Fuentis

DORA - Digital Operational Resilience Act

Approved
Last updated: Sep 07, 2025
fuentis Trust Platform, fuentis Suite 4

DORA (Digital Operational Resilience Act) ist eine EU-Verordnung (Regulation (EU) 2022/2554), die am 17. Januar 2025 in Kraft getreten ist und unmittelbar in allen EU-Mitgliedstaaten gilt. Sie zielt darauf ab, die digitale Betriebsresilienz von Finanzunternehmen zu stärken und sicherzustellen, dass diese ICT-Störungen standhalten, darauf reagieren und sich davon erholen können.

Warum ist DORA relevant? In einer zunehmend digitalisierten Finanzwelt sind Cyberangriffe und Systemausfälle existenzielle Bedrohungen. DORA harmonisiert die Vorgaben zur digitalen Betriebsresilienz EU-weit und schafft einheitliche Standards für das ICT-Risikomanagement im Finanzsektor.

Besondere Relevanz für Deutschland: BaFin-regulierte Institute sind seit dem 17. Januar 2025 verpflichtet, DORA umzusetzen. Die Verordnung ersetzt schrittweise die bisherigen deutschen IT-Rundschreiben (BAIT/VAIT/ZAIT/KAIT) und wird durch das Finanzmarktdigitalisierungsgesetz (FinmadiG) auch auf weitere Institute ausgedehnt.

Die 5 Säulen der DORA-Verordnung

DORA strukturiert die digitale Betriebsresilienz in fünf Kernbereiche, die an eine robuste Governance gekoppelt sind:

1. ICT-Risikomanagement

Umfassendes und proaktives Risikomanagement für alle ICT-Systeme und -Prozesse:

Governance und Organisation

- Das Management trägt die Verantwortung für die Definition und Überwachung von ICT-Risikomanagement-Rahmenwerken

- Klare Rollen und Verantwortlichkeiten müssen definiert und dokumentiert sein

- Regelmäßige Berichterstattung an die Geschäftsleitung ist erforderlich

Schutz und Prävention

- Implementierung von Richtlinien und Verfahren zum Schutz kritischer ICT-Systeme

- Regelmäßige Aktualisierung von Sicherheitsmaßnahmen

- Kontinuierliche Risikoanalysen und Mitarbeitersensibilisierung

- Asset-Management und Klassifizierung kritischer Systeme

Erkennung, Reaktion und Wiederherstellung

- Frühzeitige Erkennung von ICT-Vorfällen durch Monitoring-Systeme

- Definierte Reaktionspläne und Eskalationsverfahren

- Backup- und Recovery-Prozesse für Business Continuity

- Regelmäßige Tests der Wiederherstellungsverfahren

Vereinfachte Vorgaben für kleine Finanzunternehmen

DORA erlaubt ein vereinfachtes ICT-Risikomanagement gemäß Artikel 16 und den technischen Standards (CDR 2024/1774) für kleinere Institute.

Praxis-Tipp: Viele deutsche Institute verfügen bereits über BAIT-/VAIT-Risikomanagement. Führen Sie eine Gap-Analyse durch, um Lücken zwischen Ihrem bestehenden Rahmenwerk und den DORA-Anforderungen zu identifizieren.

2. Meldung und Klassifizierung von ICT-Vorfällen

Standardisiertes Incident-Management für alle Finanzunternehmen:

Incident-Management-Prozess

- Implementierung von Prozessen zur Erfassung, Überwachung und Klassifizierung von ICT-Zwischenfällen

- Strukturierte Dokumentation aller Vorfälle und Bedrohungen

- Klare Kategorisierung nach Schweregrad und Auswirkung

Meldepflichten

- Initiale Meldung: Binnen 4 Stunden nach Feststellung eines schwerwiegenden Vorfalls

- Zwischenbericht: Regelmäßige Updates während der Bearbeitung

- Abschlussbericht: Vollständige Analyse mit Lessons Learned

- Kundenmitteilung: Information betroffener Kunden bei schwerwiegenden Vorfällen

Meldeinhalte

- Zeitpunkt und Dauer des Vorfalls

- Betroffene Systeme und Services

- Auswirkungen auf Geschäftstätigkeiten

- Ergriffene Sofortmaßnahmen

- Geschätzte Wiederherstellungszeit

Praxis-Tipp: Stellen Sie sicher, dass Vorfallsdaten strukturiert erfasst werden und Ihre Meldeprozesse mit den Aufsichtsfristen kompatibel sind. Trainieren Sie Mitarbeitende für schnelle Eskalationen.

3. Digitale Betriebsresilienz-Tests

Regelmäßige Tests zur Prüfung der ICT-Resilienz:

Umfassendes Testprogramm

- Jährliche Tests aller kritischen ICT-Systeme

- Schwachstellenanalysen und Penetrationstests

- Performance-Tests und Kapazitätsprüfungen

- Szenario-basierte Übungen und Disaster-Recovery-Tests

Threat-Led Penetration Testing (TLPT)

- Mindestens alle drei Jahre für größere Institute

- Simulation realer Angreifer-Techniken und -Taktiken

- Durchführung durch qualifizierte externe Dienstleister

- Umfassende Dokumentation und Follow-up-Maßnahmen

Dokumentation und Nachbereitung

- Detaillierte Dokumentation aller Testergebnisse

- Ableitung konkreter Verbesserungsmaßnahmen

- Integration der Erkenntnisse in das Risikomanagement

- Regelmäßige Überprüfung der Umsetzung

Praxis-Tipp: Planen Sie Resilienz-Tests langfristig und stimmen Sie diese mit internen und externen Prüfern ab. Integrieren Sie Lessons Learned systematisch in Ihr Risikomanagement.

4. ICT-Drittanbieterrisikomanagement

Strenge Vorgaben für den Umgang mit externen ICT-Dienstleistern:

Strategie und Governance

- Entwicklung einer Strategie und Richtlinie für ICT-Drittanbieter

- Risikobewertung und Klassifizierung von Dienstleistern

- Definition von Exit-Strategien und Notfallplänen

- Regelmäßige Überprüfung der Drittanbieter-Landschaft

Due Diligence und Vertragsgestaltung

- Vorab-Beurteilung vor Vertragsabschluss

- Bewertung von Sicherheitszertifikaten und Zuverlässigkeit

- Mindestvertragsinhalte gemäß Artikel 30:

- Zugriffssicherheit und Datenklassifizierung

- Audit-Rechte und Compliance-Überwachung

- Service-Level-Agreements und Performance-Indikatoren

- Exit-Vorkehrungen und Datenrückgabe

- Subunternehmer-Management

Register of Information

- Aktuelles Register über alle ICT-Drittanbieter

- Dokumentation von Leistungen und Vertragslaufzeiten

- Klassifizierung kritischer Funktionen

- Regelmäßige Aktualisierung und Validierung

EU-weite Aufsicht kritischer Drittanbieter

- Lead Overseer kann Untersuchungen durchführen

- Möglichkeit von Sanktionen bei Verstößen

- Harmonisierte Aufsicht über systemrelevante Anbieter

Praxis-Tipp: Vergleichen Sie bestehende Outsourcing-Verträge mit den DORA-Mindestanforderungen. Führen Sie ein zentrales Drittanbieterregister und definieren Sie klare Exit-Strategien.

5. Informationsaustausch und Kooperation

Förderung des sicheren Austauschs von Cyber-Threat-Informationen:

Threat-Intelligence-Sharing

- Austausch von Informationen zu Cyber-Bedrohungen zwischen Finanzinstitutionen

- Schaffung eines gemeinsamen Lagebilds

- Koordination durch nationale und europäische Stellen

- Beachtung von Datenschutzregeln und internen Prozessen

Anwendbarkeit und Durchsetzung in Deutschland

Zeitlicher Rahmen

- Inkrafttreten: 17. Januar 2025 - unmittelbar gültig

- Aufhebung nationaler Rundschreiben: BaFin hebt VAIT/ZAIT/KAIT am 16. Januar 2025 auf

- BAIT-Übergang: Bleibt bis Ende 2026 bestehen, wird sukzessive durch DORA ersetzt

- Erweiterung: FinmadiG erweitert Anwendungsbereich ab 2027 auf weitere Institute

Betroffene Institute

- Banken und Kreditinstitute

- Versicherungsunternehmen

- Investmentfirmen und Asset-Manager

- Zahlungsinstitute und E-Geld-Institute

- Ab 2027: Auch nicht-CRR-Institute wie Förderbanken

Sanktionen und Bußgelder

- Finanzunternehmen: Bis zu 2% des weltweiten Jahresumsatzes

- Kritische Drittanbieter: Bis zu 5 Mio. Euro oder 1% des Jahresumsatzes

- Durchsetzung durch Europäische Aufsichtsbehörden

Umsetzungshilfen und Best Practices

Organisatorische Vorbereitung

1. Gap-Analyse durchführen

- Vergleich bestehender IT-Regelungen (BAIT/VAIT/KAIT) mit DORA-Anforderungen

- Identifikation von Anpassungsbedarfen

- Entwicklung eines strukturierten Umsetzungsplans

- Priorisierung kritischer Maßnahmen

2. Management-Commitment sicherstellen

- Sensibilisierung der Geschäftsleitung für DORA-Anforderungen

- Klärung der Management-Verantwortlichkeiten

- Bereitstellung ausreichender Ressourcen

- Regelmäßige Berichterstattung etablieren

3. Verantwortlichkeiten definieren

- Benennung eines DORA-Programmleiter

- Definition von Rollen für Risiko-, Incident- und Compliance-Management

- Klärung der Drittanbieter-Verantwortlichkeiten

- Etablierung von Koordinationsmechanismen

Umsetzung des ICT-Risikomanagements

Rahmenwerk etablieren

- Nutzung bestehender ISO 27001-Strukturen

- Anpassung der Risikobewertungsmethodik an DORA

- Integration von Schutz, Erkennung, Reaktion und Wiederherstellung

- Berücksichtigung der vereinfachten Vorgaben für kleinere Institute

Dokumentation optimieren

- Pflege aktueller Richtlinien und Prozesse

- Erstellung und Wartung eines Asset-Registers

- Dokumentation von Risikoanalysen und Maßnahmen

- Verwendung der BaFin-Dokumentationsanforderungen als Leitfaden

Kontinuierliche Verbesserung

- Etablierung eines PDCA-Zyklus

- Nutzung von Lessons Learned aus Vorfällen und Tests

- Regelmäßige Überprüfung und Anpassung der Prozesse

- Integration von Feedback aus Audits und Prüfungen

Incident-Management optimieren

Prozesse definieren

- Festlegung klarer Meldewege und Eskalationsstufen

- Definition von Verantwortlichkeiten und Kompetenzen

- Sicherstellung der Berichtsfähigkeit an Aufsicht und Kunden

- Integration mit bestehenden ISMS-Prozessen

Technische Überwachung

- Implementierung von SIEM-Systemen

- Deployment von Monitoring-Tools

- Automatisierung der Vorfallserkennung

- Integration verschiedener Datenquellen

Schulungen und Training

- Regelmäßige Schulungen für Mitarbeitende

- Übungen zur Incident-Response

- Training der Meldepflichten und -verfahren

- Sensibilisierung für neue Bedrohungen

Resilienz-Tests durchführen

Testplanung

- Erstellung eines mehrjährigen Testplans

- Abstimmung des Umfangs mit der BaFin

- Integration in den Prüfungskalender

- Koordination mit Business-Einheiten

Testdurchführung

- Verwendung realitätsnaher Szenarien

- Einsatz automatisierter Tools

- Dokumentation aller Ergebnisse

- Nachverfolgung von Maßnahmen

Integration ins Risikomanagement

- Verwendung von Testergebnissen für Risikoupdates

- Anpassung von Kontrollen basierend auf Erkenntnissen

- Regelmäßige Überprüfung der Testeffektivität

- Benchmarking mit Branchenstandards

Drittanbieter-Management verstärken

Due Diligence intensivieren

- Durchführung von Sicherheits- und Compliance-Prüfungen

- Bewertung von Zertifizierungen und Standards

- Prüfung der finanziellen Stabilität

- Assessment von Notfallplänen und Business Continuity

Vertragsgestaltung optimieren

- Ergänzung um DORA-Mindestklauseln

- Definition klarer Service-Level-Agreements

- Vereinbarung von Audit-Rechten

- Festlegung von Exit-Strategien und Übergabeverfahren

Register und Überwachung

- Aufbau eines zentralen Drittanbieterregisters

- Automatisierte Überwachung von Vertragsänderungen

- Regelmäßige Risikobewertungen

- Durchführung von Lieferanten-Audits

Bezug zu anderen Standards und Frameworks

Integration mit ISO 27001

- DORA ergänzt bestehende ISMS-Strukturen

- Risikomanagementsysteme können erweitert werden

- Incident-Management-Prozesse sind kompatibel

- Continuous Improvement-Ansätze harmonieren

Abgrenzung zu BAIT/VAIT

- DORA ersetzt schrittweise nationale Rundschreiben

- Höhere Anforderungen an Drittanbieter-Management

- Detailliertere Vorgaben für Resilienz-Tests

- EU-weite Harmonisierung der Standards

Verzahnung mit NIS2

- Überschneidungen bei Cybersecurity-Anforderungen

- Komplementäre Ansätze für kritische Infrastrukturen

- Koordinierte Meldepflichten und Incident-Response

- Harmonisierte EU-Cybersecurity-Strategie

Unterstützung durch die fuentis Suite

Die fuentis Suite kann die DORA-Compliance umfassend unterstützen:

Risikomanagement-Module

- Asset-Management: Erfassung und Klassifizierung aller ICT-Assets

- Risikoregister: Dokumentation von Bedrohungen, Schwachstellen und Kontrollen

- Maßnahmenplanung: Tracking von Risikominderungsmaßnahmen

- Reporting: Automatisierte Berichte für Management und Aufsicht

Incident-Management-System

- Vorfallserfassung: Strukturierte Dokumentation von ICT-Zwischenfällen

- Klassifizierung: Automatische Kategorisierung nach DORA-Kriterien

- Meldewesen: Integrierte Schnittstellen zur BaFin-Meldung

- Workflow-Management: Automatisierte Eskalation und Bearbeitung

Third-Party-Management (Road Map)

- Lieferantenregister: Zentrale Verwaltung aller ICT-Drittanbieter

- Due Diligence: Strukturierte Bewertungsverfahren

- Vertragsmanagement: Dokumentation von DORA-Mindestklauseln

- Risikobewertung: Kontinuierliche Überwachung von Lieferantenrisiken

Compliance-Management (Road Map)

- DORA-Templates: Vorgefertigte Dokumente und Checklisten

- Gap-Analyse: Automatisierte Bewertung des Umsetzungsstands

- Audit-Trails: Vollständige Nachverfolgbarkeit aller Aktivitäten

- Regulatory Mapping: Verknüpfung mit anderen Compliance-Anforderungen

Test- und Audit-Module (Road Map)

- Testplanung: Verwaltung von Resilienz-Tests und TLPT

- Ergebnisdokumentation: Strukturierte Erfassung von Testergebnissen

- Maßnahmenverfolgung: Tracking von Verbesserungsmaßnahmen

- Management-Review: Automated Reporting für Geschäftsleitung

Kernaussagen auf einen Blick

  1. DORA ist seit 17. Januar 2025 unmittelbar gültig und ersetzt schrittweise deutsche IT-Rundschreiben. BaFin-regulierte Institute müssen die Verordnung sofort umsetzen.
  1. Die 5 DORA-Säulen (ICT-Risikomanagement, Incident-Reporting, Resilienz-Tests, Drittanbieter-Management, Informationsaustausch) bilden einen umfassenden Rahmen für digitale Betriebsresilienz.
  1. Management-Verantwortung ist zentral - die Geschäftsleitung trägt die Verantwortung für ICT-Risiken und muss geeignete Governance-Strukturen etablieren.
  1. Drittanbieter-Risiken erhalten besondere Aufmerksamkeit mit strengen Due-Diligence-Anforderungen, Mindestvertragsklauseln und EU-weiter Aufsicht kritischer Anbieter.
  1. Bestehende BAIT/VAIT-Strukturen können erweitert werden - eine Gap-Analyse hilft dabei, Anpassungsbedarfe zu identifizieren und vorhandene Compliance-Investitionen zu nutzen.