DORA: was Finanz-Organisationen bis 2026 technisch umgesetzt haben müssen

Problem

Der Digital Operational Resilience Act (EU 2022/2554) gilt seit dem 17.01.2025 unmittelbar. Anders als NIS-2 ist DORA eine Verordnung: die Pflichten wirken direkt, und die Umsetzungs-Lücke der nationalen Gesetzgeber schützt niemanden mehr. Wer eine Bank, Versicherung, Zahlungsinstitut, KVG oder Kryptowert-Dienstleister (CASP nach MiCAR) betreibt, steht seit gut einem Jahr unter einem engmaschigen Regelwerk aus fünf Pflicht-Bereichen, zwölf RTS/ITS und den Joint Guidelines der drei europäischen Aufsichtsbehörden. Gestolpert wird bei den konkreten Artefakten, die 2026 vor einer Prüfung liegen müssen.

Kurze Antwort

Fünf Artefakt-Klassen muss ein beaufsichtigtes Institut heute vorzeigen können:

1. ein dokumentiertes ICT-Risk-Management-Framework nach Artikel 5 bis 16 mit jährlichem Review durch das Leitungsorgan,
2. ein Major-Incident-Register mit Meldepfad nach RTS (EU) 2024/1772 und der BaFin-Plattform MVP,
3. Protokolle aus dem jährlichen Resilienz-Testing plus TLPT alle drei Jahre für die ausgewählten Institute,
4. ein maschinenlesbares Informationsregister aller ICT-Third-Party-Dienstleister nach ITS (EU) 2024/2956 und
5. ein nachweisbares Engagement in mindestens einem Intelligence-Sharing-Kreis.

Jedes Artefakt muss tatsächlich vorhanden sein, nicht nur geplant.

Tiefgang

Geltungsbereich

DORA adressiert in Artikel 2 rund zwanzig Klassen von Finanzunternehmen: CRR-Kreditinstitute, Zahlungs- und E-Geld-Institute, Wertpapierfirmen, CASPs nach MiCAR, Zentralverwahrer, zentrale Gegenparteien, Handelsplätze, Versicherer und Rückversicherer, EbAV, Ratingagenturen, AIFM, OGAW-Verwaltungen, Crowdfunding-Dienstleister und Datenbereitstellungsdienste. Ausnahmen nach Artikel 16 für Kleinst-Altersversorger und sehr kleine Wertpapierfirmen erlauben ein vereinfachtes Framework. Kritische ICT-Drittdienstleister (CTPPs) werden nach Artikel 31 von den ESAs designiert und unterliegen dann dem Oversight-Framework mit eigener Aufsichtsgebühr.

Wichtig für die Praxis: DORA verdrängt nicht BAIT, VAIT oder MaRisk AT 7.2, sondern legt sich darüber. Die BaFin hat in einem FAQ von Februar 2025 klargestellt, dass die nationalen Rundschreiben parallel weitergelten, wo DORA keine unmittelbare Regelung trifft.

ICT-Risk-Management-Framework

Artikel 5 bis 16 verlangen ein schriftliches, vom Leitungsorgan verabschiedetes Framework mit Governance-Rollen, ICT-Risk-Taxonomie, Asset-Klassifizierung, Schutz- und Detection-Mechanismen, Response- und Recovery-Plänen sowie Lern-Zyklus. Das RTS (EU) 2024/1774 konkretisiert die technischen Mindestanforderungen: Netzwerksegmentierung, Patch-Management mit Fristen, kryptographische Kontrollen, MFA für privilegierte Zugänge, Change-Management mit Rollback, Kapazitäts- und Performance-Management. Das Leitungsorgan muss das Framework mindestens jährlich reviewen, dokumentiert mit Unterschrift; die BaFin prüft diese Unterschrift in der Routine.

Incident-Reporting-Format und Fristen

Die Meldepflicht für Major ICT-related Incidents ist die am genauesten ausspezifizierte Vorgabe. RTS (EU) 2024/1772 definiert die Klassifizierungs-Kriterien, ITS (EU) 2024/2956 legt das Meldeformular fest. Die Fristen:

1. Initial Notification: spätestens 4 Stunden nach Klassifizierung als "major", höchstens 24 Stunden nach Kenntnis.
2. Intermediate Report: 72 Stunden nach der Initial Notification, danach bei Veränderungen.
3. Final Report: spätestens einen Monat nach Incident-Schließung.

Übermittelt wird über die BaFin-MVP-Plattform; die EBA-Joint-Guidelines EBA/GL/2024/10 harmonisieren die Templates zwischen EBA, EIOPA und ESMA. Für signifikante Cyber-Bedrohungen (nicht Incident) existiert eine freiwillige Meldung nach demselben Kanal. Die RTS-Klassifizierungs-Kriterien sind quantitativ: betroffene Kunden, Dauer, geografische Spreizung, Datenverluste, ökonomische und Reputations-Auswirkungen. Jedes Institut legt seine Schwellen schriftlich fest.

Resilienz-Testing und TLPT

Artikel 24 verlangt jährliches Testing der kritischen ICT-Systeme: Schwachstellen-Scans, Source-Code-Reviews für Eigenentwicklung, szenarienbasierte Tests, Performance-Tests, End-to-End-Tests, Penetration-Tests, jeweils mit Findings, Remediation-Plan und Retest.

Eine härtere Stufe ist Threat-Led Penetration Testing (TLPT) nach Artikel 26 und 27 plus RTS (EU) 2025/151. Die Auswahl trifft die jeweilige Aufsicht auf Basis der Institutsgröße und des Systemrisikos; die EBA-Leitlinien aus 2024 skizzieren die typischen Kandidaten: G-SIIs, O-SIIs, CCPs, CSDs, signifikante Zahlungsinstitute, große Versicherer, Kreditinstitute oberhalb definierter Bilanzsummen-Schwellen. Zyklus: mindestens alle drei Jahre. Das Rahmenwerk baut auf TIBER-EU auf; Tests laufen durch zertifizierte Threat-Intelligence- und Red-Team-Provider unter Leitung einer TLPT-Cyber-Team-Zelle der Aufsicht, Scope sind Live-Produktionssysteme.

Third-Party-Risk-Management und Informationsregister

Artikel 28 bis 30 sowie ITS (EU) 2024/2956 verlangen ein maschinenlesbares Informationsregister aller ICT-Third-Party-Dienstleister, jährlich an die Aufsicht übermittelt. Das Register hat 15 Teilvorlagen (B.01 bis B.07 plus relationale Tabellen); jede Dienstleistung wird mit Kritikalitätseinstufung, Vertragsdaten, Unterauftragskette, Standort der Datenverarbeitung, Exit-Strategie und Concentration-Risk erfasst.

Kritisch im Sinne von DORA ist eine Dienstleistung, wenn ihr Ausfall die kritischen oder wichtigen Funktionen des Instituts beeinträchtigen würde. Die Einstufung ist dokumentierte Eigen-Einschätzung; die Aufsicht kann widersprechen. Für kritische Dienstleistungen gelten verschärfte Vertragspflichten nach Artikel 30 Absatz 3: schriftlicher Exit-Plan, Audit-Rechte, Benachrichtigung bei Unterauftragsvergabe, messbare Service-Level, Standort-Klausel. Die ESAs designieren nach Artikel 31 jährlich CTPPs auf EU-Ebene; die erste Liste erwartet man im Verlauf von 2026.

Intelligence-Sharing

Artikel 45 erlaubt (aber: nicht verpflichtet) den Austausch von Bedrohungs-Informationen zwischen Finanz-Instituten in geschlossenen Kreisen. Die Joint ESAs-Leitlinien ermutigen die Teilnahme. Etablierte Kreise in Deutschland sind UP KRITIS, das G4C, der FS-ISAC-EU-Chapter, die Cyber Defence Alliance und die FinCERT-Arbeitsgruppen der BaFin. Der Teilnahme-Nachweis gehört in das ICT-Risk-Framework.

Abgelehnte Alternativen

"Wir deklarieren alle ICT-Leistungen als nicht kritisch und sparen den Artikel-30-Aufwand." Die Aufsicht hat Widerspruchsrecht und vergleicht Einstufungen zwischen Instituten. Inkonsistente oder opportunistische Klassifikation führt sehr wahrscheinlich zu einer Anordnung und im Wiederholungsfall womöglich sogar zu empfindlichen Geldbußen (nach Artikel 50).

"Ein BAIT-Reifegradmodell erfüllt DORA." BAIT deckt wesentliche, aber nicht alle DORA-Themen ab. Informationsregister, Testing-Taxonomie, TLPT-Pflichten und quantitative Incident-Schwellen sind DORA-spezifisch; Parallelführung beider Regelwerke ist der BaFin-Stand 2025.

"TLPT fahren wir intern." Artikel 26 verlangt externe, zertifizierte Provider für Threat Intelligence und Red Team, mit Trennung der Rollen. Interne Teams dürfen allenfalls die White-Team-Rolle (Koordination) übernehmen.

"Wir melden erst, wenn Schaden eingetreten ist." Die Initial Notification läuft auf Klassifizierung, nicht auf Schadenseintritt. Ein laufender Incident, dessen Schwellen gerissen sind, ist meldepflichtig.

Wie Dernium hier hilft

Dernium Watch unterstützt die laufende Drittanbieter-Überwachung: Zertifikats-Anomalien, Routing-Auffälligkeiten und DNS-Integrität für die Dienstleister aus dem Informationsregister, Möglichkeit der Frühwarnung vor Tippfehler-Domains in Lieferketten-Angriffen. Dernium Scan und Dernium Clean laufen ausschließlich auf Dernium-Hardware in Deutschland, ohne Weitergabe an ausländische Firmen, relevant für die Standort-Klausel der DORA-Artikel-30-Verträge und für die Transfer-Impact-Prüfung nach Schrems II. Für die strukturierte Annahme externer Sicherheitshinweise zu eigenen Produkten reicht ein nach RFC 9116 sauber gepflegtes security.txt auf der Unternehmens-Domain; eine Vorlage liefert der kostenlose Dernium Generator. Die DORA-Art.19-Major-Incident-Meldung greift erst, wenn überhaupt eine geregelte Meldekette nach innen existiert.

Was Dernium heute nicht leistet: es gibt kein TLPT-Testing-Angebot, keine zertifizierte Threat-Intelligence-Zelle, keinen ICT-Risk-Register-Baukasten nach ITS 2024/2956, keinen BaFin-MVP-Reporting-Adapter, keinen automatisierten Concentration-Risk-Rechner. Wer DORA-Compliance hauptamtlich betreibt, kombiniert Dernium-Bausteine mit einer spezialisierten GRC-Plattform und einem TLPT-qualifizierten Red-Team-Provider.

Verifikation

1. DORA-Verordnung (EU) 2022/2554.
2. RTS (EU) 2024/1774 zum ICT-Risk-Management-Framework.
3. RTS (EU) 2024/1772 zur Klassifizierung von Major Incidents.
4. ITS (EU) 2024/2956 zum Informationsregister und zur Incident-Meldung.
5. RTS (EU) 2025/151 zu TLPT.
6. Joint Guidelines EBA/GL/2024/10 zur Incident-Meldung.
7. EBA-Leitlinien zu Threat-Led Penetration Testing.
8. TIBER-EU-Rahmenwerk der EZB.
9. BaFin-DORA-FAQ (Stand Februar 2025).
10. BaFin-MVP-Portal für Incident-Meldungen.

Offene Punkte

Zusammenspiel mit NIS-2-Umsetzungsgesetz. Das deutsche NIS-2-Umsetzungsgesetz ist noch im parlamentarischen Verfahren. Institute, die beide Regelwerke treffen, fahren zwei parallele Melde-Pfade, bis eine Harmonisierungs-Klausel im nationalen Recht steht.

CTPP-Designations-Liste. Die erste offizielle Liste kritischer ICT-Drittdienstleister auf EU-Ebene steht aus. Interne Kritikalitäts-Einstufungen sollten konservativ gewählt werden, damit eine Harmonisierung mit der CTPP-Liste möglich bleibt.

TLPT-Provider-Markt. Die Zahl der in Deutschland verfügbaren zertifizierten Red-Team- und Threat-Intelligence-Provider ist endlich. Institute mit erster TLPT-Runde in 2026 oder 2027 sollten Slots früh binden; Engpässe sind absehbar.