DORA
Digitale Resilienz für den Finanzsektor
Mehr Sicherheit, klare Prozesse, prüfungsfeste Nachweise:
DORA stellt den Finanzsektor vor umfangreiche Anforderungen an Risikomanagement, Dienstleistersteuerung, Vorfallmeldung und Sicherheitstests. @-yet übersetzt diese Vorgaben in pragmatische, umsetzbare Maßnahmen – ohne Aktionismus, aber prüfungssicher.
DORA-Konformität Schritt für Schritt
Auch wenn viele Themen bereits mit vorangegangenen Regulierungen adressiert wurden, sind die Anforderungen an die Gestaltung und Nachweisführung sicherheitsrelevanter Maßnahmen mit der DORA nochmals deutlich geschärft und konkretisiert worden. Das stellt betroffene Organisationen vor die Herausforderung, zahlreiche bereits etablierte Maßnahmen neu zu bewerten und sie gegebenenfalls zu überarbeiten oder zu schärfen.
@-yet unterstützt Sie bei der Umsetzung der strengen Vorgaben. Unsere Expert:innen analysieren Ihre bestehenden organisatorischen Maßnahmen und Sicherheitsstrukturen, entwickeln individuelle Lösungen und begleiten Sie Schritt für Schritt bis zur vollständigen Umsetzung.
Was ist DORA?
Die DORA ist eine EU-Verordnung und gilt damit unmittelbar in allen Mitgliedsländern, ohne dass sie in nationale Gesetzgebung überführt werden muss. Sie ist Teil des Paketes der Europäischen Union zur Digitalisierung des Finanzsektors und zielt darauf ab, die digitale operationelle Resilienz des europäischen Finanzmarktes zu stärken. Besonders im Fokus stehen dabei die fünf Säulen der DORA:
IKT-Risikomanagement
DORA fordert ein umfassendes IKT-Risikomanagement. Dies zielt nicht ausschließlich auf den Prozess zur Identifizierung, Bewertung und Behandlung von IKT-Risiken ab, sondern beschreibt vielmehr ein umfassendes Framework an sicherheitsrelevanten Maßnahmen, vergleichbar mit bereits etablierten Frameworks wie dem NIST CSF oder einer ISO/IEC 27001.
Dienstleistersteuerung
Gefordert ist darüber hinaus umfassendes IKT-Dienstleistermanagement. Im Fokus steht dabei, dass betroffene Organisationen zunächst über einen vollständigen Überblick der von ihnen in Anspruch genommenen Dienstleistungen einschließlich der Sub-Dienstleister verfügen müssen, sicherheitsrelevante Maßnahmen vertraglich vereinbaren, Dienstleister regelmäßig und angemessen überwachen und geeignete Exit-Strategien für ordentliche oder außerordentliche Beendigungen der Geschäftsbeziehungen vorbereiten. Die Übersicht der Dienstleister muss in einem vorgegebenen Format an die zuständige Aufsichtsbehörde gemeldet werden.
Incident Management
Besonders im Fokus steht auch das Management von Vorfällen. Neben verbindlichen Kriterien zur Klassifizierung von Sicherheitsvorfällen wird erwartet, dass Vorfälle, die festgelegte Kritikalitätsschwellen überschreiten, an die zuständige Aufsichtsbehörde gemeldet werden.
Testen der Sicherheit
Alle Sicherheitsmaßnahmen sind zudem regelmäßig und angemessen zu testen. Erwartet wird hierbei ein umfangreicher Strauß verschiedenster Methoden zur Überprüfung – angefangen von Netzwerkscans über Code Reviews bis zu Penetrationstests. Für einzelne Organisationen, die von der Aufsicht explizit benannt sind, besteht darüber hinaus die Pflicht, sog. Red Team Tests (TLPT) nach Vorgabe von TIBER durchzuführen.
Informationsaustausch
Darüber hinaus fördert DORA den freiwilligen Austausch von Informationen zu Cyberbedrohungen, um die Widerstandsfähigkeit des gesamten Finanzsektors zu stärken.
Cybersecurity verstehen:
Warum Informationssicherheit Chefsache ist.
Sie gehören zur Geschäftsführung?
Cyberangriffe sind ein reales Geschäftsrisiko. Sie treffen Organisationen aller Größen und Branchen. Und während viele technische Schutzmaßnahmen verfügbar sind, scheitert echte Sicherheit oft an fehlendem Bewusstsein in der Führungsebene. Dieses kompakte Management-Seminar zeigt, warum Cybersecurity heute Chefsache ist.
Wie kann @-yet Sie unterstützen?
Der Weg zur DORA-Konformität umfasst vier aufeinander abgestimmte Phasen, die Sie sicher zum Ziel führen. Alles beginnt mit der fundierten Standortbestimmung. Im Zuge eines umfassenden Reifegradassessments vergleichen wir Ihre bestehenden Maßnahmen im Detail mit den regulatorischen Anforderungen, um potenzielle Lücken präzise aufzudecken.
Darauf aufbauend entwickeln wir eine maßgeschneiderte Roadmap. Wir priorisieren die identifizierten Handlungsfelder strategisch nach Risiko sowie Aufwand und erstellen für Sie einen realistischen, prüfungssicheren Umsetzungsplan.
In der anschließenden Phase der Umsetzung geht es direkt in die Praxis. Hand in Hand mit Ihren internen Teams realisieren wir die notwendigen Maßnahmen – das Spektrum reicht hierbei von der Anpassung von Prozessen und Richtlinien bis hin zur tiefgreifenden technischen Härtung Ihrer Systeme.
Den Abschluss bildet die Phase Testen & Nachweis. Hier überprüfen wir die Wirksamkeit aller etablierten Schutzmechanismen durch vielseitige Sicherheitsprüfungen, die von Schwachstellenscans bis zu TIBER-konformen Red Teaming Assessments reichen. So schaffen wir verlässliche, lückenlose Nachweise für die Aufsichtsbehörden.
Häufige Fragen zu DORA
DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die den europäischen Finanzsektor verpflichtet, digitale Resilienz gegen Cyberangriffe und andere digitale Bedrohungen aufzubauen.
Die Verordnung wurde am 27. Dezember 2022 veröffentlicht und ist am 17. Januar 2023 in Kraft getreten. Seit dem 17. Januar 2025 wird sie verpflichtend angewendet.
Betroffen von der Verordnung sind fast alle Finanzunternehmen in der EU. Sie betrifft also Banken, Versicherungen, Wertpapierfirmen und Krypto-Dienstleister unmittelbar.
Daneben gibt es Einrichtungen, die mittelbar von DORA erfasst werden. Hierzu gehören Drittdienstleister, die Services für den Finanzsektor bereitstellen. Das sind unter anderem Cloud-Anbieter, Rechenzentrumsbetreiber und Software-Entwickler. Für Kleinstunternehmen gelten jedoch Erleichterungen, wie etwa ein vereinfachter Risikomanagementrahmen.
Einrichtungen und Organisationen, die eigentlich mittelbar von der DORA betroffen sind, jedoch von den Behörden als „kritisch“ eingestuft werden, fallen ebenfalls unmittelbar unter die Regelungen der DORA.
Hinter dem Kürzel FinmadiG verbirgt sich das „Finanzmarktdigitalisierungsgesetz“, welches offiziell „Gesetz über die Digitalisierung des Finanzmarktes“ heißt.
Es dient als nationales Bindeglied, um europäische Vorgaben wie die DORA (IT-Sicherheit) und die MiCA-Verordnung (Krypto-Regulierung) formell in bestehendes deutsches Recht zu integrieren. Da EU-Verordnungen zwar direkt gelten, aber nationale Behörden wie die BaFin erst offiziell ermächtigt werden müssen, um Prüfungen durchzuführen und Sanktionen zu verhängen, schließt das FinmadiG genau diese gesetzgeberische Lücke.
Ein TLPT ist ein bedrohungsgesteuerter Penetrationstest. Im Gegensatz zu klassischen IT-Sicherheitschecks wird beim TLPT kein standardisiertes Prüfprogramm abgespult. Stattdessen simulieren hochspezialisierte, zertifizierte Security-Expert:innen (sogenannte Red Teams) einen echten, gezielten Cyberangriff auf die produktiven IT-Systeme eines Unternehmens.
Basis für den Test sind aktuelle Erkenntnisse über reale Angreifer und deren spezifische Taktiken. Das Ziel ist es, die Erkennungs- und Abwehrmechanismen des Unternehmens unter Realbedingungen auf Herz und Nieren zu prüfen.
Unter DORA und dem deutschen FinmadiG sind TLPTs keine freiwillige Sicherheitsmaßnahme, sondern für kritische Akteure gesetzliche Pflicht. Die Testpflicht gilt primär für Finanzunternehmen, die von den Behörden aufgrund ihrer Größe, ihres Marktanteils oder ihrer Systemrelevanz als „kritisch“ eingestuft werden.
Betroffene Unternehmen müssen einen solchen kontrollierten Live-Angriff mindestens alle 3 Jahre durchführen. Die Angriffe dürfen nicht von den internen IT-Teams durchgeführt werden. Es müssen externe, unabhängig zertifizierte Tester (z. B. nach CREST- oder TIBER-DE-Standard) beauftragt werden. Zudem muss der gesamte Testprozess eng mit der BaFin abgestimmt und von dieser überwacht werden.
DORA sieht strenge Sanktionen vor, um die Einhaltung der Vorschriften sicherzustellen. Verstöße gegen die DORA können – je nach Schweregrad des Verstoßes – empfindliche Strafen nach sich ziehen.
Finanzinstitute können hier mit Bußgeldern von bis zu 2 % des weltweiten Jahresumsatzes oder 1 % des durchschnittlichen Tagesumsatzes belegt werden.
Für einzelne Personen sieht die Regelung maximale Strafen von 1.000.000 EUR vor.
Auch Drittanbieter von IKT-Services, die als kritisch eingestuft wurden, können mit Bußgeldern bis zu 5.000.000 EUR oder 500.000 EUR für Einzelpersonen belangt werden.
Diese Bußgelder gelten auch, wenn die rechtzeitige Meldung von schwerwiegenden Vorfällen versäumt wird.
DORA ist eine EU-Regulierung speziell für den Finanzsektor. Wenn ein Finanzunternehmen vollständig unter DORA fällt, greifen die IT-Sicherheitsanforderungen von DORA vorrangig gegenüber der allgemeinen NIS2-Richtlinie.
Beratung und Hilfe bei der Umsetzung der DORA
Die EU-Verordnung DORA verschärft die Pflichten zur digitalen Resilienz im Finanzsektor drastisch. Die spezialisierte Beratung der @-yet übersetzt diese komplexen Vorgaben in einen klaren, prüfungssicheren Fahrplan für Ihre Organisation.
Die @-yet ist Ihr strategischer Partner, mit dem Sie Schritt für Schritt die Vorgaben der DORA umsetzen. Von einer präzisen Standortbestimmung über das Reifegradassessment bis hin zur risikobasierten Roadmap. Die @-yet deckt den gesamten Weg von der Schärfung interner Richtlinien bis zur technischen Härtung Ihrer gesamten IT-Infrastruktur ab. Regelmäßige Sicherheitstests führt die @-yet mit einem eigenen, BSI-zertifizierten Penetrationstest-Labor durch – von automatisierten Schwachstellenscans bis zum hochspezialisierten, TIBER-konformen Red Teaming (TLPT). Mit langjähriger Erfahrung in der Finanzmarktaugulatorik schafft @-yet digitale Resilienz auf echtem DORA-Niveau.
Wie dürfen wir Ihnen helfen?
Wir freuen uns auf Ihre Nachricht.