatz wird als „interventionistische Beaufsichtigung" beschrieben.

Deloitte-Forschung zeigt:

Compliance-Kosten werden von den meisten Instituten auf 2–5 Mio. € geschätzt
Nur 50% der Institute erwarteten Ende 2025 vollständige Compliance
38% zielen auf 2026 für vollständige Compliance
Persönliche Haftung des Senior Managements steht ausdrücklich auf der regulatorischen Agenda

DORA vs. NIS2: Die Beziehung verstehen

Für Finanzunternehmen können sowohl DORA als auch NIS2 relevant sein. DORA ist lex specialis — sie hat Vorrang, wo ihre Anforderungen spezifischer sind:

Aspekt	DORA	NIS2 (NIS2UmsuCG)
Rechtsform	Verordnung (unmittelbar anwendbar)	Richtlinie (erfordert Umsetzung im NIS2UmsuCG)
Geltungsbereich	Finanzsektor + kritische IKT-Anbieter	18 sektorübergreifende Kategorien
Vorfallsmeldung	4h Erst- (ab Klassifizierung) / 72h Zwischen- / 1 Monat Abschlussbericht	24h Frühwarnung / 72h Meldung / 1 Monat
Tests	TLPT alle 3 Jahre für bedeutende Unternehmen	Wirksamkeitsbewertung (weniger präskriptiv)
Drittparteienrisiko	Detailliertes Framework mit Überwachungsregime	Anforderungen an Lieferkettensicherheit
Vorrang	Hat Vorrang für Finanzunternehmen	Gilt, wo DORA nicht greift

Das deutsche Umsetzungsgesetz der NIS2-Richtlinie ist das NIS2-Umsetzungsgesetz (NIS2UmsuCG) — für Finanzunternehmen geht DORA jedoch vor. Für eine detaillierte Gegenüberstellung von Geltungsbereichen, Meldefristen, Bußgeldern und der Doppelverpflichtungsstrategie lesen Sie unseren DORA-vs.-NIS2-Vergleichsleitfaden.

DORA Bußgelder und Sanktionen

DORA harmonisiert die konkrete Höhe monetärer Sanktionen für Finanzunternehmen nicht vollständig auf EU-Ebene. Artikel 50 verpflichtet die Mitgliedstaaten vielmehr, wirksame, verhältnismäßige und abschreckende Sanktionen und Abhilfemaßnahmen vorzusehen. Die genaue Bußgeldhöhe hängt daher vom nationalen Recht und der zuständigen Behörde ab.

Für Finanzunternehmen:

Abhilfemaßnahmen und verbindliche Fristen
Öffentliche Bekanntmachungen und aufsichtsrechtliche Hinweise
Einschränkungen von Leitungsfunktionen
Aussetzung oder Entzug der Zulassung
Verwaltungsrechtliche Sanktionen nach anwendbarem nationalem Recht

Für kritische IKT-Drittdienstleister:

Empfehlungen des Lead Overseers und Folgemaßnahmen
Abhilfepflichten im Aufsichtsrahmen
Periodische Strafzahlungen bei Nicht-Compliance oder Nicht-Kooperation

Die persönliche Verantwortung des Leitungsorgans ist unter DORA ausdrücklich angelegt; die konkrete monetäre Exposition für Finanzunternehmen ergibt sich jedoch aus dem nationalen Sanktionsregime.

DORA Compliance-Fahrplan

Schritt 1: Anwendbarkeit und Verhältnismäßigkeit prüfen

Bestimmen Sie, welche DORA-Anforderungen für Ihr Unternehmen gelten:

Unternehmenstyp (welche der 20 Finanzunternehmens-Kategorien zutrifft)
Größe (Kleinstunternehmen vs. Standard vs. bedeutendes Unternehmen)
IKT-Risikoexposition und Kritikalität der Betriebsabläufe

Schritt 2: DORA-Lückenanalyse durchführen

Mappen Sie Ihr aktuelles IKT-Risikomanagement gegenüber den fünf DORA-Säulen. Häufige Lücken aus Aufsichtsbeurteilungen 2025:

Kein oder unvollständiges Informationsregister
Nicht definierte Schwellenwerte für die Vorfallklassifizierung
Kein TLPT-Programm für qualifizierte bedeutende Unternehmen
Drittparteienverträge ohne DORA-Pflichtbestimmungen
Konzentrationsrisiko nicht formal bewertet

Schritt 3: IKT-Risikomanagement-Rahmenwerk aufbauen

Stellen Sie Ihr Rahmenwerk gemäß Artikeln 5–16 auf oder aktualisieren Sie es:

Formale Überwachungsrolle des Leitungsorgans dokumentieren
IKT-Risikostrategie, -appetit und -richtlinien erstellen oder aktualisieren
Unabhängige IKT-Risikomanagementfunktion einrichten
Kontinuierliche Überwachung und Anomalieerkennung implementieren

Schritt 4: Vorfallmeldungsfähigkeit aufbauen

Die 24-Stunden-Erstmeldung ist operativ anspruchsvoll und erfordert:

Vorab definierte Klassifizierungskriterien und -schwellen
24/7-Erkennungs- und Eskalationsverfahren
Vorabgestimmte Meldevorlagen
Benannte Regulierungskontakte bei BaFin und Bundesbank
Kundenmeldungsworkflows (Artikel 19 Abs. 3)

Schritt 5: Belastbarkeitstestprogramm implementieren

Für alle Unternehmen:

Jährliche Schwachstellenbewertungen und Netzwerksicherheitstests
Szenariobasierte Business-Continuity-Übungen

Für bedeutende Unternehmen:

Qualifizierte TLPT-Tester identifizieren und beauftragen
Abstimmung mit TIBER-DE oder TIBER-EU
Scope vorab mit BaFin/Bundesbank abstimmen

Schritt 6: Informationsregister korrigieren

Dies ist die dringlichste praktische Priorität in 2026. Anforderungen:

Alle IKT-Drittparteiendienstleistungsvereinbarungen im ESA-Standardtemplate dokumentieren
Einbeziehen: Anbieterdetails, Vertragsumfang, Dienstleistungsstandorte, Unterauftragnehmer, Kritikalitätsklassifizierung
Konzentrationsrisiko für Anbieter bewerten, die mehrere kritische Funktionen bedienen
Bis zur nationalen BaFin-koordinierten Frist einreichen

Schritt 7: Kontinuierliche Compliance einrichten

DORA-Compliance ist kein einmaliges Projekt — das ist der grundlegende Unterschied zu klassischen Compliance-Ansätzen. Aufsichtsbehörden erwarten heute den kontinuierlichen Nachweis operativer Resilienz, nicht nur den Abschluss eines jährlichen Audits:

Kontinuierliche Überwachung der Sicherheitslage von IKT-Drittdienstleistern
Vierteljährliche Prüfung und Aktualisierung des Informationsregisters
Jährliche Überprüfung des IKT-Risikomanagement-Rahmenwerks und der IKT-Strategie
Jährliche Überprüfung der Vorfallklassifizierungsschwellen mit Bezug auf aktuelle BaFin-Praxis
Kontinuierliches Training des Leitungsorgans zu IKT-Risikotrends und regulatorischen Entwicklungen
Regelmäßige Überprüfung der Konzentrationsrisiko-Bewertung, insbesondere nach Designierung neuer CTPPs durch die ESAs

Wie Orbiq bei DORA Compliance unterstützt

Orbiq hilft Finanzunternehmen, die operativen DORA-Anforderungen kontinuierlich zu erfüllen:

Informationsregister-Management: Vollständiges, strukturiertes Inventar aller IKT-Drittparteienvereinbarungen — jederzeit bereit für Aufsichtseinreichungen
Lieferanten-Monitoring: Kontinuierliche Bewertung der Sicherheitslage und des Compliance-Status von IKT-Drittanbietern, einschließlich designierter CTPPs
Evidenzmanagement: Automatische Sammlung und Organisation von Compliance-Nachweisen für aufsichtliche Prüfungen und TLPT-Prozesse
Trust Center: Darstellung der operativen Resilienz gegenüber Geschäftspartnern, Wirtschaftsprüfern und Aufsichtsbehörden — erfüllt die horizontale Kommunikationspflicht nach Artikel 19 Abs. 3
Lieferkettentransparenz: Echtzeit-Übersicht über IKT-Abhängigkeiten, Konzentrationsrisiko-Scoring und CTPP-Exposition
Kontinuierliches Monitoring: Automatisiertes Kontroll-Monitoring, das prüfungsfertige Nachweise ohne manuellen Aufwand generiert

Von Grund auf für europäische Finanzdienstleister entwickelt — mit EU-Datenhaltung und DSGVO-nativer Architektur.

Wichtige DORA-Fristen 2026

Frist	Anforderung
30. April 2026	Einreichung des Informationsregisters an ESAs (über nationale Behörden)
Laufend	Kontinuierliche Überwachung von IKT-Drittdienstleistern
Jährlich	Überprüfung des IKT-Risikomanagement-Rahmenwerks
Alle 3 Jahre	TLPT für bedeutende Unternehmen

Weiterführende Artikel

DORA Vorfallsmeldung und Anbieter-Monitoring: Artikel 19, 28, 30
NIS2 Compliance Leitfaden — Für Anforderungen jenseits von DORA
NIS2 Lieferkettensicherheit — Ergänzende Leitlinien zum Drittparteienrisikomanagement
Vendor Assurance Platform — Wie Orbiq IKT-Drittparteienrisiken skaliert verwaltet

Quellen & Referenzen

Verordnung (EU) 2022/2554 — DORA Volltext — Amtsblatt der EU, Quelldokument für alle Artikelverweise
ESAs designieren kritische IKT-Drittdienstleister, 18. November 2025 — Erste CTPP-Liste: 19 Anbieter inkl. AWS, Microsoft, Google Cloud, IBM, Bloomberg, LSEG, TCS, Orange
DORA 2026: AQMetrics — Ende der Schonfrist — Wandel zur interventionistischen Beaufsichtigung
DORA Informationsregister 2026 — CSSF Luxemburg — CSSF-Einreichungsfristen und Portal-Details
DORA Informationsregister 2026 — FSMA Belgien — FSMA-Aufsichtserwartungen für 2026
DORA Compliance Checklist 2026 — Thomas Murray — Compliance-Fortschrittsstatistiken; 50% vollständige Compliance-Rate
DORA Bußgelder und Sanktionen 2025 — Bußgeldstrukturen: 2% Umsatz, 1 Mio. € persönlich, 5 Mio. € für CTPPs
TIBER-DE Programm — Deutsche Bundesbank — Deutsches TLPT-Rahmenwerk der Bundesbank

Dieser Leitfaden wird vom Orbiq-Team gepflegt. Letzte Aktualisierung: März 2026.