DORA-Compliance Anforderungen (Überblick)

Der Digital Operational Resilience Act (DORA) schafft einen EU-weit einheitlichen Rahmen für die digitale Widerstandsfähigkeit im Finanzsektor. Ziel ist es, IKT-Risiken ganzheitlich zu steuern, Vorfälle transparent zu melden und über Tests die Resilienz von Prozessen, Systemen und Lieferketten nachzuweisen – prüfungsfest für Aufsicht und Revision.

Typische Herausforderungen – und wie Sie sie meistern

Herausforderung	Risiko	Praxislösung
Unklare Betroffenheit	Verspätete Umsetzung, Aufsichtsrisiken	Gap-Analyse & Scoping für Institute, Zahlungsdienste, IKT-Drittanbieter
Zerstreute Verantwortlichkeiten	Blind Spots, fehlende Nachweise	Governance festlegen: ISB (2nd Line), CISO (1st Line), DSB, ZAM
Incident-Reporting unzureichend	Verstöße gegen Meldefristen/-inhalte	Meldeprozesse, Templates, Kommunikationswege testen
Resilienztests nicht risikoadäquat	Unwirksame Tests, Prüfungsfeststellungen	Testplan mit RTO/RPO, Szenarien, DR-Übungen & Nachweisen
Lieferkette/Outsourcing	Intransparente Subdienstleister, Konzentrationsrisiken	Register, Due Diligence, Auditrechte, laufendes Monitoring

Wer ist betroffen?

Finanzinstitute & Zahlungsdienstleister: Banken, Wertpapierfirmen, Zahlungs-/E-Geld-Institute.
Kritische IKT-Drittanbieter: IT-/Cloud-Provider, die kritische Dienste erbringen (erhöhte Aufsicht).
Verbund-/Lieferkette: Subdienstleister in der Kette sind mit zu betrachten (Transparenz & Kontrolle).

Kernpflichten nach DORA

Governance & Verantwortlichkeiten: Klare Rollen (ISB 2nd Line, CISO 1st Line), Richtlinien, Eskalation.
IKT-Risikomanagement: Identifizieren, Bewerten, Risikoappetit/Toleranzen, Maßnahmen nachhalten.
Incident-Management & Reporting: Klassifizierung, Meldefristen/-inhalte, Lessons Learned.
Resilienztests: Risiko-/kritikalitätsbasiert (Szenarien, DR-Tests, Tabletop), Nachweise & Findings-Tracking. Die Basis dafür liefert oft eine Business Impact Analyse (BIA).
Drittparteien & Outsourcing: Verträge mit Audit/Access/Exit, Register, Monitoring, Unterauslagerungen.
Awareness & Schulungen: Sensibilisierung, Rollenfit, wiederkehrende Trainings.

Sanktionen & Aufsicht

Aufsichtsmaßnahmen: Beanstandungen, Anordnungen, Sonderprüfungen.
Sanktionen: Geldbußen und Auflagen bei Verstößen (z. B. Meldepflichten, fehlende Kontrollen).
Prüfungsfestigkeit: Lückenlose Dokumentation, nachvollziehbares Reporting an die Geschäftsleitung.

Verknüpfung mit bestehenden Funktionen

ISB (Art. 6 Abs. 4): Unabhängige IKT-Risikokontrollfunktion, Reporting an GL.
CISO: Operative Umsetzung (1st Line), Incident Handling, Security-Engineering.
ZAM/Outsourcing: Vertrags- & Lieferkettensteuerung (Audit/Access/Exit, Sub-Outsourcing).
DSB: DSGVO-Schnittstelle (Datenklassifikation, Speicherorte, TOMs).

Outsourcing & Unterstützung durch S+P

S+P unterstützt bei Gap-Analyse, Zielbild & Implementierung der DORA-Anforderungen – einschließlich Governance, Incident-Prozessen, Resilienztests und Lieferkettensteuerung. Auf Wunsch übernehmen wir die IKT-Risikokontrolle als externe Funktion und liefern prüfungsfeste Dokumentation. Eine detaillierte Übersicht finden Sie unter DORA & Informationssicherheitsbeauftragter.

Zu unseren Outsourcing-Services

FAQ

Wer fällt konkret unter DORA?

Banken, Wertpapierfirmen, Zahlungs-/E-Geld-Institute und bestimmte IKT-Drittanbieter. Verbund- und Subdienstleister sind in der Steuerung zu berücksichtigen.
Welche Mindestpflichten gelten?

Governance & klare Verantwortlichkeiten, IKT-Risikomanagement, Incident-Reporting, Resilienztests sowie Steuerung von Drittparteien/Outsourcing inklusive Unterauslagerungen.
Wie wird Prüfungsfestigkeit erreicht?

Durch dokumentierte Verfahren, Test- und Incident-Nachweise, Managementberichte und ein belastbares Maßnahmen-/Findings-Tracking.
Gibt es Übergangsfristen oder Sanktionen?

DORA sieht Aufsichtsmaßnahmen und Bußgelder bei Verstößen vor. Entscheidend ist eine risikoadäquate, fristgerechte Umsetzung mit nachvollziehbarer Dokumentation.
Kann S+P DORA-Aufgaben als Outsourcing übernehmen?

Ja. S+P übernimmt auf Wunsch die IKT-Risikokontrollfunktion, unterstützt bei Incident-Prozessen, Resilienztests und der Steuerung von Drittparteien – SLA-gestützt und prüfungsfest.

Nächste Schritte

Unverbindliches Erstgespräch

S+P Outsourcing-Services

Schulungen & Zertifizierungen

Vertiefende Inhalte zu DORA & Informationssicherheitsbeauftragter

Entdecken Sie unsere wichtigsten Themenseiten rund um DORA, IKT-Risiken und die Rolle des Informationssicherheitsbeauftragten:

Zur Übersicht DORA & Informationssicherheitsbeauftragter

Weitere relevante Themen

Was ist eine Business-Impact-Analyse (BIA)? Die BIA ist die Methode, um Ihre kritischen Prozesse zu identifizieren und die RTO- und RPO-Werte überhaupt erst festzulegen.
Kennzahlen RTO und RPO: Schlüssel für Betriebskontinuität Verstehen Sie die zentralen Metriken für die Wiederherstellungszeit und den tolerierbaren Datenverlust im Detail.
DORA & IKT-Risikomanagement RTO und RPO sind Kernkennzahlen im IKT-Risikomanagement, um die digitale Widerstandsfähigkeit zu steuern.