Seit dem 17. Januar 2025 ist die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz des Finanzsektors, kurz DORA, verbindlich anzuwenden. Fünfzehn Monate danach zeigt die Praxis ein differenziertes Bild. Viele Häuser haben die Grundstrukturen aufgebaut, doch bei ICT-Drittparteimanagement, Meldeketten und Resilienztests bleiben erhebliche Lücken. Dieser Artikel gibt einen sachlichen Überblick über die zentralen dora umsetzung anforderungen und zeigt, wo der Handlungsbedarf heute noch besonders hoch ist.

DORA-Umsetzung: Was bisher passiert ist

Der 17. Januar 2025 war kein Startschuss, sondern ein Pflichttermin. Die Vorbereitungszeit begann formal mit Inkrafttreten der Verordnung im Januar 2023, war aber für viele Finanzunternehmen deutlich zu kurz. Banken und Versicherer, die bereits ein nach ISO 27001 zertifiziertes ISMS betrieben, hatten einen strukturellen Vorteil. Risikoidentifikation, Asset-Inventar und interne Audit-Mechanismen waren vorhanden.

Trotzdem zeigte die Umsetzungsphase typische Engpässe. Die BaFin hat ihre Aufsichtserwartungen in mehreren Rundschreiben und begleitenden RTS-Anpassungen präzisiert. ENISA lieferte ergänzende Orientierung zur Klassifizierung von ICT-Vorfällen. Die technischen Regulierungsstandards (RTS) und Durchführungsstandards (ITS) der ESAs, die zwischen 2024 und 2025 final veröffentlicht wurden, haben den Detailgrad der Anforderungen nochmals erhöht.

Für Mittelstandsbanken, Regionalversicherer und spezialisierte Investment-Firmen gilt, dass die gesetzliche Pflicht unabhängig von der Unternehmensgröße greift. DORA unterscheidet zwar zwischen Finanzunternehmen und kritischen IKT-Drittdienstleistern, kennt aber keine Bagatellgrenze für den Finanzsektor selbst.

Die fünf Säulen der dora umsetzung anforderungen

DORA strukturiert seine Anforderungen entlang fünf thematischer Bereiche (Art. 5 bis 49 VO (EU) 2022/2554).

1. ICT-Risikomanagement (Art. 5 bis 16)

Jedes betroffene Finanzunternehmen muss ein dokumentiertes ICT-Risikomanagement-Framework unterhalten. Dieses umfasst die vollständige Erfassung aller IKT-Assets und -Abhängigkeiten (Art. 8), eine kontinuierliche Risikoanalyse (Art. 9) sowie definierte Schutz- und Präventionsmaßnahmen (Art. 10 bis 12). Geschäftsleitungsorgane tragen nach Art. 5 Abs. 2 persönliche Verantwortung für die Umsetzung.

2. Vorfallmeldung und -management (Art. 17 bis 23)

Art. 17 verpflichtet zur Klassifizierung aller ICT-bezogenen Vorfälle anhand festgelegter Kriterien. Erhebliche Vorfälle (Major Incidents) müssen der BaFin nach einem dreistufigen Meldeformat berichtet werden. Die Erstmeldung erfolgt innerhalb von vier Stunden nach Klassifizierung, eine Zwischenmeldung nach 24 Stunden, ein Abschlussbericht innerhalb eines Monats (Art. 19). Der ITS der ESAs zur Vorfallmeldung vom Oktober 2024 spezifiziert Schwellenwerte und Formatvorgaben.

3. Digitale Resilienztests (Art. 24 bis 27)

Alle betroffenen Finanzunternehmen sind zu grundlegenden Resilienztests verpflichtet. Bedeutende Institute mit besonders hohem systemischen Gewicht müssen zusätzlich Threat-Led Penetration Testing (TLPT) nach Art. 26 durchführen. TLPT folgt dem TIBER-EU-Rahmen und erfordert die Einbindung akkreditierter externer Tester. Die Aufsicht koordiniert die Tests zwischen Finanzunternehmen und ihren kritischen IKT-Drittdienstleistern.

4. ICT-Drittparteirisiko (Art. 28 bis 44)

Dies ist erfahrungsgemäß der komplexeste Bereich der dora umsetzung anforderungen. Art. 28 schreibt eine vollständige Registrierung aller IKT-Drittdienstleister vor, Art. 29 definiert Mindestvertragsinhalte (Exit-Strategien, Prüfrechte, Verfügbarkeits-SLAs). Kritische IKT-Drittdienstleister unterliegen einer direkten ESA-Aufsicht. Der RTS zu IKT-Drittparteirisiken (Delegierte Verordnung der EU-Kommission) spezifiziert die Bewertungsmethodik.

5. Informationsaustausch (Art. 45 bis 49)

Finanzunternehmen dürfen und sollen Informationen über Cyberbedrohungen in vertrauenswürdigen Gemeinschaften austauschen. Dieser Bereich ist in der Praxis bisher am wenigsten ausgeprägt, da die Infrastruktur für strukturierten Austausch noch aufgebaut wird.

DORA-Meldekaskade für erhebliche Vorfälle (Art. 19)

  • 4 Stunden nach Klassifizierung als erheblich: Erstmeldung an BaFin
  • 24 Stunden nach Erstmeldung: Zwischenmeldung mit detaillierter Bewertung
  • 1 Monat nach Erstmeldung: Abschlussbericht mit Ursachenanalyse

Was in der Praxis noch hakt

Drei Bereiche erzeugen in Beratungsprojekten mit Finanzunternehmen konstant Nachbesserungsbedarf.

ICT-Drittparteimanagement. Ein vollständiges Register aller IKT-Dienstleister existiert vielerorts noch nicht. Besonders Cloud-Provider, SaaS-Anwendungen und IT-Subunternehmer tauchen in den Verzeichnissen nicht auf, obwohl sie DORA-relevante Dienste erbringen. Die Bewertung nach Kritikalität und das vertragliche Nachrüsten bestehender Verträge gemäß Art. 29 VO (EU) 2022/2554 bindet erhebliche Kapazitäten.

Meldefristen. Die Vier-Stunden-Frist für die Erstmeldung erheblicher Vorfälle setzt voraus, dass interne Klassifizierungsprozesse sehr schnell greifen. In der Realität fehlen klare Eskalationspfade, oder die Klassifizierungskriterien sind zu wenig operationalisiert. Ein Vorfall, der um 2 Uhr nachts entdeckt wird, muss bis 6 Uhr klassifiziert und gemeldet sein. Das verlangt nach robusten On-Call-Verfahren.

TLPT-Readiness. Die Pflicht zum Threat-Led Penetration Testing trifft nach aktuellem Stand die größeren systemrelevanten Institute. Jedoch ist die Vorbereitung ressourcenintensiv. Die internen IKT-Teams müssen TLPT-Szenarien mitgestalten, externe Tester müssen zugelassen sein, und die Ergebnisse sind mit der Aufsicht zu koordinieren. Viele betroffene Häuser haben den Erstdurchlauf noch vor sich.

Ein Vorfall, der um 2 Uhr nachts entdeckt wird, muss bis 6 Uhr klassifiziert und gemeldet sein. Die Vier-Stunden-Frist verlangt robuste On-Call-Verfahren.

Kernaussage zur DORA-Meldekette

DORA und ISO 27001: Synergien statt Doppelarbeit

Finanzunternehmen mit einem bestehenden ISMS nach ISO 27001:2022 stehen keineswegs bei null. Die konzeptionelle Überlappung ist erheblich.

Die ISO-27001-Kontrollen A.8.8 (Verwaltung technischer Schwachstellen), A.5.30 (ICT-Readiness für Business Continuity) und A.5.20 (Informationssicherheit in Lieferantenbeziehungen) adressieren Anforderungen, die DORA in konkreterer Form für den Finanzsektor vorschreibt. Ein nach ISO 27001 geführtes Risikoregister liefert die Basis für das ICT-Risikomanagement nach Art. 9 DORA.

Der wesentliche Unterschied liegt in der Tiefe und der Aufsichtsbindung. DORA kennt keine Wahlfreiheit bei Kontrollmaßnahmen. Die Meldefristen sind gesetzlich fixiert. Die Aufsicht durch BaFin und die ESAs prüft konkrete Outputs, also Vertragsklauseln, Vorfallberichte und Testergebnisse. ISO 27001 bietet den Rahmen, DORA füllt ihn mit verbindlichen Anforderungen. Wer sein ISMS auf DORA-Anforderungen hin überprüft und ergänzt, vermeidet redundante Strukturen und spart Implementierungsaufwand.

Für Unternehmen ohne zertifiziertes ISMS empfiehlt sich der umgekehrte Weg. Die dora umsetzung anforderungen als Gelegenheit nehmen, gleichzeitig eine ISO-27001-konforme Struktur aufzubauen. Das Risikomanagement profitiert in beiden Fällen von einer integrierten Betrachtung.

Priorisierung für 2026: Wo jetzt nachgesteuert werden sollte

Auf Basis typischer Projekterfahrungen im DACH-Finanzsektor empfiehlt sich folgende Priorisierung für das Jahr 2026.

Kurzfristig (Q2 2026). IKT-Drittparteiregister vervollständigen und bestehende Verträge mit kritischen Anbietern auf DORA-Konformität nach Art. 29 VO (EU) 2022/2554 prüfen. Das ist die häufigste Schwachstelle und das erste, was die BaFin-Aufsicht adressiert.

Mittelfristig (Q3 und Q4 2026). Meldekettenübungen durchführen. Ein simulierter Major-Incident-Test prüft, ob die interne Eskalation und die Vier-Stunden-Frist realistisch eingehalten werden können. Dabei empfiehlt sich die Einbeziehung des IT-Notfallmanagements, das nach ISO 22301 oder BSI IT-Grundschutz aufgebaut sein sollte.

Strategisch. Wer unter die TLPT-Pflicht fällt, sollte jetzt mit der Planung des ersten Testdurchlaufs beginnen. Die Koordination mit akkreditierten Red-Team-Anbietern und der Aufsicht erfordert Vorlaufzeit von sechs bis zwölf Monaten.

Die DORA-Beratung von SECURAM setzt genau an diesen Punkten an. Bestandsaufnahme, Gap-Analyse nach RTS-Anforderungen und pragmatische Umsetzungsunterstützung, ohne unnötige Doppelstrukturen zu den bestehenden Compliance-Programmen.

FAQ: dora umsetzung anforderungen im Finanzsektor

Wer fällt unter DORA?

Der Anwendungsbereich ist in Art. 2 VO (EU) 2022/2554 geregelt und erfasst 21 Kategorien von Finanzunternehmen: Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, Investment-Firmen, Versicherungsunternehmen, Einrichtungen der betrieblichen Altersversorgung, Ratingagenturen und weitere. Gesondert reguliert werden kritische IKT-Drittdienstleister, die Cloud-Dienste, Rechenzentrumsleistungen oder Softwarelösungen für den Finanzsektor erbringen. Kleinstunternehmen (weniger als 10 Mitarbeiter, Jahresumsatz unter 2 Mio. Euro) können unter erleichterten Anforderungen fallen (Art. 16).

Was ist der Unterschied zwischen DORA und NIS-2?

NIS-2 (Richtlinie (EU) 2022/2555) ist eine sektorübergreifende Mindestregelung für kritische Infrastrukturen, die in Deutschland über das BSIG Abs. 2 (NIS2UmsuCG) umgesetzt wird. DORA ist eine Verordnung, die direkt gilt, und adressiert ausschließlich den Finanzsektor mit wesentlich detaillierteren Anforderungen. Finanzunternehmen, die unter DORA fallen, gelten nach Art. 4 Abs. 2 NIS-2-Richtlinie als erfasste Einrichtungen, unterliegen jedoch primär DORA (lex specialis). Beide Regelwerke müssen beachtet werden, die Pflichten überschneiden sich bei Meldeketten und Risikomanagement erheblich.

Welche Fristen gelten für Vorfallmeldungen?

Art. 19 VO (EU) 2022/2554 sieht für erhebliche IKT-bezogene Vorfälle ein dreistufiges Meldeformat vor. Die Erstmeldung ist innerhalb von vier Stunden nach der Klassifizierung als erheblich, spätestens jedoch 24 Stunden nach Kenntnisnahme, an die zuständige Behörde (BaFin in Deutschland) zu übermitteln. Eine Zwischenmeldung folgt nach 24 Stunden, der Abschlussbericht innerhalb eines Monats. Der ITS der ESAs vom Oktober 2024 spezifiziert Schwellenwerte und Meldeformulare.

Was ist TLPT und wer muss es durchführen?

Threat-Led Penetration Testing (TLPT) nach Art. 26 VO (EU) 2022/2554 ist ein fortgeschrittener Resilienztest, bei dem externe akkreditierte Tester reales Angreiferverhalten nachbilden. Die Pflicht trifft Finanzunternehmen, die von der zuständigen Behörde als systemisch bedeutsam eingestuft werden, sowie alle als kritisch qualifizierten IKT-Drittdienstleister. Grundlage ist der TIBER-EU-Rahmen der EZB. Die Testhäufigkeit beträgt mindestens alle drei Jahre, die Aufsicht koordiniert die Testplanung mit dem jeweiligen Institut.

Wie passt DORA zu einem bestehenden ISO-27001-ISMS?

Ein ISMS nach ISO 27001:2022 deckt wesentliche Strukturelemente der DORA-Anforderungen ab. Risikobeurteilung, Asset-Management, Zugriffskontrolle und Lieferantenmanagement. Bestehende ISMS-Dokumentation kann direkt in das ICT-Risikomanagement nach Art. 9 DORA einfließen. Lücken entstehen typischerweise beim finanzsektor-spezifischen Detailgrad (Meldepflichten, Vertragsanforderungen an IKT-Drittparteien) und bei den TLPT-Anforderungen. Eine DORA-Gap-Analyse auf Basis des bestehenden ISMS ist erfahrungsgemäß der effizienteste Einstieg.

QUELLEN

  1. Verordnung (EU) 2022/2554 (DORA), Art. 2, 5 bis 49, EUR-Lex
  2. Richtlinie (EU) 2022/2555 (NIS-2), EUR-Lex
  3. ISO/IEC 27001:2022 Annex A (A.5.20, A.5.30, A.8.8), iso.org
  4. BaFin-Rundschreiben zur DORA-Aufsichtspraxis, bafin.de
  5. ESAs RTS und ITS zur DORA-Umsetzung (2024-2025)
  6. TIBER-EU Framework der EZB (Threat-Led Penetration Testing)