Erstgespräch
Erstgespräch buchen
Leistungen
Übersicht → GAP-Analyse Audit ISMS AIMS BCMS RMS
ISMS
Übersicht → ISO 27001 Interim ISB & CISO NIS-2 BSI IT-Grundschutz Cyber Resilience Act DORA TISAX®
AIMS
Übersicht → ISO 42001 EU AI Act Thema Schatten-KI
BCMS
Übersicht → ITSCM Notfallmanagement Schwachstellenmanagement
RMS
Solutions
Übersicht → SOC SIEM Partner
Über uns
Übersicht → Presse & Kommunikation
+49 40-298 4553-0 contact@securam-consulting.com
DORA Umsetzung Beratung — SECURAM Consulting

EU-Regulierung · Finanzsektor

DORA Umsetzung

Beratung für Finanzunternehmen — vom IKT-Risikomanagement-Framework bis zur Auditvorbereitung gegenüber BaFin und EZB.

Abschnitt 01

DORA ist geltendes Recht — keine Ankündigung mehr

Seit dem 17. Januar 2025 gilt die Verordnung (EU) 2022/2554 — der Digital Operational Resilience Act — unmittelbar und verbindlich in allen EU-Mitgliedstaaten. Für betroffene Finanzunternehmen gibt es keinen Umsetzungsspielraum mehr.

Für betroffene Finanzunternehmen gibt es keinen Umsetzungsspielraum mehr.

Die Verordnung adressiert fünf Säulen der digitalen Betriebsstabilität: IKT-Risikomanagement (Art. 5–16 DORA), Incident Reporting (Art. 17–23 DORA), Resilienzprüfungen (Art. 24–27 DORA), Management von IKT-Drittparteirisiken (Art. 28–44 DORA) und regulatorische Weitergabe von Informationen (Art. 45 DORA).

Fünf DORA-Säulen
  • IKT-Risikomanagement (Art. 5–16)
  • Incident Reporting (Art. 17–23)
  • Resilienzprüfungen (Art. 24–27)
  • IKT-Drittparteirisiken (Art. 28–44)
  • Informationsweitergabe (Art. 45)

Besonders unter Druck stehen Unternehmen, bei denen bestehende Strukturen aus MaRisk und BAIT zwar Teile der Anforderungen abdecken — aber eben nicht alle.

Abschnitt 02

Warum die Umsetzung anspruchsvoller ist als erwartet

DORA Umsetzung Beratung ist im Finanzsektor gerade deshalb gefragt, weil die Verordnung keinen Standard-Compliance-Ansatz erlaubt. Anders als eine Checkliste, die man einmalig abhäkt, verlangt DORA ein betriebenes System: IKT-Risiken müssen laufend bewertet werden, Drittparteien müssen laufend überwacht werden, Resilienztests müssen regelmäßig durchgeführt werden.

Art. 5 DORA verpflichtet das Leitungsorgan persönlich zur Genehmigung und Überwachung der IKT-Risikostrategie.

Viele Häuser haben 2024 den Fehler gemacht, DORA als rein technisches Projekt zu behandeln. Es ist keines. Art. 5 DORA verpflichtet das Leitungsorgan persönlich zur Genehmigung und Überwachung der IKT-Risikostrategie. Projekte, die ohne klares Mandat der Führungsebene gestartet werden, geraten regelmäßig ins Stocken.

Abschnitt 03

Zusammenhang mit ISMS und Business Continuity Management

Das Informationssicherheits-Managementsystem bildet dabei die Grundlage. Unternehmen, die bereits nach ISO 27001 zertifiziert sind oder ein strukturiertes ISMS betreiben, haben einen messbaren Vorteil: Risikoanalyse, Asset-Management und Incident-Prozesse sind dann nicht Neuland, sondern können gezielt auf die DORA-spezifischen Anforderungen hin erweitert werden.

Die DORA-Anforderungen an IKT-bezogene Business Continuity Plans (Art. 11 DORA) sind nur sinnvoll umzusetzen, wenn ein grundlegendes BCM-Framework bereits existiert. Wer bereits nach ISO 22301 arbeitet, hat hier einen direkten Vorsprung.

Abschnitt 04

Zusammenhang mit NIS-2

Für Finanzunternehmen, die gleichzeitig unter NIS-2 fallen können, bestehen Überschneidungen, die sich gezielt nutzen lassen. Die NIS-2-Umsetzung teilt mit DORA zentrale Anforderungen an Risikomanagement und Incident Reporting, auch wenn die Schwellenwerte und Meldewege im Detail abweichen.

Einen Überblick über alle Leistungen von SECURAM finden Sie auf der Leistungsübersicht.

DORA-Readiness prüfen

SECURAM begleitet Finanzunternehmen von der GAP-Analyse bis zur Auditvorbereitung gegenüber BaFin und EZB. Sprechen Sie mit Nadine Eibel.

Erstgespräch buchen

DORA Umsetzung Beratung — was SECURAM konkret liefert

Von der GAP-Analyse bis zur Auditvorbereitung gegenüber BaFin und EZB — strukturiert nach den fünf DORA-Säulen.

  • IKT-Risikomanagement-Framework (Art. 5–16 DORA)

    Aufbau oder Prüfung des IKT-Risikomanagement-Rahmens gemäß den DORA-Anforderungen: Risikoidentifikation, Schutz- und Präventionsmaßnahmen, Erkennungs- und Reaktionsfähigkeiten, Wiederherstellungspläne. Die technischen Regulierungsstandards (RTS) der Europäischen Aufsichtsbehörden fließen direkt in die Framework-Gestaltung ein.

  • Incident Classification und Meldepflichten (Art. 17–23 DORA)

    Entwicklung eines praxistauglichen Klassifikationssystems für IKT-Vorfälle. Aufbau der Meldewege gegenüber BaFin und EZB mit den vorgeschriebenen Fristen: Erstmeldung innerhalb von vier Stunden, Zwischenmeldung nach 72 Stunden, Abschlussbericht nach einem Monat.

  • Digital Operational Resilience Testing (Art. 24–27 DORA)

    Konzeption und Begleitung des regelmäßigen Resilienztestprogramms: Vulnerability Assessments, Penetrationstests, szenariobasierte Tests. Für significant financial entities zusätzlich die Vorbereitung auf Threat-Led Penetration Testing (TLPT) nach dem TIBER-EU-Rahmen.

  • ICT Third-Party Risk Management (Art. 28–44 DORA)

    Aufbau des Registers kritischer und wesentlicher IKT-Dienstleister. Prüfung und Anpassung bestehender Verträge auf DORA-Konformität (Exit-Strategien, Auditrechte, Subauftragsvergabe). Laufendes Monitoring kritischer Drittparteien.

  • Threat-Led Penetration Testing (TLPT)

    Vorbereitung und Koordination von TLPT-Übungen für als significant eingestufte Institute. TLPT prüft die Abwehrfähigkeit der produktiven Umgebung gegen reale Angreiferszenarien — methodisch anspruchsvoller als klassische Penetrationstests, eng mit den Aufsichtsbehörden abgestimmt.

  • BaFin-Meldepflichten und Behördenkommunikation

    Aufbau der Kommunikationsprozesse gegenüber BaFin und ggf. EZB für IKT-Vorfallmeldungen und TLPT-Koordination. Vorbereitung der Meldedokumentation auf Basis der von den ESAs bereitgestellten Templates.

  • Dokumentation und Governance

    Erstellung und Pflege der nach DORA erforderlichen Dokumentation: IKT-Risikomanagement-Leitlinien, Business Continuity Plans für IKT-Szenarien, Verzeichnis der IKT-Assets, Dienstleisterregister. Governance-Strukturen werden so aufgebaut, dass das Leitungsorgan die nach Art. 5 DORA geforderte aktive Rolle einnehmen kann.

  • Auditvorbereitung

    Strukturierte Vorbereitung auf aufsichtliche Prüfungen, interne Revisionen und externe Audits. GAP-Analyse gegen die finalen RTS/ITS der ESAs, priorisierter Maßnahmenplan, Dokumentencheck. Das Ziel ist keine formale Compliance-Checkliste, sondern eine Organisation, die der Aufsicht gegenüber ihren tatsächlichen Reifegrad belegen kann.

Wo steht Ihr Unternehmen bei DORA?

Die Verordnung gilt seit Januar 2025. In einem kostenfreien Erstgespräch klären wir, wo Ihr IKT-Risikomanagement-Framework steht, welche Lücken bestehen und was als nächstes zu tun ist.

Erstgespräch vereinbaren Kontakt aufnehmen

Warum SECURAM für die DORA Umsetzung

Vier Gründe, warum Finanzunternehmen bei der DORA Umsetzung auf SECURAM setzen.

Regulatorik

DORA-spezifische Beratungskompetenz

SECURAM kennt die fünf DORA-Säulen im Detail: IKT-Risikomanagement, Incident Reporting, Resilienztests, Drittparteimanagement und Informationsweitergabe. Die Beratung verbindet regulatorisches Wissen mit operativer Umsetzungserfahrung.

Integration

Verknüpfung mit ISMS und BCM

Wer bereits ein ISMS nach ISO 27001 oder ein BCM nach ISO 22301 betreibt, hat eine messbare Ausgangsbasis. SECURAM nutzt bestehende Strukturen und ergänzt gezielt die DORA-spezifischen Anforderungen — kein Neuaufbau, sondern Erweiterung.

Aufsicht

BaFin- und EZB-taugliche Ergebnisse

SECURAM bereitet Organisationen so vor, dass sie aufsichtlichen Prüfungen standhalten. Dokumentation, Nachweisstrukturen und Meldeprozesse werden an den Erwartungen von BaFin und EZB ausgerichtet.

Finanzsektor

Branchenspezifische Erfahrung

MaRisk, BAIT, DORA, TLPT — SECURAM kennt die regulatorische Landschaft des Finanzsektors. Die Beratung berücksichtigt das Proportionalprinzip (Art. 4 DORA) und dimensioniert Maßnahmen nach dem tatsächlichen Risikoprofil des Instituts.

Ihre Ansprechpartnerin

Nadine Eibel – SECURAM Consulting

Nadine Eibel

Gründerin & Geschäftsführerin · SECURAM Consulting GmbH

Gründerin und Geschäftsführerin der SECURAM Consulting GmbH mit über 20 Jahren Erfahrung in IT-Security und Informationssicherheit. Zertifiziert als CISM, Lead Auditorin ISO 27001, ITIL Expert und Datenschutzexpertin nach DSGVO (Art. 37) und BDSG. Ihr Fokus liegt auf Business Continuity Management und dem Aufbau nachhaltiger Governance-Strukturen.

→ Kontakt aufnehmen → LinkedIn-Profil
Download

DORA-Compliance

Alle Leistungen auf einen Blick als PDF zum Weitergeben.

DORA-Compliance Flyer Vorschau

DORA-Compliance

Digital Operational Resilience Act: Anforderungen, Umsetzung und Zeitplan fuer den Finanzsektor.

PDF, 5 Seiten
Flyer herunterladen

Typische Ausgangssituationen

Drei Szenarien führen Finanzunternehmen besonders häufig zur DORA Umsetzung Beratung:

01

MaRisk und BAIT reichen nicht mehr

Das Institut hat MaRisk und BAIT konsequent umgesetzt, aber die DORA-spezifischen Anforderungen — insbesondere Threat-Led Penetration Testing, das Drittparteiregister und die neuen Meldewege — erfordern eigenständige Prozesse. SECURAM führt eine GAP-Analyse durch und zeigt den konkreten Handlungsbedarf. Ein Erstgespräch klärt die nächsten Schritte.

02

IKT-Dienstleister unter Druck

Finanzunternehmen setzen ihre IKT-Dienstleister zunehmend unter Druck: DORA-konforme Vertragsklauseln, Auditrechte, Exit-Strategien. Wer als Dienstleister weiterhin für den Finanzsektor arbeiten will, muss nachweisen, dass er die DORA-Anforderungen erfüllt. SECURAM unterstützt beim Aufbau der geforderten Strukturen.

03

Aufsichtliche Prüfung steht bevor

Die BaFin hat angekündigt, DORA-Compliance verstärkt zu prüfen. Das Institut braucht kurzfristig eine belastbare Nachweisstruktur. SECURAM bringt die Organisation in einen auditierbaren Zustand und begleitet die Vorbereitung auf aufsichtliche Prüfungen. Ein Erstgespräch klärt den konkreten Scope.

Häufige Fragen zur DORA Umsetzung

Grundsätzlich ja — DORA (Verordnung (EU) 2022/2554) gilt für alle Finanzunternehmen im Sinne von Art. 2 der Verordnung, unabhängig von ihrer Größe. Das Proportionalprinzip nach Art. 4 DORA sieht allerdings Erleichterungen für kleinere und weniger komplexe Institute vor. Konkret bedeutet das: Umfang und Komplexität des IKT-Risikomanagement-Frameworks, der Resilienztests und des Drittparteimanagements können bei kleinen Instituten vereinfacht ausgestaltet werden. Welche Anforderungen im Einzelfall gelten, klärt eine GAP-Analyse.
MaRisk und BAIT sind nationale Verwaltungsanweisungen der BaFin, die auf dem Kreditwesengesetz (KWG) und dem Versicherungsaufsichtsgesetz (VAG) beruhen. DORA ist unmittelbar geltendes EU-Recht mit höherem Rang. Die BaFin hat klargestellt, dass DORA die bestehenden MaRisk- und BAIT-Anforderungen nicht verdrängt, sondern ergänzt. Wo DORA strengere Anforderungen stellt — etwa beim Threat-Led Penetration Testing oder beim Drittparteiregister — hat DORA Vorrang. Institute, die MaRisk (AT 7.2, AT 9) und BAIT konsequent umgesetzt haben, haben eine gute Ausgangsbasis.
Für schwerwiegende IKT-bezogene Vorfälle schreibt DORA (Art. 19–23) ein dreistufiges Meldeverfahren vor: Die Erstmeldung gegenüber der zuständigen Behörde — in Deutschland der BaFin — muss innerhalb von vier Stunden nach Feststellung des Vorfalls erfolgen, spätestens jedoch 24 Stunden nach dem ersten Bekanntwerden. Eine Zwischenmeldung mit aktualisierten Informationen ist innerhalb von 72 Stunden einzureichen. Der abschließende Bericht folgt innerhalb eines Monats. Ob ein Vorfall als „schwerwiegend“ einzustufen ist, bestimmt sich nach den Klassifizierungskriterien der technischen Regulierungsstandards (RTS) der ESAs.
Art. 5 DORA verpflichtet das Leitungsorgan — also Vorstand oder Geschäftsführung — persönlich und unmittelbar. Es muss die IKT-Risikostrategie genehmigen, ihre Umsetzung überwachen und regelmäßig geschult werden. Das ist ein grundlegender Unterschied zu vielen anderen regulatorischen Anforderungen, bei denen die Verantwortung typischerweise an eine Stabsabteilung delegiert wird. In der Praxis bedeutet das: Das DORA-Programm braucht ein klares Mandat der Führungsebene, einen definierten Verantwortlichen — häufig CISO oder CRO — und eine regelmäßige Berichtslinie in die Unternehmensleitung.
Das hängt davon ab, wie der Dienstleister eingestuft wird. IKT-Drittdienstleister, die für Finanzunternehmen tätig sind, werden durch DORA nicht unmittelbar verpflichtet — sofern sie nicht als „kritisch“ klassifiziert wurden. Finanzunternehmen sind allerdings verpflichtet, ihre wesentlichen und kritischen IKT-Dienstleister in einem Register zu führen (Art. 28 DORA), DORA-konforme Vertragsklauseln durchzusetzen — Auditrechte, Exit-Strategien, Regelungen zur Subauftragsvergabe — und das laufende Monitoring sicherzustellen. Kritische IKT-Drittdienstleister, die von den ESAs eingestuft wurden, unterliegen hingegen einer direkten aufsichtlichen Überwachung nach Art. 31 ff. DORA.

Kontakt

Wir freuen uns auf Ihre Nachricht.

Ich habe die Datenschutzhinweise gelesen und bin einverstanden, dass meine Angaben zur Beantwortung meiner Anfrage verarbeitet und per E-Mail an SECURAM Consulting übermittelt werden. *

Kontaktdaten

Colonnaden 5
20354 Hamburg
040 298 4553-0
contact@securam-consulting.com

Direkter Kontakt

Lieber direkt sprechen?
Buchen Sie ein kostenloses Erstgespräch.

Termin buchen