Zum Hauptinhalt springen

DORA-Compliance Anforderungen (Überblick)

Der Digital Operational Resilience Act (DORA) schafft einen EU-weit einheitlichen Rahmen für die digitale Widerstandsfähigkeit im Finanzsektor. Ziel ist es, IKT-Risiken ganzheitlich zu steuern, Vorfälle transparent zu melden und über Tests die Resilienz von Prozessen, Systemen und Lieferketten nachzuweisen – prüfungsfest für Aufsicht und Revision.

DORA-Compliance

Typische Herausforderungen – und wie Sie sie meistern

Herausforderung Risiko Praxislösung
Unklare Betroffenheit Verspätete Umsetzung, Aufsichtsrisiken Gap-Analyse & Scoping für Institute, Zahlungsdienste, IKT-Drittanbieter
Zerstreute Verantwortlichkeiten Blind Spots, fehlende Nachweise Governance festlegen: ISB (2nd Line), CISO (1st Line), DSB, ZAM
Incident-Reporting unzureichend Verstöße gegen Meldefristen/-inhalte Meldeprozesse, Templates, Kommunikationswege testen
Resilienztests nicht risikoadäquat Unwirksame Tests, Prüfungsfeststellungen Testplan mit RTO/RPO, Szenarien, DR-Übungen & Nachweisen
Lieferkette/Outsourcing Intransparente Subdienstleister, Konzentrationsrisiken Register, Due Diligence, Auditrechte, laufendes Monitoring

Wer ist betroffen?

  • Finanzinstitute & Zahlungsdienstleister: Banken, Wertpapierfirmen, Zahlungs-/E-Geld-Institute.

  • Kritische IKT-Drittanbieter: IT-/Cloud-Provider, die kritische Dienste erbringen (erhöhte Aufsicht).

  • Verbund-/Lieferkette: Subdienstleister in der Kette sind mit zu betrachten (Transparenz & Kontrolle).

Kernpflichten nach DORA

Sanktionen & Aufsicht

  • Aufsichtsmaßnahmen: Beanstandungen, Anordnungen, Sonderprüfungen.

  • Sanktionen: Geldbußen und Auflagen bei Verstößen (z. B. Meldepflichten, fehlende Kontrollen).

  • Prüfungsfestigkeit: Lückenlose Dokumentation, nachvollziehbares Reporting an die Geschäftsleitung.

Verknüpfung mit bestehenden Funktionen

  • ISB (Art. 6 Abs. 4): Unabhängige IKT-Risikokontrollfunktion, Reporting an GL.

  • CISO: Operative Umsetzung (1st Line), Incident Handling, Security-Engineering.

  • ZAM/Outsourcing: Vertrags- & Lieferkettensteuerung (Audit/Access/Exit, Sub-Outsourcing).

  • DSB: DSGVO-Schnittstelle (Datenklassifikation, Speicherorte, TOMs).

Outsourcing & Unterstützung durch S+P

S+P unterstützt bei Gap-Analyse, Zielbild & Implementierung der DORA-Anforderungen – einschließlich Governance, Incident-Prozessen, Resilienztests und Lieferkettensteuerung. Auf Wunsch übernehmen wir die IKT-Risikokontrolle als externe Funktion und liefern prüfungsfeste Dokumentation. Eine detaillierte Übersicht finden Sie unter DORA & Informationssicherheitsbeauftragter.

Zu unseren Outsourcing-Services

FAQ

  • Wer fällt konkret unter DORA?

    Banken, Wertpapierfirmen, Zahlungs-/E-Geld-Institute und bestimmte IKT-Drittanbieter. Verbund- und Subdienstleister sind in der Steuerung zu berücksichtigen.

  • Welche Mindestpflichten gelten?

    Governance & klare Verantwortlichkeiten, IKT-Risikomanagement, Incident-Reporting, Resilienztests sowie Steuerung von Drittparteien/Outsourcing inklusive Unterauslagerungen.

  • Wie wird Prüfungsfestigkeit erreicht?

    Durch dokumentierte Verfahren, Test- und Incident-Nachweise, Managementberichte und ein belastbares Maßnahmen-/Findings-Tracking.

  • Gibt es Übergangsfristen oder Sanktionen?

    DORA sieht Aufsichtsmaßnahmen und Bußgelder bei Verstößen vor. Entscheidend ist eine risikoadäquate, fristgerechte Umsetzung mit nachvollziehbarer Dokumentation.

  • Kann S+P DORA-Aufgaben als Outsourcing übernehmen?

    Ja. S+P übernimmt auf Wunsch die IKT-Risikokontrollfunktion, unterstützt bei Incident-Prozessen, Resilienztests und der Steuerung von Drittparteien – SLA-gestützt und prüfungsfest.

Vertiefende Inhalte zu DORA & Informationssicherheitsbeauftragter

Entdecken Sie unsere wichtigsten Themenseiten rund um DORA, IKT-Risiken und die Rolle des Informationssicherheitsbeauftragten:

Zur Übersicht DORA & Informationssicherheitsbeauftragter