Bild: Generiert mit Gemini Flash

DORA: was Finanz-Organisationen bis 2026 technisch umgesetzt haben müssen

Der Digital Operational Resilience Act (EU 2022/2554) ist seit Januar 2025 wirksam. Dieser Beitrag geht die praktische Mindestliste durch: ICT-Risk-Register, Incident-Reporting im BaFin-Format, Drittanbieter-Registrierung, Resilienz-Tests und Informationsaustausch.

Inhalt dieses Beitrags
  1. Problem
  2. Kurze Antwort
  3. Tiefgang
  4. Geltungsbereich
  5. ICT-Risk-Management-Framework
  6. Incident-Reporting-Format und Fristen
  7. Resilienz-Testing und TLPT
  8. Third-Party-Risk-Management und Informationsregister
  9. Intelligence-Sharing
  10. Abgelehnte Alternativen
  11. Was Sie jetzt tun sollten
  12. Wie Dernium hier hilft
  13. Verifikation
  14. Offene Punkte
  15. Häufige Fragen
  16. Gilt DORA auch für kleine Institute?
  17. Reicht es, wenn wir BAIT oder VAIT schon umgesetzt haben?
  18. Wie schnell muss ein schwerer IT-Vorfall gemeldet werden?
  19. Müssen wir TLPT durchführen?
  20. Was ist ein kritischer ICT-Drittdienstleister?

Problem

Wenn Sie im Finanzsektor arbeiten, fängt die DORA-Uhr nicht erst an zu laufen, sie läuft seit über einem Jahr. Der Digital Operational Resilience Act (EU 2022/2554) gilt seit dem 17.01.2025 unmittelbar. Anders als NIS-2 ist DORA eine Verordnung: die Pflichten wirken direkt, und die Umsetzungs-Lücke der nationalen Gesetzgeber schützt niemanden mehr. Wer eine Bank, Versicherung, Zahlungsinstitut, KVG (Kapitalverwaltungsgesellschaft) oder Kryptowert-Dienstleister (CASP, Crypto-Asset Service Provider nach MiCAR) betreibt, steht seit gut einem Jahr unter einem engmaschigen Regelwerk aus fünf Pflicht-Bereichen, zwölf RTS/ITS (Regulatory beziehungsweise Implementing Technical Standards, also technische Durchführungs-Vorschriften der EU) und den Joint Guidelines der drei europäischen Aufsichtsbehörden. Gestolpert wird bei den konkreten Artefakten, die 2026 vor einer Prüfung liegen müssen.

Für wen ist das? Für IT- und Auslagerungsverantwortliche in Banken, Versicherungen und deren Dienstleistern.

Kurze Antwort

DORA verlangt von jedem beaufsichtigten Institut fünf nachweisbare Artefakt-Klassen - vorhanden, nicht nur geplant. Im Kern:

  • ein dokumentiertes ICT-Risk-Management-Framework (schriftliches Rahmenwerk für IT-Risiken, ICT = Information and Communication Technology) nach Artikel 5 bis 16 mit jährlichem Review durch das Leitungsorgan,
  • ein Major-Incident-Register (Verzeichnis schwerer IT-Vorfälle) mit Meldepfad nach RTS (EU) 2024/1772 und der BaFin-Plattform MVP,
  • Protokolle aus dem jährlichen Resilienz-Testing plus TLPT (Threat-Led Penetration Testing, bedrohungsgesteuerte Angriffssimulation) alle drei Jahre für die ausgewählten Institute,
  • ein maschinenlesbares Informationsregister aller ICT-Drittdienstleister nach ITS (EU) 2024/2956,
  • ein nachweisbares Engagement in mindestens einem Intelligence-Sharing-Kreis (Verbund zum Austausch von Bedrohungs-Informationen).

Tiefgang

DORA verlangt fünf nachweisbare Artefakt-Klassen, die vor jeder Prüfung der Aufsicht vorliegen müssen.
DORA verlangt fünf nachweisbare Artefakt-Klassen, die vor jeder Prüfung der Aufsicht vorliegen müssen.

Geltungsbereich

DORA adressiert in Artikel 2 rund zwanzig Klassen von Finanzunternehmen: CRR-Kreditinstitute, Zahlungs- und E-Geld-Institute, Wertpapierfirmen, CASPs nach MiCAR, Zentralverwahrer, zentrale Gegenparteien, Handelsplätze, Versicherer und Rückversicherer, EbAV, Ratingagenturen, AIFM, OGAW-Verwaltungen, Crowdfunding-Dienstleister und Datenbereitstellungsdienste. Ausnahmen nach Artikel 16 für Kleinst-Altersversorger und sehr kleine Wertpapierfirmen erlauben ein vereinfachtes Framework. Kritische ICT-Drittdienstleister (CTPPs, Critical Third-Party Providers) werden nach Artikel 31 von den ESAs (European Supervisory Authorities, die drei europäischen Aufsichtsbehörden) designiert und unterliegen dann dem Oversight-Framework mit eigener Aufsichtsgebühr.

Wichtig für die Praxis: DORA verdrängt nicht BAIT, VAIT oder MaRisk AT 7.2 (deutsche Aufsichts-Rundschreiben zur IT von Banken und Versicherern), sondern legt sich darüber. Die BaFin hat in einem FAQ von Februar 2025 klargestellt, dass die nationalen Rundschreiben parallel weitergelten, wo DORA keine unmittelbare Regelung trifft.

ICT-Risk-Management-Framework

Artikel 5 bis 16 verlangen ein schriftliches, vom Leitungsorgan verabschiedetes Framework mit Governance-Rollen, ICT-Risk-Taxonomie, Asset-Klassifizierung, Schutz- und Detection-Mechanismen, Response- und Recovery-Plänen sowie Lern-Zyklus. Das RTS (EU) 2024/1774 konkretisiert die technischen Mindestanforderungen: Netzwerksegmentierung, Patch-Management mit Fristen, kryptographische Kontrollen, MFA (Multi-Faktor-Authentifizierung) für privilegierte Zugänge, Change-Management mit Rollback, Kapazitäts- und Performance-Management. Das Leitungsorgan muss das Framework mindestens jährlich reviewen, dokumentiert mit Unterschrift; die BaFin prüft diese Unterschrift in der Routine.

Incident-Reporting-Format und Fristen

Die Meldepflicht für Major ICT-related Incidents (schwere IT-Vorfälle) ist die am genauesten ausspezifizierte Vorgabe. RTS (EU) 2024/1772 definiert die Klassifizierungs-Kriterien, ITS (EU) 2024/2956 legt das Meldeformular fest. Die Fristen:

  1. Initial Notification (Erstmeldung): spätestens 4 Stunden nach Klassifizierung als "major", höchstens 24 Stunden nach Kenntnis.
  2. Intermediate Report (Zwischenbericht): 72 Stunden nach der Initial Notification, danach bei Veränderungen.
  3. Final Report (Abschlussbericht): spätestens einen Monat nach Incident-Schließung.

Übermittelt wird über die BaFin-MVP-Plattform; die EBA-Joint-Guidelines EBA/GL/2024/10 harmonisieren die Templates zwischen EBA, EIOPA und ESMA (die drei EU-Aufsichtsbehörden für Banken, Versicherer und Wertpapiermärkte). Für signifikante Cyber-Bedrohungen (nicht Incident) existiert eine freiwillige Meldung nach demselben Kanal. Die RTS-Klassifizierungs-Kriterien sind quantitativ: betroffene Kunden, Dauer, geografische Spreizung, Datenverluste, ökonomische und Reputations-Auswirkungen. Jedes Institut legt seine Schwellen schriftlich fest.

Resilienz-Testing und TLPT

Artikel 24 verlangt jährliches Testing der kritischen ICT-Systeme: Schwachstellen-Scans, Source-Code-Reviews für Eigenentwicklung, szenarienbasierte Tests, Performance-Tests, End-to-End-Tests, Penetration-Tests, jeweils mit Findings, Remediation-Plan und Retest.

Eine härtere Stufe ist Threat-Led Penetration Testing (TLPT, ein realitätsnaher Angriffstest entlang echter Bedrohungslagen) nach Artikel 26 und 27 plus RTS (EU) 2025/151. Die Auswahl trifft die jeweilige Aufsicht auf Basis der Institutsgröße und des Systemrisikos; die EBA-Leitlinien aus 2024 skizzieren die typischen Kandidaten: G-SIIs, O-SIIs, CCPs, CSDs, signifikante Zahlungsinstitute, große Versicherer, Kreditinstitute oberhalb definierter Bilanzsummen-Schwellen. Zyklus: mindestens alle drei Jahre. Das Rahmenwerk baut auf TIBER-EU (dem EZB-Rahmenwerk für ethisches Red-Teaming) auf; Tests laufen durch zertifizierte Threat-Intelligence- und Red-Team-Provider unter Leitung einer TLPT-Cyber-Team-Zelle der Aufsicht, Scope sind Live-Produktionssysteme.

Third-Party-Risk-Management und Informationsregister

Artikel 28 bis 30 sowie ITS (EU) 2024/2956 verlangen ein maschinenlesbares Informationsregister aller ICT-Third-Party-Dienstleister (IT-Lieferanten), jährlich an die Aufsicht übermittelt. Das Register hat 15 Teilvorlagen (B.01 bis B.07 plus relationale Tabellen); jede Dienstleistung wird mit Kritikalitätseinstufung, Vertragsdaten, Unterauftragskette, Standort der Datenverarbeitung, Exit-Strategie und Concentration-Risk (Klumpenrisiko durch Abhängigkeit von wenigen Anbietern) erfasst.

Kritisch im Sinne von DORA ist eine Dienstleistung, wenn ihr Ausfall die kritischen oder wichtigen Funktionen des Instituts beeinträchtigen würde. Die Einstufung ist dokumentierte Eigen-Einschätzung; die Aufsicht kann widersprechen. Für kritische Dienstleistungen gelten verschärfte Vertragspflichten nach Artikel 30 Absatz 3: schriftlicher Exit-Plan, Audit-Rechte, Benachrichtigung bei Unterauftragsvergabe, messbare Service-Level, Standort-Klausel. Die ESAs designieren nach Artikel 31 jährlich CTPPs auf EU-Ebene; die erste Liste erwartet man im Verlauf von 2026.

Intelligence-Sharing

Artikel 45 erlaubt (aber: nicht verpflichtet) den Austausch von Bedrohungs-Informationen zwischen Finanz-Instituten in geschlossenen Kreisen. Die Joint ESAs-Leitlinien ermutigen die Teilnahme. Etablierte Kreise in Deutschland sind UP KRITIS, das G4C, der FS-ISAC-EU-Chapter, die Cyber Defence Alliance und die FinCERT-Arbeitsgruppen der BaFin. Der Teilnahme-Nachweis gehört in das ICT-Risk-Framework.

Abgelehnte Alternativen

"Wir deklarieren alle ICT-Leistungen als nicht kritisch und sparen den Artikel-30-Aufwand." Die Aufsicht hat Widerspruchsrecht und vergleicht Einstufungen zwischen Instituten. Inkonsistente oder opportunistische Klassifikation führt sehr wahrscheinlich zu einer Anordnung und im Wiederholungsfall womöglich sogar zu empfindlichen Geldbußen (nach Artikel 50).

"Ein BAIT-Reifegradmodell erfüllt DORA." BAIT deckt wesentliche, aber nicht alle DORA-Themen ab. Informationsregister, Testing-Taxonomie, TLPT-Pflichten und quantitative Incident-Schwellen sind DORA-spezifisch; Parallelführung beider Regelwerke ist der BaFin-Stand 2025.

"TLPT fahren wir intern." Artikel 26 verlangt externe, zertifizierte Provider für Threat Intelligence und Red Team, mit Trennung der Rollen. Interne Teams dürfen allenfalls die White-Team-Rolle (Koordination) übernehmen.

"Wir melden erst, wenn Schaden eingetreten ist." Die Initial Notification läuft auf Klassifizierung, nicht auf Schadenseintritt. Ein laufender Incident, dessen Schwellen gerissen sind, ist meldepflichtig.

Was Sie jetzt tun sollten

  1. Klären Sie zuerst, ob Ihr Haus überhaupt in den Geltungsbereich nach Artikel 2 fällt und ob die Ausnahme nach Artikel 16 (vereinfachtes Framework) greift.
  2. Inventarisieren Sie alle ICT-Drittdienstleister und stufen Sie jede Dienstleistung schriftlich nach Kritikalität ein - das ist die Basis für Informationsregister und Vertragspflichten.
  3. Legen Sie die quantitativen Schwellen fest, ab denen ein Vorfall als "major" gilt, und richten Sie die Meldekette mit den Fristen 4 Stunden / 72 Stunden / 1 Monat ein, inklusive Zugang zur BaFin-MVP-Plattform.
  4. Lassen Sie das ICT-Risk-Framework vom Leitungsorgan dokumentiert und unterschrieben jährlich freigeben.
  5. Wenn Sie ein TLPT-Kandidat sein könnten, binden Sie frühzeitig Slots bei zertifizierten Red-Team-Providern - der Markt ist eng.

Wie Dernium hier hilft

Dernium Watch unterstützt die laufende Drittanbieter-Überwachung: Zertifikats-Anomalien, Routing-Auffälligkeiten und DNS-Integrität für die Dienstleister aus dem Informationsregister, Möglichkeit der Frühwarnung vor Tippfehler-Domains in Lieferketten-Angriffen. Dernium Scan und Dernium Clean laufen ausschließlich auf Dernium-Hardware in Deutschland, ohne Weitergabe an ausländische Firmen, relevant für die Standort-Klausel der DORA-Artikel-30-Verträge und für die Transfer-Impact-Prüfung nach Schrems II (EuGH-Rechtsprechung zu Datentransfers in Drittländer). Für die strukturierte Annahme externer Sicherheitshinweise zu eigenen Produkten reicht ein nach RFC 9116 sauber gepflegtes security.txt (eine standardisierte Kontaktdatei für Sicherheitsmeldungen) auf der Unternehmens-Domain; eine Vorlage liefert der kostenlose Dernium Webtools. Die DORA-Art.19-Major-Incident-Meldung greift erst, wenn überhaupt eine geregelte Meldekette nach innen existiert.

Was Dernium heute nicht leistet: es gibt kein TLPT-Testing-Angebot, keine zertifizierte Threat-Intelligence-Zelle, keinen ICT-Risk-Register-Baukasten nach ITS 2024/2956, keinen BaFin-MVP-Reporting-Adapter, keinen automatisierten Concentration-Risk-Rechner. Wer DORA-Compliance hauptamtlich betreibt, kombiniert Dernium-Bausteine mit einer spezialisierten GRC-Plattform (Governance, Risk and Compliance) und einem TLPT-qualifizierten Red-Team-Provider.

Verifikation

  1. DORA-Verordnung (EU) 2022/2554.
  2. RTS (EU) 2024/1774 zum ICT-Risk-Management-Framework.
  3. RTS (EU) 2024/1772 zur Klassifizierung von Major Incidents.
  4. ITS (EU) 2024/2956 zum Informationsregister und zur Incident-Meldung.
  5. RTS (EU) 2025/151 zu TLPT.
  6. Joint Guidelines EBA/GL/2024/10 zur Incident-Meldung.
  7. EBA-Leitlinien zu Threat-Led Penetration Testing.
  8. TIBER-EU-Rahmenwerk der EZB.
  9. BaFin-DORA-FAQ (Stand Februar 2025).
  10. BaFin-MVP-Portal für Incident-Meldungen.

Offene Punkte

Zusammenspiel mit NIS-2-Umsetzungsgesetz. Das deutsche NIS-2-Umsetzungsgesetz ist noch im parlamentarischen Verfahren. Institute, die beide Regelwerke treffen, fahren zwei parallele Melde-Pfade, bis eine Harmonisierungs-Klausel im nationalen Recht steht.

CTPP-Designations-Liste. Die erste offizielle Liste kritischer ICT-Drittdienstleister auf EU-Ebene steht aus. Interne Kritikalitäts-Einstufungen sollten konservativ gewählt werden, damit eine Harmonisierung mit der CTPP-Liste möglich bleibt.

TLPT-Provider-Markt. Die Zahl der in Deutschland verfügbaren zertifizierten Red-Team- und Threat-Intelligence-Provider ist endlich. Institute mit erster TLPT-Runde in 2026 oder 2027 sollten Slots früh binden; Engpässe sind absehbar.

Häufige Fragen

Gilt DORA auch für kleine Institute?

Grundsätzlich ja - DORA ist eine Verordnung und wirkt unmittelbar für alle in Artikel 2 genannten Klassen von Finanzunternehmen. Artikel 16 erlaubt aber für Kleinst-Altersversorger und sehr kleine Wertpapierfirmen ein vereinfachtes Framework mit reduziertem Aufwand. Prüfen Sie zuerst, in welche Kategorie Ihr Haus fällt.

Reicht es, wenn wir BAIT oder VAIT schon umgesetzt haben?

Nein. BAIT und VAIT decken viele, aber nicht alle DORA-Themen ab. Das maschinenlesbare Informationsregister, die Testing-Taxonomie, die TLPT-Pflichten und die quantitativen Incident-Schwellen sind DORA-spezifisch und gehen über die deutschen Rundschreiben hinaus. Beide Regelwerke gelten parallel.

Wie schnell muss ein schwerer IT-Vorfall gemeldet werden?

Die Erstmeldung ist spätestens 4 Stunden nach Klassifizierung als "major" fällig, höchstens aber 24 Stunden nach Kenntnis des Vorfalls. Es folgen ein Zwischenbericht nach 72 Stunden und ein Abschlussbericht spätestens einen Monat nach Schließung. Ausschlaggebend ist die Klassifizierung anhand Ihrer Schwellen, nicht der eingetretene Schaden.

Müssen wir TLPT durchführen?

Nur wenn Ihre Aufsicht Sie auswählt. Die Auswahl richtet sich nach Größe und Systemrisiko; typische Kandidaten sind große, systemrelevante Institute. Wenn Sie betroffen sind, läuft der Test mindestens alle drei Jahre und muss von externen, zertifizierten Providern durchgeführt werden - intern zulässig ist nur die Koordinationsrolle.

Was ist ein kritischer ICT-Drittdienstleister?

Im Informationsregister stufen Sie selbst ein, welche Dienstleistung kritisch ist - kritisch ist sie, wenn ihr Ausfall die wichtigen Funktionen Ihres Hauses beeinträchtigen würde. Davon zu unterscheiden ist der CTPP-Status: Diesen vergeben die EU-Aufsichtsbehörden zentral für Anbieter, die für den gesamten Finanzsektor systemrelevant sind. Die erste CTPP-Liste wird 2026 erwartet.