Digital Operational Resilience Act
IKT-Resilienz für den Finanzsektor

DORA etabliert einheitliche, verbindliche Anforderungen an die digitale operationelle Resilienz für den gesamten europäischen Finanzsektor – von Kreditinstituten über Versicherer bis zu IKT-Drittanbietern. Ein umfassender Rahmen für IKT-Risikomanagement, Testing und Drittparteisteuerung.

Mehr erfahren

Was ist DORA?

Die Verordnung (EU) 2022/2554 legt einheitliche Anforderungen an die digitale operationelle Resilienz für praktisch den gesamten europäischen Finanzsektor fest. Ziel ist die Stärkung der Widerstandsfähigkeit gegen IKT-Störungen und Cybervorfälle – mit harmonisierten Regeln statt Flickenteppich nationaler Vorgaben.

Digital Operational Resilience Act

Geltungsbereich

DORA gilt für Finanzentitäten und IKT-Drittanbieter. Die Verordnung harmonisiert bisher fragmentierte Vorgaben zu Reporting, Testing und Drittparteirisiko in einem kohärenten Rahmen – lex specialis gegenüber NIS2 für den Finanzsektor.

Finanzinstitute

Kreditinstitute, Zahlungs-/E-Geld-Institute, Wertpapierfirmen. Alle Arten von Banken, Payment Service Provider, Investment Firms. Vollständige Anwendung aller DORA-Anforderungen inkl. IKT-Risikomanagement, Testing, Drittparteirisiko.

Versicherer & Pensionsfonds

Versicherungs-/Rückversicherungsunternehmen, IORP. Umfassende IKT-Resilienz-Pflichten. Proportionalität für kleinere Einheiten, aber Mindeststandards für alle. Besondere Anforderungen an kritische IKT-Systeme.

Marktinfrastrukturen

Handelsplätze, CCPs, CSDs, Transaktionsregister. Systemisch wichtige Infrastrukturen mit höchsten Resilienz-Anforderungen. TLPT-Pflicht, intensive Aufsicht, keine Proportionalität.

Asset Manager & Krypto

AIFM, UCITS-Verwaltungen, Kryptodienstleister. Fund Manager, Crypto Asset Service Provider. DORA-Konformität für alle verwalteten Vehikel. IKT-Drittparteirisiko bei Custody/Admin besonders relevant.

IKT-Drittanbieter

Cloud, Software, Daten-/Rechenzentrumsservices. Kritische Provider unterliegen EU-Oversight (EBA/EIOPA/ESMA). Lead Overseer mit Inspektions-/Sanktionsbefugnissen. Drittland-Provider müssen EU-Tochter etablieren.

Proportionalität

Vereinfachungen für Kleinst-Einheiten. Microenterprises und kleine Institute erhalten reduzierte Pflichten (z.B. kein TLPT). Dennoch: Mindest-Resilienz-Standards gelten für alle.

Die 5 Kernbausteine von DORA

DORA strukturiert digitale operationelle Resilienz in fünf Säulen – von IKT-Risikomanagement über Incident-Meldung bis zum Management des Drittparteirisikos.

  1. IKT-Risikomanagement

Umfassendes Framework über gesamten Lifecycle

  • Governance (Board-Verantwortung), Strategie, Inventare
  • Schutz/Prävention, Detektion, Response/Recovery
  • BCP, Tests, Audits, kontinuierliche Verbesserung
  • Dokumentierte Policies, KPIs/KRIs, jährliche Reviews

  1. Incident-Meldung

Harmonisiertes Reporting großer IKT-Vorfälle

  • Direkte Meldung an zuständige Behörde
  • Koordination mit CSIRTs, Datenschutz-/Strafverfolgungsbehörden
  • Einheitliche Taxonomie/Schwellen über ESA-Standards
  • Schneller Informationsfluss zu Finanzaufsicht

  1. Digital Resilience Testing

Breites Testspektrum bis TLPT

  • Von Vulnerability Scans bis Threat-Led Penetration Testing (TIBER-EU-orientiert)
  • TLPT für große/systemisch relevante Häuser
  • Gegenseitige Anerkennung
  • Interne Red-Teams möglich, Threat-Intel extern

  1. IKT-Drittparteirisiko

Strategie, Register, Due Diligence, Verträge

  • Finanzinstitut bleibt voll verantwortlich
  • Mindestvertragsinhalte: SLAs, Standorte, Audit-/Zugriffs-/Exit-Rechte
  • Sub-Contracting, Resolution-Resilienz
  • Konzentrationsanalyse verpflichtend

  1. EU-Oversight für kritische Provider

Aufsichtsrahmen für systemrelevante IKT-Drittanbieter

  • Lead Overseer (EBA/EIOPA/ESMA) mit Untersuchungs-/Inspektions-/Sanktionsbefugnissen
  • Kritische Drittland-Provider: EU-Tochter binnen 12 Monaten
  • Durchsetzbarkeit sichergestellt

IKT-Risikomanagement im Detail

Kapitel II (Art. 5-16) definiert umfassende Anforderungen an Governance, Schutz, Detektion, Response und Recovery. Der Vorstand trägt die ultimative Verantwortung – IKT-Resilienz wird Chefsache.

Governance & Board-Verantwortung

Vorstand trägt endgültige Verantwortung

  • Festlegung von Strategie, Risikotoleranz, Budgets
  • Policies, Rollen, Reporting-Kanälen, Audit-Plänen
  • Messbare KPIs/KRIs
  • Jährliche Berichte
  • IKT-Resilienz als strategisches Thema im Vorstand verankert

Inventare & Asset-Management

Vollständige Bestandsaufnahme

  • Inventare von Funktionen, Informations-/IKT-Assets, Abhängigkeiten, Drittparteiverknüpfungen
  • Jährliche Risikobewertungen inkl. Legacy-Systeme
  • CMDB-Pflicht für kritische Komponenten

Schutz & Prävention

Policies für Netzwerk-/Infrastruktur-Management

  • Zugriffsrechte, starke Authentisierung
  • Krypto/Key-Management, Change-/Patch-Prozesse
  • Netzwerk-Segmentierung, Severing-Fähigkeit zur Containment
  • Härtung kritischer Systeme

Detektion & Monitoring

Mehrschichtige Erkennungsmechanismen

  • Definierte Schwellenwerte, Alerting
  • Ressourcen für Monitoring von Nutzeraktivitäten/Anomalien/Vorfällen
  • 24/7-Fähigkeit
  • SIEM/SOC-Integration
  • Threat-Intelligence-Feeds

Response & Recovery

ICT-BCP und Response/Recovery-Pläne

  • Business Impact Analysis, Szenarien (inkl. Cyberangriffe, Switchover)
  • Getestete Backups/Redundanz, RTO/RPO-Ziele
  • Forensische Checks, Krisenkommunikation, Audit-Trails
  • Jährliche Tests verpflichtend

Lernen & Weiterentwicklung

Post-Incident-Reviews, Lessons Learned

  • Einspeisung in kontinuierliche Verbesserung
  • Awareness-Trainings für alle Mitarbeiter
  • Monitoring technologischer Entwicklungen
  • Jährliche Berichte an den Vorstand mit Maßnahmenplan

Incident-Meldepflichten

DORA harmonisiert die Meldepflichten für große IKT-Vorfälle über den gesamten Finanzsektor. Direkte Meldung an zuständige Behörde, koordiniert mit CSIRTs und Datenschutzbehörden. Einheitliche Taxonomie und Schwellenwerte.

Große IKT-Vorfälle

Definition über ESA-Standards

  • Schwere Beeinträchtigung von IKT-Systemen
  • Beeinträchtigung von Verfügbarkeit, Integrität oder Vertraulichkeit von Finanzdienstleistungen
  • Auswirkung auf Geschäftsbetrieb, finanzielle Position oder Reputation

Meldekette

Direkte Meldung an zuständige Behörde

  • Koordination mit CSIRT, Datenschutz- und Strafverfolgungsbehörden
  • Harmonisierter Prozess statt Doppelmeldungen
  • Single Point of Contact
  • Vertraulichkeit gewahrt

Taxonomie & Schwellen

Einheitliche Klassifizierung

  • ESA-Normenapparat definiert Taxonomie, Schwellenwerte, Formate
  • Vergleichbarkeit über Jurisdiktionen
  • Incident-Kategorien: Cyberangriff, System-/Netzausfall, Datenintegritätsverlust, Drittanbieter-Störung

Threat Intelligence Sharing

Freiwillige Bedrohungsmeldungen

  • DORA ermutigt zu vertrauensbasiertem Austausch von Threat-Intelligence in “trusted environments”
  • Unter Einhaltung von DSGVO/Kartellrecht
  • Prävention und kollektive Reaktionsfähigkeit stärken

Digital Resilience Testing

Kapitel IV fordert breites Testspektrum – von Vulnerability Scans bis zu anspruchsvollen Threat-Led Penetration Tests (TLPT) nach TIBER-EU-Prinzipien. Für große und systemisch relevante Häuser verpflichtend.

Vulnerability Assessments

Regelmäßige Schwachstellen-Scans

  • Für alle Finanzinstitute verpflichtend
  • Mindestens jährlich, bei wesentlichen Änderungen häufiger
  • Automated Scans + manuelle Validierung
  • Remediation-Tracking mit Fristen

Penetration Testing

Simulierte Angriffe auf Systeme

  • Scenario-basierte Tests von Sicherheitskontrollen
  • Interne Teams oder externe Spezialisten
  • Test-Umfang: Netzwerk, Applikation, Social Engineering
  • Findings mit Schweregrad-Bewertung

TLPT: Threat-Led Penetration Testing

Höchste Teststufe nach TIBER-EU/G7-Prinzipien

  • Für große/systemisch relevante/IKT-reife Häuser
  • Intelligence-basierte Red-Team-Angriffe
  • Externe Threat-Intel verpflichtend
  • Pooled Testing mit Auflagen möglich
  • Gegenseitige Anerkennung zwischen Jurisdiktionen

Test-Governance & Dokumentation

Testprogramm mit Mehrjahresplan

  • Board-Approval für TLPT-Scope
  • Scoping-Phase, Datenfluss-Diagramme, Crown-Jewels-Identifikation
  • Test-Reports an Vorstand
  • Remediation-Pläne mit Umsetzungs-Tracking
  • Follow-up-Tests nach Material-Changes

IKT-Drittparteirisiko-Management

Kapitel V, Sektion I definiert umfassende Anforderungen an das Management von IKT-Drittparteirisiken. Finanzinstitute bleiben voll verantwortlich – auch bei Outsourcing kritischer Funktionen.

Register & Inventarisierung

Pflicht zu vollständigem Register aller IKT-Verträge

  • Erfassung kritischer/wichtiger Vertragsbeziehungen
  • Informationen: Provider, Services, Standorte, Datenverarbeitung, Kritikalität, Konzentrationsrisiken
  • Regelmäßige Updates
  • Verfügbar für Aufsicht

Pre-Contract Due Diligence

Systematische Prüfung vor Vertragsabschluss

  • Security-Assessments, Zertifizierungen, Audit-Reports
  • Finanzielle Stabilität, Jurisdiktion, Sub-Contracting
  • Risikobewertung inkl. Konzentrationsrisiken
  • Exit-Komplexität analysieren

Mindestvertragsinhalte

DORA definiert Pflicht-Klauseln

  • Detaillierte Leistungsbeschreibung/SLAs, Standorte/Datenverarbeitung
  • Vollständige Audit-/Zugriffsrechte (inkl. Aufsicht)
  • Kooperation mit Behörden
  • Obligatorische Exit-Strategien mit Übergangsfristen
  • Resolution-Resilienz (Non-Termination)

Sub-Contracting-Kontrolle

Transparenz über Sub-Unternehmer

  • Provider muss Sub-Contracting offenlegen
  • Finanzinstitut muss Sub-Unternehmer-Risiken bewerten
  • Audit-Rechte erstrecken sich auf Sub-Unternehmer
  • Keine kritischen Funktionen ohne Genehmigung auslagern

Konzentrationsanalyse

Bewertung von Provider-Konzentrationen

  • Single-Provider-Abhängigkeiten identifizieren
  • Kumulative Exposition über Portfolio
  • “Too-big-to-fail”-Drittanbieter
  • Strategien zur Konzentrationsreduktion: Multi-Sourcing, Diversifikation, Exit-Fähigkeit

Drittland-Risiken

Besondere Sorgfalt bei Nicht-EU-Providern

  • Jurisdiktionelle Risiken (extraterritoriale Zugriffe)
  • Politische/wirtschaftliche Risiken
  • Durchsetzbarkeit von EU-Recht
  • Datentransfer-Mechanismen (SCCs, Adequacy)
  • Aufsichtszugriff sicherstellen

EU-Oversight Framework für kritische IKT-Provider

Kapitel V, Sektion II etabliert einen EU-Aufsichtsrahmen für kritische IKT-Drittanbieter. Lead Overseer (EBA/EIOPA/ESMA) mit umfassenden Befugnissen – von Inspektionen bis Sanktionen.

Designation als kritisch

Systematische Relevanz-Bewertung

  • Kriterien: Systemrelevanz für Finanzsektor, Substitutierbarkeit, Konzentrationsrisiko
  • Komplexität der Dienstleistung
  • Abhängigkeiten zwischen Finanzinstituten
  • Designation durch Joint Committee der ESAs

Lead Overseer-Befugnisse

Umfassende Aufsichtsbefugnisse

  • Allgemeine Untersuchungen, On-/Off-site-Inspektionen
  • Dokumentenanforderungen, Interviews mit Management/Staff
  • Empfehlungen mit Follow-up-Monitoring
  • Sanktionsmechanismen bei Non-Compliance

Drittland-Provider: EU-Präsenz

Verpflichtung zu EU-Tochtergesellschaft

  • Kritische Drittland-Provider müssen binnen 12 Monaten EU-Tochter etablieren
  • Keine Datenlokalisierungspflicht, aber Durchsetzbarkeit von EU-Recht
  • Oversight durch EU-Tochter

Reporting & Transparenz

Regelmäßige Reports an Lead Overseer

  • Sub-Outsourcing-Register, Incident-Meldungen, wesentliche Änderungen, Risikobewertungen
  • Ad-hoc-Berichte bei Material-Events
  • Teilnahme an Industry-Consultations
  • Kooperation mit nationalen Behörden

ayedo und DORA

Unsere Software Delivery Plattform und Managed Services unterstützen Finanzinstitute systematisch bei der DORA-Konformität – von IKT-Risikomanagement über Testing bis zum Drittparteirisiko-Management.

IKT-Risikomanagement-Framework

ISO 27001-zertifizierte Prozesse

  • ISMS-basiertes Operations-Modell mit dokumentierten Policies
  • Change-Management, Incident-Tracking
  • KPI/KRI-Dashboards, Asset-Inventare (CMDB-Integration)
  • Jährliche Reviews
  • Board-taugliche Reporting-Formate

Schutz & Härtung

Zero-Trust-Architektur, starke Authentisierung

  • Network-Segmentierung via Kubernetes-Policies
  • MFA/OIDC-Integration
  • Secrets-Management mit Customer-Managed Keys
  • GitOps-basierte Change-Kontrolle
  • Automated Patch-Management mit Policy-Gates

24/7 Detection & Monitoring

Comprehensive Observability-Stack

  • Metrics, Logs, Traces mit standardisierten Schnittstellen
  • Definierte Alerting-Schwellen, Eskalations-Runbooks
  • 24/7-SOC-Integration
  • MTTA/MTTR-Tracking
  • Threat-Intelligence-Feeds
  • SIEM-Integration möglich

BCP & Disaster Recovery

Getestete Backup-/Restore-Prozesse

  • Multi-AZ/Region-Designs, dokumentierte RTO/RPO-Ziele
  • Automatisierte Backups mit standardkonformem Object Storage
  • Point-in-Time-Recovery
  • Jährliche DR-Tests inkl. Switchover-Szenarien
  • Forensische Backup-Retention
  • Segregierte Restore-Netze

Incident Response & Meldeketten

Strukturierte Incident-Prozesse

  • Triage-Schwellen für “große IKT-Vorfälle”, 24/72h-Meldepfade
  • Koordination mit Behörden/CSIRTs
  • Incident-Timeline-Dokumentation
  • Post-Incident-Reviews
  • Lessons-Learned-Integration
  • Crisis-Comms-Playbooks

Digital Resilience Testing

Test-Infrastruktur für Vuln-Scans bis TLPT

  • Staging-Environments für Purple-/Red-Team-Tests
  • Policy-Gates in CI/CD
  • TLPT-Readiness: Scoping-Support, Datenfluss-Diagramme, Crown-Jewels-Mapping
  • Partner-Netzwerk für externe Threat-Intel
  • Remediation-Tracking

DORA-konforme Vertragsklauseln

Standard-Clause-Library

  • Detaillierte SLAs, Standort-/Datenverarbeitungs-Offenlegung
  • Vollständige Audit-/Zugriffsrechte (inkl. Aufsichtsbehörden)
  • Sub-Contracting-Transparenz
  • Exit-Strategien mit Übergangsfristen
  • Resolution-Resilienz (Non-Termination/Suspension)

EU-Sourcing & Jurisdiktion

EU-Only-Betriebsmodelle verfügbar

  • Minimierung von Drittland-Risiken
  • EU-basierte Operations, DSGVO-Konformität
  • Provider-Unabhängigkeit
  • Konzentrationsreduktion durch Multi-Cloud-Designs
  • Transparenz über gesamte Sub-Supplier-Kette

DORA-Enablement-Pakete

Turnkey-Konformitäts-Roadmaps

  • IKT-Strategie-Templates, KPI/KRI-Sets
  • Inventar/CMDB-Integration
  • Change-/Patch-Policies, Crisis-Comms-Pläne
  • IKT-Vertragsregister, Pre-Contract-DD-Checklisten
  • Board-Level-Reporting
  • Audit-Vorbereitung

DORA im regulatorischen Kontext

DORA ist Teil des umfassenden EU-Digital-/Cybersecurity-Ökosystems. Es verzahnt sich mit NIS2, CRA, Cloud Sovereignty Framework, Data Act und weiteren EU-Verordnungen.

DORA vs. NIS2

DORA ist lex specialis für Finanzsektor

NIS2 gilt grundsätzlich für kritische/wichtige Einrichtungen; DORA präzisiert und erweitert für Finanzinstitute. Keine Doppel-Compliance: DORA-konforme Finanzentitäten erfüllen im Regelfall auch NIS2.

Mehr zu NIS2

DORA & Cyber Resilience Act

Komplementär auf Produkt-/Operations-Ebene

CRA adressiert Cybersecurity von Produkten mit digitalen Elementen (Software, Hardware). DORA fordert operationelle Resilienz beim Einsatz dieser Produkte im Finanzsektor. Zusammen: sichere Produkte + resiliente Operations.

Mehr zu CRA

DORA & Cloud Sovereignty

Digitale Souveränität als Risikominderer

Das EU Cloud Sovereignty Framework bewertet Unabhängigkeit, Kontrolle und Exit-Fähigkeit – Faktoren, die DORA-Drittparteirisiken direkt adressieren. EU-basierte, souveräne IKT-Stacks reduzieren Jurisdiktions- und Konzentrationsrisiken.

Mehr zum Framework

DORA & Data Act

Datenportabilität und Lock-in-Vermeidung

Der Data Act fordert technische/vertragliche Maßnahmen gegen Vendor Lock-in – direkt relevant für DORA-Exit-Strategien bei IKT-Drittanbietern. Interoperabilität und standardisierte Schnittstellen werden zum regulatorischen Standard.

Mehr zum Data Act

DORA & GDPR

Ergänzende Anforderungen

GDPR fokussiert Datenschutz und Privacy. DORA adressiert IKT-Resilienz und Verfügbarkeit. Überschneidungen: Incident-Meldung (DORA an Finanzaufsicht, GDPR an DPA), Security-Maßnahmen (Art. 32 GDPR). Koordinierte Compliance erforderlich. DORA-Konformität setzt GDPR-konforme Datenverarbeitung voraus.

Mehr zur GDPR

Sektorspezifische Verzahnung

Integration mit Bankaufsicht/Versicherungsrecht

DORA ergänzt CRR/CRD (Banking), Solvency II (Insurance), MiFID II (Investment Firms). IKT-Risikomanagement als Teil des operationellen Risikos. ESAs (EBA/EIOPA/ESMA) als federführende Aufsicht. Kohärente Regelwerke.

ayedo Compliance-Übersicht

Comprehensive Compliance-Ansatz

Wie ayedo DORA, NIS2, CRA, GDPR, ISO 27001 und weitere Standards systematisch adressiert. Zertifizierungen, Prozesse, technische Maßnahmen und Audit-Bereitschaft – hier finden Sie unsere vollständige Compliance-Roadmap.

Zur Übersicht

Strategische Implikationen

DORA verändert fundamental, wie Finanzinstitute IKT-Risiken managen, Drittanbieter steuern und Resilienz testen. Von der Vorstandsverantwortung bis zur Exit-Strategie – hier sind die Kernimplikationen.

Vorstandshaftung & Governance

IKT-Resilienz wird Chefsache

  • Board trägt ultimative Verantwortung
  • Strategie, Risikotoleranz, Budgets müssen definiert sein
  • Messbare KPIs/KRIs
  • Jährliche Board-Berichte zu IKT-Risiken
  • Non-Compliance kann zu persönlicher Haftung führen

Engineering-Disziplin

Umfassende Dokumentation Pflicht

  • Vollständige Asset-Inventare, Datenfluss-Diagramme, Dependency-Maps
  • Segmentierte Architekturen, Credential-/Key-Management
  • Change-/Patch-Prozesse nachweisbar
  • Signierte Artefakte
  • RTO/RPO-definiert und getestet

Operations & Runbooks

24/7-Monitoring/Detection verpflichtend

  • Krisen-Kommunikation, Incident-/Major-Incident-Prozesse mit klaren Schwellwerten
  • Reporting-Pfade zu Behörden
  • Jährliche Tests (BCP, DR, TLPT)
  • Post-Mortems und Lessons-Learned-Integration

Sourcing & Verträge

Konsequente DORA-Klauseln erforderlich

  • Audit-/Zugriffs-/Exit-Rechte, Datenflüsse/Standorte
  • Sub-Contracting-Offenlegung, Resolution-Resilienz
  • Register aller IKT-Verträge
  • Konzentrationsrisiken strategisch adressieren
  • Multi-Sourcing wo kritisch

Testing-Intensität

Von Vuln-Scans bis TLPT

  • Regelmäßige Penetration-Tests
  • TLPT für große/systemische Häuser (Intelligence-basierte Red-Teams)
  • Gegenseitige Anerkennung zwischen EU-Staaten
  • Remediation-Tracking mit Board-Oversight
  • Testroadmap über mehrere Jahre

Oversight-Exposure

Kritische IKT-Provider unter direkter Aufsicht

  • Hyperscaler/Cloud-Provider können zu “kritischen Drittanbietern” designiert werden
  • Lead Overseer mit Inspektions-/Sanktionsbefugnissen
  • Drittland-Provider: EU-Tochter binnen 12 Monaten
  • Compliance-Aufwand steigt