DORA Artikel 19, 28 und 30: Warum ein ISMS für Finanzunternehmen nicht mehr ausreicht
Published 27. Jan. 2026
By Anna Bley

DORA Artikel 19, 28 und 30: Warum ein ISMS für Finanzunternehmen nicht mehr ausreicht

DORA verlangt operative Kundenkommunikation bei Vorfällen, ein aktuelles IKT-Dienstleisterregister und fortlaufendes Monitoring. Ein ISMS allein reicht dafür nicht aus.

DORA
Security
Compliance
FinTech

DORA Artikel 19, 28 und 30: Warum ein ISMS für Finanzunternehmen nicht mehr ausreicht

Die DORA-Verordnung gilt seit dem 17. Januar 2025 unmittelbar für fast alle Finanzunternehmen in der EU. Sie bringt Anforderungen mit sich, die ein klassisches ISMS nicht erfüllen kann – insbesondere bei der Kundenkommunikation und dem fortlaufenden Monitoring von IKT-Dienstleistern.

Was ein ISMS abdeckt – und was nicht

Ein ISMS nach ISO 27001 liefert Governance: Richtlinien, Risikoregister, Kontrollen, jährliche Audits. DORA baut darauf auf – Artikel 5 und 6 fordern einen dokumentierten IKT-Risikomanagementrahmen unter Verantwortung des Leitungsorgans. Das kann ein ISMS leisten.

Doch DORA geht an drei Stellen deutlich weiter:

1. Artikel 19(3): Kunden müssen unverzüglich informiert werden

DORA führt nicht nur Meldefristen gegenüber Aufsichtsbehörden ein (24 Stunden für die Erstmeldung, 72 Stunden danach für den Folgebericht und 1 Monat nach dem Folgebericht für den Abschlussbericht). Artikel 19 Absatz 3 verlangt zusätzlich:

„Wenn ein schwerwiegender IKT-bezogener Vorfall auftritt und Auswirkungen auf die finanziellen Interessen von Kunden hat, unterrichten die Finanzunternehmen, sobald sie hiervon Kenntnis erlangt haben, ihre Kunden unverzüglich."

Das ist neu: Die Kommunikation läuft nicht nur vertikal zur Behörde, sondern horizontal zu Geschäftspartnern. Ein ISMS dokumentiert Vorfälle intern – es bietet keinen Kanal zur strukturierten Kundenkommunikation in Echtzeit.

2. Artikel 28(3): Das Informationsregister muss aktuell sein

Finanzunternehmen müssen ein vollständiges Register aller IKT-Drittdienstleister führen und aktualisieren – nicht als einmalige Übung, sondern laufend. Die BaFin kann dieses Register jederzeit anfordern.

Ein ISMS enthält typischerweise eine Lieferantenliste. Aber ein Register im DORA-Sinne erfordert strukturierte, aktuelle Daten zu Vertragsumfang, Standorten, Subunternehmern und Kritikalität – idealerweise in einem Format, das sich automatisiert befüllen lässt.

3. Artikel 30(3)(e): Fortlaufende Überwachung – nicht jährliche Audits

DORA verlangt in Verträgen mit kritischen IKT-Dienstleistern „das Recht, die Leistung des IKT-Drittdienstleisters fortlaufend zu überwachen". Gleichzeitig nennt die Verordnung als Mechanismen: „Zugangs-, Inspektions- und Auditrechte", „Vor-Ort-Prüfungen".

Hier klafft eine Lücke: DORA fordert kontinuierliches Monitoring, setzt aber Instrumente aus der Welt jährlicher Audits voraus. Kein Finanzunternehmen kann 30 IKT-Dienstleister quartalsweise vor Ort prüfen. Was „fortlaufend" operativ bedeutet, muss anders gelöst werden: mit Dashboards, automatisierten Status-Updates und strukturierten Datenfeeds.

Die Lösung: ISMS für Governance, Trust Center für Operations

DORA trennt implizit zwei Welten: interne Steuerung und externe Kommunikation. Ein ISMS deckt die erste ab. Für die zweite – Kundenkommunikation bei Vorfällen, fortlaufendes Dienstleister-Monitoring, aktuelles Informationsregister – braucht es ein operatives System.

Ein Trust Center schließt genau diese Lücke: Es macht Sicherheitsstatus sichtbar, ermöglicht proaktive Kommunikation und liefert strukturierte Daten, die Kunden direkt in ihr eigenes Informationsregister übernehmen können.


Quellen:


Weiterführende Artikel

Häufig gestellte Fragen

Welche Meldefristen gelten für Finanzunternehmen unter DORA?

DORA verlangt eine Erstmeldung innerhalb von 24 Stunden nach Feststellung, einen Folgebericht innerhalb von 72 Stunden nach der Erstmeldung und einen Abschlussbericht innerhalb von 1 Monat nach dem Folgebericht.

Was fordert DORA Artikel 19(3) für die Kundenkommunikation?

Artikel 19(3) verpflichtet Finanzunternehmen, Kunden unverzüglich zu informieren, wenn ein schwerwiegender IKT-bezogener Vorfall deren finanzielle Interessen betrifft. Damit wird die horizontale Kommunikation an Geschäftspartner neben der vertikalen Meldung an Behörden zur Pflicht.

Was ist das DORA-Informationsregister nach Artikel 28?

Artikel 28(3) verlangt von Finanzunternehmen die kontinuierliche Führung und Aktualisierung eines strukturierten Registers aller IKT-Drittdienstleister, einschließlich Vertragsumfang, Standorten, Unterauftragnehmern und Kritikalitätsbewertung — jederzeit abrufbar für Aufsichtsprüfungen.

Wie unterscheidet sich DORA Artikel 30 von jährlichen Audits?

Artikel 30(3)(e) verlangt eine fortlaufende Überwachung der Leistung kritischer IKT-Dienstleister, die über traditionelle jährliche Audit-Zyklen hinausgeht. Dies erfordert operative Tools wie Dashboards, automatisierte Statusberichte und strukturierte Datenfeeds.

Was ist der Unterschied zwischen DORA und NIS2?

DORA gilt speziell für EU-Finanzunternehmen und fokussiert auf digitale operationelle Resilienz einschließlich IKT-Anbieterregister und Kundenbenachrichtigung. NIS2 ist eine sektorübergreifende Richtlinie für wesentliche und wichtige Einrichtungen in 18 Sektoren mit breiterem Fokus auf Cybersicherheits-Risikomanagement.

DORA Artikel 19, 28 und 30: Warum ein ISMS für...