DORA-Compliance: Was die Verordnung erfordert, wen sie betrifft und wie man sich vorbereitet
Ein praxisnaher Leitfaden zur DORA-Compliance — was der Digital Operational Resilience Act erfordert, welche Finanzunternehmen und IKT-Anbieter betroffen sind, zentrale Pflichten bei IKT-Risikomanagement, Vorfallmeldung, Resilienztests und Drittparteien-Risikomanagement.
DORA-Compliance: Was die Verordnung erfordert, wen sie betrifft und wie man sich vorbereitet
Der Digital Operational Resilience Act (DORA) ist die EU-Verordnung für die digitale betriebliche Widerstandsfähigkeit im Finanzsektor. Ab Januar 2025 anwendbar, etabliert er harmonisierte Anforderungen für IKT-Risikomanagement, Vorfallmeldung, Resilienztests und Drittparteien-Risikomanagement über alle Arten von Finanzunternehmen hinweg.
Für B2B-SaaS-Unternehmen, die den Finanzsektor bedienen, hat DORA erhebliche Auswirkungen. Als kritischer IKT-Drittanbieter eingestuft, unterliegen Sie der direkten EU-Aufsicht. Auch ohne diese Einstufung werden Finanzunternehmen als Kunden DORA-konforme vertragliche Anforderungen an ihre IKT-Lieferanten stellen. Das Verständnis von DORA ist für jedes Technologieunternehmen, das mit europäischen Finanzinstituten Geschäfte macht, unerlässlich.
Dieser Leitfaden behandelt, was DORA erfordert, wen es betrifft, die fünf Säulen der Compliance und wie man sich als IKT-Dienstleister vorbereitet.
DORA-Geltungsbereich und Anwendbarkeit
Betroffene Finanzunternehmen
DORA gilt für praktisch alle regulierten Finanzunternehmen in der EU:
| Kategorie | Einrichtungen |
|---|---|
| Bankwesen | Kreditinstitute, Zahlungsinstitute, E-Geld-Institute |
| Investment | Wertpapierfirmen, Handelsplätze, zentrale Gegenparteien, Zentralverwahrer |
| Versicherung | Versicherungsunternehmen, Rückversicherungsunternehmen, Versicherungsvermittler |
| Pensionen | Einrichtungen der betrieblichen Altersversorgung |
| Krypto | Krypto-Asset-Dienstleister, Emittenten wertreferenzierter Token |
| Sonstiges | Ratingagenturen, Administratoren kritischer Referenzwerte, Verbriefungsregister, Crowdfunding-Dienstleister |
IKT-Drittdienstleister
DORA erstreckt sich über Finanzunternehmen hinaus auf IKT-Drittdienstleister, einschließlich:
- Cloud-Dienstleister (IaaS, PaaS, SaaS)
- Datenanalyseanbieter
- Softwareanbieter
- Rechenzentrums-Dienstleister
- IKT-Infrastrukturanbieter
Kritische IKT-Drittdienstleister (CTPPs), die von den Europäischen Aufsichtsbehörden benannt werden, unterliegen der direkten Aufsicht. Benennungskriterien umfassen systemische Bedeutung für den Finanzsektor, Substituierbarkeit und die Anzahl und Bedeutung der abhängigen Finanzunternehmen.
Die fünf Säulen von DORA
Säule 1: IKT-Risikomanagement (Artikel 5-16)
Finanzunternehmen müssen umfassende IKT-Risikomanagement-Rahmenwerke etablieren:
Governance
- Das Leitungsorgan trägt die letztendliche Verantwortung für das IKT-Risikomanagement
- IKT-Risikomanagement-Rahmenwerk definieren, genehmigen und beaufsichtigen
- Ausreichend Budget und Ressourcen für IKT-Sicherheit bereitstellen
- Mitglieder des Managements müssen IKT-Risikokenntnisse durch regelmäßige Schulungen aufrechterhalten
Zentrale Anforderungen:
| Bereich | Anforderung |
|---|---|
| Identifizierung | Aktuelles Inventar der IKT-Assets führen, Abhängigkeiten abbilden, kritische Funktionen identifizieren |
| Schutz | Sicherheitsrichtlinien, Zugangskontrolle, Verschlüsselung, Netzwerksicherheit implementieren |
| Erkennung | Überwachungs-, Alarmierungs- und Anomalieerkennungsfähigkeiten einsetzen |
| Reaktion | Incident-Response-Verfahren, Eindämmungsstrategien, Kommunikationspläne etablieren |
| Wiederherstellung | Wiederherstellungsziele, Backup-Richtlinien, Wiederherstellungsverfahren definieren |
| Lernen | Post-Incident-Reviews, Schwachstellenbewertungen, kontinuierliche Verbesserung |
Säule 2: IKT-bezogenes Vorfallmanagement und Meldung (Artikel 17-23)
Vorfallklassifizierung
| Kriterium | Beschreibung |
|---|---|
| Betroffene Kunden | Anzahl betroffener Kunden oder Finanzgegenparteien |
| Dauer | Länge des Vorfalls |
| Geografische Ausbreitung | Betroffene Gebiete, einschließlich grenzüberschreitender Auswirkung |
| Datenverluste | Ob Daten kompromittiert, beschädigt oder verloren wurden |
| Kritikalität der Dienste | Wie kritisch die betroffenen Dienste sind |
| Wirtschaftliche Auswirkung | Direkte und indirekte Kosten und Verluste |
Meldezeitplan
| Stufe | Frist | Inhalt |
|---|---|---|
| Erstmeldung | 4 Stunden nach Klassifizierung (24 Stunden nach Erkennung) | Vorfallzusammenfassung, erste Auswirkungsbewertung |
| Zwischenbericht | 72 Stunden nach Klassifizierung | Aktualisierte Bewertung, Eindämmungsmaßnahmen, Grundursache (falls bekannt) |
| Abschlussbericht | 1 Monat nach letztem Zwischenbericht | Ursachenanalyse, Gesamtauswirkung, Abhilfemaßnahmen, Lessons Learned |
Säule 3: Tests der digitalen betrieblichen Widerstandsfähigkeit (Artikel 24-27)
Grundlegende Tests (Alle Unternehmen)
- Schwachstellenbewertungen und -scans
- Open-Source-Analysen
- Netzwerksicherheitsbewertungen
- Gap-Analysen
- Physische Sicherheitsüberprüfungen
- Quellcode-Reviews, wo durchführbar
- Szenariobasierte Tests
- Penetrationstests (mindestens jährlich)
Fortgeschrittene Tests — TLPT (Bedeutende Unternehmen)
| Anforderung | Detail |
|---|---|
| Häufigkeit | Mindestens alle 3 Jahre |
| Rahmenwerk | TIBER-EU oder gleichwertiges nationales Rahmenwerk |
| Umfang | Kritische oder wichtige Funktionen auf Live-Produktionssystemen |
| Tester | Qualifizierte externe Anbieter mit spezifischer Expertise |
| Bedrohungsintelligenz | Basierend auf aktueller Bedrohungslandschaft spezifisch für das Unternehmen |
Säule 4: IKT-Drittparteien-Risikomanagement (Artikel 28-44)
Verbindliche Vertragsbestimmungen
| Bestimmung | Beschreibung |
|---|---|
| Dienstbeschreibung | Klare Beschreibung der Funktionen, einschließlich Sub-Auslagerungsbedingungen |
| Datenspeicherort | Orte, an denen Daten verarbeitet und gespeichert werden, Änderungsmeldung |
| Sicherheitsmaßnahmen | Service-Level, Sicherheitsanforderungen, Zugangskontrolle |
| Verfügbarkeitsziele | Garantierte Betriebszeit, Wiederherstellungszeit- und -punktziele |
| Vorfallmeldung | Pflicht zur Meldung IKT-bezogener Vorfälle |
| Business Continuity | Pläne zur Sicherstellung der Kontinuität bei Störungen |
| Auditrechte | Rechte zur Durchführung von Audits und Inspektionen |
| Kündigung und Ausstieg | Übergangsfristen, Datenrückgabe, Löschungsanforderungen |
Säule 5: Informationsaustausch (Artikel 45)
Finanzunternehmen können an freiwilligen Vereinbarungen zum Austausch von Cyber-Bedrohungsinformationen teilnehmen, einschließlich Taktiken, Techniken und Verfahren (TTPs), Kompromittierungsindikatoren (IoCs), Sicherheitswarnungen und Cyber-Bedrohungsintelligenz.
DORA für IKT-Dienstleister
Direkte Auswirkungen
Wenn Sie IKT-Drittdienstleister für Finanzunternehmen sind:
Vertragliche Pflichten: Finanzunternehmen als Kunden werden DORA-konforme Vertragsbedingungen verlangen, die Sicherheitsmaßnahmen, Vorfallmeldung, Auditrechte, Datenspeicherort und Ausstiegsstrategien abdecken.
Erweiterte Sorgfaltspflicht: Erwarten Sie tiefergehende Sicherheitsbewertungen während der Beschaffung, einschließlich Überprüfungen Ihres IKT-Risikomanagement-Rahmenwerks, Ihrer Incident-Response-Fähigkeiten und Business-Continuity-Pläne.
Vorfallmeldung: Sie müssen Finanzunternehmen als Kunden über IKT-bezogene Vorfälle in Zeitrahmen benachrichtigen, die deren eigene 4-Stunden-Meldepflicht unterstützen.
Audit- und Inspektionsrechte: Finanzunternehmen und ihre zuständigen Behörden müssen das Recht haben, Ihre Systeme, Betriebsabläufe und Sicherheitsmaßnahmen zu auditieren und zu inspizieren.
DORA und andere Rahmenwerke
DORA und NIS2
| Aspekt | DORA | NIS2 |
|---|---|---|
| Geltungsbereich | Finanzsektor | Sektorübergreifend (18 Sektoren) |
| Art | Verordnung (direkt anwendbar) | Richtlinie (erfordert Umsetzung) |
| Vorfallmeldung | 4 Stunden Erstmeldung | 24 Stunden Frühwarnung |
| Tests | Verpflichtende TLPT für bedeutende Unternehmen | Wirksamkeitsbewertung erforderlich |
| Drittparteien-Management | Umfassendes Rahmenwerk mit Aufsicht | Lieferkettensicherheitspflichten |
| Verhältnis | Lex specialis (hat Vorrang) | Gilt, wo DORA nicht greift |
DORA und ISO 27001
| Aspekt | ISO 27001 | DORA-Ergänzungen |
|---|---|---|
| Risikomanagement | Umfassendes ISMS | Konform, mit Finanzsektor-Spezifika |
| Vorfallmeldung | Interne Verfahren | Verpflichtende 4/72-Stunden-Meldung an externe Stellen |
| Tests | A.8.8 Schwachstellenmanagement | Verpflichtende TLPT alle 3 Jahre |
| Drittparteien | A.5.19-A.5.23 Lieferantensicherheit | Register, Vertragsbestimmungen, Aufsicht |
Vorbereitung auf DORA-Compliance
Für IKT-Dienstleister
- Exposition verstehen — Identifizieren Sie, welche Finanzunternehmenskunden DORA unterliegen
- Verträge überprüfen — Auf DORA-konforme vertragliche Anforderungen vorbereiten
- Incident Response stärken — Sicherstellen, dass Sie die 4-Stunden-Meldepflicht der Kunden unterstützen können
- Audit-Bereitschaft — Umfassende Dokumentation und Nachweise aufbauen
- Trust Center veröffentlichen — Sicherheitsdokumentation, Incident-Response-Fähigkeiten und Compliance-Nachweise für Käufer im Finanzsektor bereitstellen
- CTPP-Risiko bewerten — Evaluieren, ob Sie als kritisch eingestuft werden könnten, und sich entsprechend vorbereiten
Wie Orbiq DORA-Compliance unterstützt
- Trust Center: Veröffentlichen Sie Ihre DORA-Compliance-Lage — IKT-Risikomanagementmaßnahmen, Incident-Response-Fähigkeiten und Resilienztests-Nachweise für Käufer im Finanzsektor
- Kontinuierliches Monitoring: Verfolgen Sie DORA-Anforderungen über alle fünf Säulen mit Echtzeit-Compliance-Status
- Evidence Management: Zentralisieren Sie IKT-Risikodokumentation, Vorfallaufzeichnungen, Testberichte und Drittanbietervereinbarungs-Register, zugeordnet zu DORA-Artikeln
- KI-gestützte Fragebögen: Beantworten Sie DORA-bezogene Sicherheitsfragebogen-Fragen von Finanzunternehmenskunden automatisch
Weiterführende Lektüre
- NIS2-Compliance — Verständnis des Verhältnisses zwischen DORA und NIS2
- Penetrationstest — Erfüllung der DORA-Resilienztestanforderungen einschließlich TLPT
- Incident Response — Aufbau von Incident-Response-Fähigkeiten für DOORAs 4-Stunden-Meldung
- Drittparteien-Risikomanagement — Management von IKT-Drittparteien-Risiken gemäß DORA Säule 4
Dieser Leitfaden wird vom Orbiq-Team gepflegt. Letzte Aktualisierung: März 2026.