Erstgespräch
Erstgespräch buchen
Leistungen
Übersicht → Audit Begleitung as a Service GAP-Analyse Implementierung
ISMS
Übersicht → Externer ISB CISIS12 BSI IT-Grundschutz ISO 27001 Regulatorik Cyber Resilience Act DORA NIS-2 NIS-2 Betroffenheit NIS-2 Registrierung B3S KRITIS TISAX®
AIMS
Übersicht → Externer KI-Beauftragter EU AI Act ISO 42001 Thema Schatten-KI
BCMS
Übersicht → Externer BCM-Beauftragter BSI 200-4 ISO 22301 ITSCM Notfallmanagement
RMS
Übersicht → Externer Risikomanager BSI 200-3 ISO 27005 MaRisk
Solutions
Übersicht → Partner Patchmanagement Schwachstellenmanagement SIEM SOC
Wissen
Übersicht → Insights KI-Security Briefing
Über uns
Übersicht → Presse
+49 40-298 4553-0 [email protected]
DORA Umsetzung: Implementierung für Finanzunternehmen | SECURAM
ISMS · EU-Verordnung 2022/2554

DORA Umsetzung für Finanzunternehmen

Die DORA-Verordnung ist seit Januar 2025 verbindlich. Diese Seite beschreibt die konkreten Umsetzungsschritte: Aufbau des IKT-Risikomanagement-Frameworks nach Art. 5 bis 16, Erstellung des Informationsregisters nach Art. 28, Einrichtung der Incident-Reporting-Prozesse mit Vier-Stunden-Erstmeldungsfrist, Drittparteiensteuerung und Vorbereitung des Threat-Led Penetration Testing. SECURAM begleitet Finanzunternehmen von der GAP-Analyse bis zur operativen Verankerung der DORA-Anforderungen.

Erstgespräch vereinbaren Leistungsumfang ↓
DORA Umsetzung
ISMS AIMS BCMS RMS

Umsetzung

Von der DORA-Pflicht zum operativen Framework

Die Verordnung steht, die Frage ist jetzt: Wie wird aus Regulatorik ein funktionierendes System?

Die DORA-Hauptseite beschreibt, was die Verordnung fordert. Diese Seite zeigt, wie die Anforderungen in die operative Praxis überführt werden. Seit dem 17. Januar 2025 müssen Finanzunternehmen die fünf DORA-Säulen nicht nur kennen, sondern nachweisbar umgesetzt haben. Die BaFin hat mit Prüfungen begonnen, und die Frist für die erste Meldung des Informationsregisters am 30. März 2026 ist verstrichen.

Der Weg von der Regulatorik zum operativen Framework verläuft über sechs Arbeitspakete. Ausgangspunkt ist die GAP-Analyse gegen die bestehende MaRisk- und BAIT-Baseline. In unseren Projekten zeigt sich, dass Institute mit bestehendem ISMS nach ISO 27001 bereits 40 bis 60 Prozent der DORA-Anforderungen abdecken. Die größten Lücken bestehen typischerweise beim Informationsregister, bei der Vier-Stunden-Erstmeldungsfrist und beim Resilienztestprogramm.

Für Institute, die parallel unter NIS-2 fallen, gilt: DORA hat als Lex Specialis Vorrang in allen IKT-bezogenen Bereichen. Eine integrierte Umsetzung vermeidet doppelte Governance-Strukturen und reduziert den Dokumentationsaufwand.

Leistungsumfang

DORA-Umsetzung: Sechs Bausteine zur Compliance

Jeder Baustein adressiert eine konkrete DORA-Anforderung mit definierten Ergebnissen.

01

IKT-Risikomanagement-Framework

Aufbau des Rahmens nach Art. 5 bis 16 mit IKT-Risikomanagement-Richtlinie, Klassifizierung kritischer Assets, Schutzstrategien und Wiederherstellungsplänen. Integration in bestehende MaRisk-Strukturen.

02

Informationsregister

Erstellung und laufende Pflege des vollständigen IKT-Drittanbieterregisters nach Art. 28 Abs. 3. Vertragslaufzeiten, Kritikalitätsbewertungen, Exit-Strategien und jährliche BaFin-Meldung.

03

Incident-Reporting-Prozess

Einrichtung der Meldewege nach Art. 17 bis 23. Definition der Klassifizierungskriterien, Eskalationspfade und BaFin-Meldeformulare mit Einhaltung der Vier-Stunden-Erstmeldungsfrist.

04

IKT-Drittparteiensteuerung

Bewertung kritischer IKT-Dienstleister nach Art. 28 bis 44. Überarbeitung von Vertragsklauseln, Aufbau des laufenden Monitorings und Definition von Konzentrationsrisiko-Schwellen.

05

TLPT-Vorbereitung

Konzeption des risikobasierten Resilienztestprogramms nach Art. 24 bis 27. Planung der Testszenarien und Koordination mit externen TLPT-Anbietern für Institute unter der TLPT-Pflicht.

06

Governance-Integration

Verankerung der DORA-Anforderungen in bestehenden ISMS- und MaRisk-Strukturen. Anpassung der Leitungsorgan-Verantwortung nach Art. 5 und Vorbereitung der BaFin-Nachweisdokumentation.

Projektverlauf

DORA-Implementierung in 5 Phasen

Scope und Bestandsaufnahme

Woche 1–2

Erfassung des IST-Zustands anhand bestehender MaRisk- und BAIT-Dokumentation. Festlegung des Projektumfangs, Identifikation betroffener Entitätstypen und Priorisierung der DORA-Handlungsfelder.

Ergebnis: Scope-Dokument, priorisierter GAP-Report

IKT-Risikomanagement-Framework

Woche 3–8

Aufbau des Rahmens nach Art. 5 bis 16. Definition der Risikomethodik, Klassifizierung kritischer IKT-Assets und Erstellung der Schutz- und Wiederherstellungsstrategien. Integration in bestehende Risikoprozesse.

Ergebnis: IKT-RM-Richtlinie, Risikobewertung

Informationsregister und Drittparteiensteuerung

Woche 6–12

Erfassung aller IKT-Drittanbieterverträge im Register nach Art. 28 Abs. 3. Kritikalitätsbewertung, Überarbeitung von Vertragsklauseln und Aufbau des laufenden Monitorings.

Ergebnis: Drittparteienregister, Vertragstemplates

Incident Reporting und Resilienztests

Woche 10–16

Einrichtung der Meldeprozesse mit Vier-Stunden-Erstmeldungsfrist. Konzeption des Resilienztestprogramms einschließlich TLPT-Planung und Koordination mit externen Testanbietern.

Ergebnis: Incident-Response-Plan, Testprogramm

Governance-Verankerung und ISBaaS-Übergang

Woche 14–18

Verankerung der DORA-Prozesse in der Unternehmens-Governance. Zusammenführung der Nachweisdokumentation für BaFin-Prüfungen und Übergabe an den laufenden ISBaaS-Betrieb.

Ergebnis: Abschlussbericht, ISBaaS-Übergabedokumentation

Zeitangaben beziehen sich auf ein Erstprojekt im Mittelstand (100–500 Mitarbeiter). Bei bestehenden Managementsystemen oder erfahrenen Organisationen verkürzen sich die Phasen entsprechend.

Erfahrung und Qualifikation

Worauf SECURAM aufbaut

SECURAM Consulting wurde in Hamburg gegründet und berät seit mehr als 20 Jahren mittelständische Unternehmen in der DACH-Region. Die Kombination aus ISMS, BCMS, KI-Governance und Risikomanagement unter einem Dach unterscheidet SECURAM von spezialisierten Einzelnorm-Beratungen, weil Überschneidungen zwischen Standards systematisch genutzt werden.

30+
Implementierte Managementsysteme
50+
Durchgeführte interne Audits
15+
Betreute Organisationen (aaS)
20+
Jahre Beratungserfahrung

Skalierung

Einmal aufbauen, mehrfach zertifizieren

DORA-Anforderungen an IKT-Risikomanagement bauen auf ISMS-Strukturen auf und schaffen die Grundlage für weitere Regulierungen.

Organisationen mit bestehendem ISO 27001 reduzieren den DORA-Implementierungsaufwand um 20 bis 40 Prozent. Die DORA-Strukturen bilden zugleich eine solide Basis für NIS-2-Anforderungen.

Weitere Standards in der ISMS-Säule
TISAX BSI IT-Grundschutz KRITIS CRA CISIS12

Laufender Betrieb

ISBaaS — Externer Informationssicherheitsbeauftragter

Nach Abschluss der DORA-Implementierung übernimmt das ISBaaS-Modell den laufenden Betrieb des Informationssicherheits-Managementsystems. Ein externer Informationssicherheitsbeauftragter stellt sicher, dass IKT-Risikomanagement, Dokumentation und Meldepflichten dauerhaft auf dem geforderten Niveau bleiben.

DORA verankert in Art. 5 die Verantwortung des Leitungsorgans für die IKT-Governance. Das ISBaaS-Modell entlastet Vorstand und Geschäftsführung durch kontinuierliche operative Überwachung und Koordination der jährlichen Resilienztests und BaFin-Meldungen.

  • IKT-Risikomanagement-Pflege
  • Incident-Reporting-Koordination
  • Informationsregister-Aktualisierung
  • BaFin-Audit-Begleitung

SECURAM Consulting ist Mitglied der BSI-Allianz für Cybersicherheit, bei ISACA, Bitkom, der IHK Kiel und im Netzwerk Hamburg@work.

Häufige Fragen

FAQ — DORA Umsetzung

Die DORA-Umsetzung beginnt mit einer GAP-Analyse gegen die bestehende MaRisk- und BAIT-Baseline. Darauf folgt der Aufbau des IKT-Risikomanagement-Frameworks nach Art. 5 bis 16, parallel zur Erstellung des Informationsregisters nach Art. 28 Abs. 3. Die Incident-Reporting-Prozesse mit der Vier-Stunden-Erstmeldungsfrist werden etabliert, bevor das Resilienztestprogramm einschließlich TLPT-Planung aufgesetzt wird. Den Abschluss bildet die Governance-Verankerung und der Übergang in den laufenden Betrieb.
Ein typisches DORA-Implementierungsprojekt erstreckt sich über 16 bis 20 Wochen, abhängig von der Unternehmensgröße und dem Reifegrad bestehender Governance-Strukturen. Organisationen mit einem etablierten ISMS nach ISO 27001 oder bestehenden MaRisk-Prozessen starten mit erheblichem Vorsprung, weil Risikomanagement-Methodik und Dokumentationsstrukturen bereits vorhanden sind. Die einzelnen Arbeitspakete überlappen sich zeitlich, sodass IKT-Drittparteiensteuerung und Incident Reporting parallel aufgebaut werden können.
Das IKT-Risikomanagement-Framework nach Art. 5 bis 16 DORA verpflichtet Finanzunternehmen zu einem dokumentierten Rahmen für Identifikation, Schutz, Erkennung, Reaktion und Wiederherstellung ihrer IKT-Systeme. Das Leitungsorgan trägt die persönliche Verantwortung für Einrichtung und Überwachung dieses Rahmens. Der Framework umfasst eine IKT-Risikomanagement-Richtlinie, Klassifizierung kritischer IKT-Assets, Schutzstrategien und Wiederherstellungspläne. Anders als bei MaRisk und BAIT fordert DORA explizit die Integration aller fünf Funktionen in ein zusammenhängendes System.
Das Informationsregister nach Art. 28 Abs. 3 DORA ist ein vollständiges Verzeichnis aller vertraglichen Vereinbarungen mit IKT-Drittanbietern. Es muss Vertragslaufzeiten, Leistungsbeschreibungen, Kritikalitätsbewertungen und Ausstiegsstrategien dokumentieren. Die BaFin kann das Register jederzeit anfordern und verlangt eine jährliche Meldung. Die Frist für die erste Meldung am 30. März 2026 ist verstrichen, eine Nachmeldung bleibt möglich und sollte zeitnah erfolgen.
SECURAM verbindet DORA-Implementierung mit bestehender ISMS- und BCMS-Kompetenz. Die Erfahrung aus MaRisk- und BAIT-Projekten erleichtert die Migration bestehender Strukturen auf DORA-Anforderungen, weil Überschneidungen systematisch genutzt werden. Das ISBaaS-Modell sichert nach der Implementierung den laufenden Betrieb als externer Informationssicherheitsbeauftragter — einschließlich Pflege des Informationsregisters, Incident-Reporting-Koordination und BaFin-Audit-Begleitung.

DORA-Umsetzung starten

Vereinbaren Sie ein Erstgespräch zur Analyse Ihres DORA-Handlungsbedarfs.

Erstgespräch vereinbaren →

Nächster Schritt

Ihr Einstieg in die DORA-Umsetzung

GAP-Analyse

DORA GAP-Analyse

Abgleich Ihres IST-Zustands gegen die DORA-Anforderungen auf Basis der bestehenden MaRisk- und BAIT-Strukturen.

GAP-Analyse anfragen →
Internes Audit

DORA Compliance-Prüfung

Wirksamkeitsprüfung der umgesetzten DORA-Maßnahmen vor der aufsichtlichen Prüfung durch die BaFin.

Prüfung anfragen →
Implementierung

DORA implementieren

Strukturierte Umsetzung aller fünf DORA-Säulen — vom IKT-Risikomanagement bis zum Resilienztestprogramm.

Implementierung anfragen →

Kontakt

Wir freuen uns auf Ihre Nachricht.

Ich habe die Datenschutzhinweise gelesen und bin einverstanden, dass meine Angaben zur Beantwortung meiner Anfrage verarbeitet und per E-Mail an SECURAM Consulting übermittelt werden. *

Ihre Ansprechpartnerin

Nadine Eibel – SECURAM Consulting

Nadine Eibel

Gründerin & Geschäftsführerin
SECURAM Consulting GmbH

Über 20 Jahre Erfahrung in IT-Security und Informationssicherheit. Zertifiziert als CISM, Lead Auditorin ISO 27001 und ITIL Expert.

Kontaktdaten

Colonnaden 5
20354 Hamburg
040 298 4553-0
contact@securam-consulting.com

Direkter Kontakt

Lieber direkt sprechen?
Buchen Sie ein kostenloses Erstgespräch.

Termin buchen