Sandy Smajic Logo
Zurück zu Insights
Regulierung

DORA-Compliance erklärt

Der Digital Operational Resilience Act verändert, wie Finanzunternehmen und ihre IKT-Anbieter Risiken managen. Hier ist, was er umfasst und wie man ihn angeht.

By Sandy Smajic7 Min. Lesezeit

DORA — der Digital Operational Resilience Act — gilt für eine Vielzahl von Finanzunternehmen und, entscheidend, für ihre kritischen IKT-Dienstleister. Er harmonisiert Anforderungen an die operative Resilienz, die zuvor verstreut waren.

Fünf Säulen

  • IKT-Risikomanagement — ein umfassendes, von der Leitung verantwortetes Rahmenwerk.
  • IKT-Vorfallmanagement — Klassifizierung, Behandlung und Meldung schwerwiegender Vorfälle.
  • Tests der digitalen operativen Resilienz — einschließlich bedrohungsgeleiteter Penetrationstests.
  • IKT-Drittparteienrisiko — Aufsicht über Anbieter mit zentralen Vertragsanforderungen.
  • Informationsaustausch — freiwilliger Austausch von Bedrohungsinformationen.

Drittparteienrisiko im Mittelpunkt

DORA legt echtes Gewicht auf IKT-Drittparteienrisiken. Finanzunternehmen müssen ein Informationsregister führen, vertragliche Vorgaben sicherstellen und Konzentrationsrisiken bewerten.

Verhältnis zu Bestehendem

Wer ISO 27001 umgesetzt oder sich an NIS2 ausgerichtet hat, hat eine starke Basis — DORA ist jedoch stellenweise präziser, besonders bei Tests und Verträgen. Betrachten Sie es als Erweiterung.

DORAs Fokus auf Resilienztests und Lieferantenverträge erwischt viele, die ihr bestehendes Programm für ausreichend hielten.

Praktische erste Schritte

  • Klären Sie, ob Sie Finanzunternehmen oder IKT-Anbieter sind.
  • Erstellen oder aktualisieren Sie Ihr Register der IKT-Drittparteienvereinbarungen.
  • Prüfen Sie Lieferantenverträge gegen DORAs Vorgaben.
  • Etablieren Sie einen Vorfall-Klassifizierungs- und Meldeprozess.
  • Planen Sie ein Resilienztestprogramm passend zu Größe und Risiko.

DORA ist anspruchsvoll, aber logisch. Verstehen Sie Ihre Rolle in der Kette, bringen Sie Ihre Drittparteien in Ordnung und verankern Sie Resilienztests in der Routine.

Themen

DORAFinanzdienstleistungenResilienzEU-Verordnung

Verwandte Ressourcen

DORA-CompliancevCISO-Dienste

Machen Sie daraus einen Plan, der das Audit besteht

Buchen Sie eine kostenlose 30-minütige Beratung und wir skizzieren Ihren schnellsten, risikoärmsten Weg zur Compliance — ohne Fachjargon, ohne Verkaufsgespräch.

Kostenlose Beratung buchen

Frameworks, mit denen ich arbeite

Jeder Artikel basiert auf den Standards, die Regulierungsbehörden und Auditoren tatsächlich verwenden.

ISO 27001Informationssicherheits-Management
NIS2EU-Cybersicherheitsrichtlinie
TISAXInformationssicherheit Automotive
DORAResilienz im Finanzsektor
NISTCybersecurity-Framework
GDPRDatenschutz-Grundverordnung

Weiterlesen

NIS2 im Jahr 2026: Was Unternehmen jetzt tun müssen

Die nationale Umsetzung von NIS2 erfolgt EU-weit. Hier ist ein praxisnaher Fahrplan, um Ihr Unternehmen in den Anwendungsbereich zu bringen, unter Kontrolle und audit-bereit.

ISO 27001-Umsetzung: Erkenntnisse aus der Praxis

Nach mehreren ISO 27001-Programmen trennen immer dieselben Muster reibungslose von schmerzhaften Zertifizierungen. Hier sind die Erkenntnisse, die wirklich zählen.

Warum KMU Sicherheitsaudits nicht bestehen (und wie man das vermeidet)

Die meisten nicht bestandenen Audits liegen nicht an fehlender Technik, sondern an wenigen vermeidbaren organisatorischen Fehlern. Hier sind die häufigsten.