DORA-Verordnung: Geltungsbereich, IKT-Pflichten, Meldefristen

Q: Wer ist von DORA betroffen?

DORA gilt unmittelbar für die in Artikel 2 abschließend aufgezählten Finanzunternehmen, darunter Kreditinstitute, Wertpapierfirmen, Zahlungs- und E-Geld-Institute , Versicherungs- und Rückversicherungsunternehmen sowie deren Vermittler, Einrichtungen der betrieblichen Altersversorgung (EbAV) , Handelsplätze, zentrale Gegenparteien (CCP), Zentralverwahrer (CSD) , AIFM und OGAW-Verwaltungsgesellschaften , Anbieter von Krypto-Dienstleistungen (CASP) und Schwarmfinanzierungsdienstleister sowie Ratingagenturen , Administratoren kritischer Referenzwerte und Verbriefungsregister . Zusätzlich erfasst DORA über ein eigenes EU-Oversight-Framework kritische IKT-Drittdienstleister (CTPPs) , also Cloud- und IKT-Anbieter, die von den ESAs als kritisch für den Finanzsektor benannt werden. Artikel 4 erlaubt eine proportionale Anwendung, und Artikel 16 sieht für klar definierte Gruppen (etwa kleine und nicht verflochtene Wertpapierfirmen sowie EbAV mit weniger als 100 Mitgliedern) ein vereinfachtes IKT-Risikomanagement-Framework vor.

Q: Seit wann gilt DORA?

Die Verordnung (EU) 2022/2554 ist am 16. Januar 2023 in Kraft getreten und gilt seit dem 17. Januar 2025 unmittelbar . In Deutschland flankiert das Finanzmarktdigitalisierungsgesetz (FinmadiG) vom 17. Januar 2025 die Anwendung, indem es KWG, ZAG, WpHG, VAG und KAGB an DORA anpasst. Die zuständigen Aufsichtsbehörden sind BaFin und Deutsche Bundesbank ; die Bundesbank übernimmt zusätzlich die TLPT-Aufsicht in Anknüpfung an das etablierte TIBER-DE -Rahmenwerk. Die drei Europäischen Aufsichtsbehörden (EBA, EIOPA, ESMA, die ESAs ) konkretisieren DORA über technische Regulierungs- und Durchführungsstandards, die fortlaufend ergänzt werden.

Q: Welche Meldepflichten ergeben sich aus DORA bei IKT-bezogenen Vorfällen?

DORA verpflichtet betroffene Finanzunternehmen, schwerwiegende IKT-bezogene Vorfälle nach den in einer delegierten Verordnung der Kommission (auf Basis der ESA-RTS) definierten Schwellenwerten zu klassifizieren und an die zuständige Behörde zu melden. Die Meldung erfolgt in einem dreistufigen Verfahren: Erstmeldung unmittelbar nach Klassifizierung als schwerwiegender Vorfall, Zwischenmeldung mit aktualisiertem Sachstand und Abschlussmeldung nach Abschluss der Ursachenanalyse, jeweils innerhalb der durch die zugehörige Durchführungsverordnung festgelegten Fristen. Daneben können bedeutende Cyberbedrohungen freiwillig gemeldet werden. Empfänger in Deutschland ist je nach Sektor die BaFin bzw. die Deutsche Bundesbank über die etablierten Meldekanäle.

Q: Was ist TLPT und für wen ist es verpflichtend?

Threat-Led Penetration Tests (TLPT) sind in den Artikeln 26 und 27 DORA geregelte bedrohungsorientierte Penetrationstests, die Live-Produktivsysteme angreifen und sowohl Threat-Intelligence-getriebene Angriffssimulation als auch eine Trennung zwischen Threat-Intelligence-Provider und Red Team verlangen. TLPT sind nicht für alle DORA-Adressaten verpflichtend, sondern nur für Finanzunternehmen, die die zuständige Behörde anhand von Größe, Geschäftsmodell und systemischer Bedeutung benennt . Die Tests werden grundsätzlich mindestens alle drei Jahre durchgeführt und sind nach dem TIBER-EU -Rahmenwerk strukturiert, in Deutschland konkretisiert über TIBER-DE unter Aufsicht der Deutschen Bundesbank . Finanzunternehmen außerhalb des TLPT-Adressatenkreises bleiben dennoch zu regelmäßigen Tests der digitalen operativen Widerstandsfähigkeit verpflichtet, von Schwachstellenanalysen über klassische Penetrationstests bis zu szenariobasierten Red-Team-Übungen.

Q: Welche Sanktionen sieht DORA vor?

Die Sanktionen gegenüber Finanzunternehmen richten sich nach dem nationalen Aufsichtsrecht und können in Deutschland u. a. nach KWG, ZAG, WpHG, VAG und KAGB i. d. F. des FinmadiG verhängt werden; vorgesehen sind insbesondere aufsichtliche Maßnahmen, öffentliche Bekanntmachungen und Bußgelder, wobei die Geschäftsleitung ausdrücklich in der Verantwortung steht. Für kritische IKT-Drittdienstleister (CTPPs) sieht DORA selbst ein eigenes Sanktionsregime vor: Die ESAs können nach Artikel 35 DORA Zwangsgelder verhängen. Der Tagessatz beträgt bis zu 1 % des durchschnittlichen weltweiten Tagesumsatzes im vorangegangenen Geschäftsjahr und kann für bis zu sechs Monate festgesetzt werden. Daneben können die ESAs Empfehlungen aussprechen und in letzter Konsequenz die Aussetzung oder Beendigung vertraglicher Beziehungen zwischen Finanzunternehmen und nicht kooperationsbereiten CTPPs anordnen.

Was ist der Digital Operational Resilience Act (DORA)?

Der Digital Operational Resilience Act, Verordnung (EU) 2022/2554, ist das erste horizontale Cybersicherheits- und Resilienz-Regelwerk der EU für den Finanzsektor. Er löst den bisherigen Flickenteppich nationaler und sektoraler IKT-Vorgaben (in Deutschland u. a. BAIT, VAIT, KAIT, ZAIT der BaFin) durch einen EU-weit einheitlichen Rahmen ab und gilt seit dem 17. Januar 2025 unmittelbar. DORA verlangt von Finanzunternehmen ein IKT-Risikomanagement-Framework, geordnete IKT-Vorfallsmeldung an die zuständigen Behörden, regelmäßige Tests der digitalen operativen Widerstandsfähigkeit (einschließlich bedrohungsorientierter Penetrationstests, TLPT, für ausgewählte Institute), ein systematisches IKT-Drittparteienrisikomanagement sowie die Möglichkeit zum Informationsaustausch über Cyberbedrohungen. Anders als eine Richtlinie ist die DORA-Verordnung direkt anwendbar und musste nicht in nationales Recht umgesetzt werden; in Deutschland flankiert das Finanzmarktdigitalisierungsgesetz (FinmadiG) vom 17. Januar 2025 die Anwendung, indem es KWG, ZAG, WpHG, VAG und KAGB an DORA anpasst.

DORA in der EU: Geltungsbereich und Fristen

Wesentliche Eckdaten:

Inkrafttreten: 16. Januar 2023 (zeitgleich mit der Begleitrichtlinie 2022/2556).
Anwendbar seit: 17. Januar 2025. Alle DORA-Anforderungen gelten verbindlich für die in Artikel 2 erfassten Finanzunternehmen und für kritische IKT-Drittdienstleister.
Deutsche Flankierung: Das FinmadiG ist am 17. Januar 2025 in Kraft getreten und passt das deutsche Finanzaufsichtsrecht an DORA an. Die zuständigen Aufsichtsbehörden bleiben BaFin und Deutsche Bundesbank; die Bundesbank übernimmt zusätzlich die TLPT-Aufsicht in Anknüpfung an das etablierte TIBER-DE-Rahmenwerk.
EU-Behördennetz: Die drei Europäischen Aufsichtsbehörden (EBA, EIOPA, ESMA, gemeinsam ESAs) haben ergänzende technische Regulierungs- und Durchführungsstandards (RTS/ITS) zu IKT-Risikomanagement, Vorfallklassifizierung, Meldewesen und Drittparteien-Aufsicht erlassen. Diese konkretisieren die DORA-Anforderungen praxisrelevant.

Bei SCHUTZWERK verstehen wir, dass die DORA-Umsetzung einen ganzheitlichen Ansatz erfordert, der technische Expertise mit tiefgreifendem Wissen über die Anforderungen des Finanzsektors verbindet. Unser Team von Sicherheitsexperten bietet umfassende Unterstützung bei der Umsetzung der fünf DORA-Säulen: IKT-Risikomanagement, IKT-Vorfallsmeldung, Tests der digitalen operativen Widerstandsfähigkeit, IKT-Drittparteienrisikomanagement und Informationsaustausch. Wir helfen Finanzunternehmen nicht nur dabei, die DORA-Anforderungen zu erfüllen, sondern auch echte operative Resilienz zum Schutz ihres Geschäfts und ihrer Kunden aufzubauen.

Ziel

Unterstützung bei der Vorbereitung und Umsetzung der DORA-Anforderungen durch spezialisierte Sicherheitsüberprüfungen

Fragestellung

Wie können wir die Anforderungen des Digital Operational Resilience Act effektiv erfüllen?

Scope

IT-Systeme und Komponenten im Geltungsbereich der DORA-Anforderungen

Umfassendes DORA-Framework

Der Digital Operational Resilience Act führt ein umfassendes Framework ein, das auf fünf Kernsäulen basiert, die jeweils darauf ausgerichtet sind, die Widerstandsfähigkeit des Finanzsektors gegen digitale Störungen zu erhöhen. Diese Säulen bilden einen vernetzten Ansatz für operative Resilienz und stellen sicher, dass Finanzinstitute auch unter schweren Stressbedingungen kritische Dienstleistungen aufrechterhalten können.

IKT-Risikomanagement

Finanzinstitute müssen ein robustes IKT-Risikomanagement-Framework implementieren, das alle Aspekte ihrer digitalen Operationen umfasst. Dies beinhaltet systematische Risikoidentifikation, -bewertung und -minderungsstrategien. Wir helfen Organisationen bei der Entwicklung umfassender Risikomanagementprozesse , die mit den DORA-Anforderungen übereinstimmen und gleichzeitig die Geschäftsziele unterstützen. Wir unterstützen bei der Erstellung detaillierter Bedrohungs-und Risikoanalysen , der Etablierung von Überwachungsmechanismen und der Implementierung effektiver Kontrollmaßnahmen.

Incident-Reporting und -Response

DORA schreibt strukturierte Incident-Reporting- und Response-Verfahren vor, um eine schnelle und effektive Behandlung sowohl von IKT-bezogenen als auch von operativen und zahlungsrelevanten Vorfällen sicherzustellen. Wir helfen Organisationen bei der Einrichtung effizienter Incident-Management-Prozesse , einschließlich Vorfallklassifizierungssystemen, Reporting-Templates und Eskalationsverfahren. Unsere Expertise stellt sicher, dass Ihre Incident-Response-Fähigkeiten sowohl die regulatorischen Anforderungen als auch die operativen Bedürfnisse erfüllen.

Tests der digitalen operativen Widerstandsfähigkeit

Ein zentraler Aspekt von DORA ist die Durchführung bedrohungsorientierter Penetrationstests (Threat-Led Penetration Tests, TLPT). Diese Tests bauen auf dem bewährten TIBER-DE-Rahmenwerk (Threat Intelligence-based Ethical Red Teaming) auf, das seit 2020 in Deutschland etabliert ist. Während DORA für nahezu alle Finanzunternehmen gilt, sind TLPTs nur für ausgewählte Institute verpflichtend, die von der BaFin auf Basis spezifischer Kriterien identifiziert werden.

Der TLPT-Prozess gliedert sich in drei Hauptphasen:

Vorbereitungsphase: Auswahl spezialisierter Dienstleister für Threat Intelligence und Red-Team-Testing
Testphase: 18-wöchige Durchführung mit 12 Wochen aktiver Angriffssimulation
Abschlussphase: Umfassende Auswertung mit Replay- und Purple-Team-Workshops

Die Tests werden unter Aufsicht der Deutschen Bundesbank durchgeführt, die den gesamten Prozess begleitet und die konforme Durchführung attestiert. Besonders wichtig ist die Trennung zwischen Threat-Intelligence-Team und Red-Team, um eine unabhängige und objektive Bewertung zu gewährleisten.

Drittanbieter-Risikomanagement

Das Management von Risiken durch IKT-Drittanbieter ist unter DORA von entscheidender Bedeutung. Wir unterstützen Organisationen bei der Entwicklung umfassender Drittanbieter-Risikomanagement-Frameworks, einschließlich Bewertungsmethoden, Überwachungsverfahren und Notfallplanung. Unser Ansatz gewährleistet eine effektive Überwachung kritischer Dienstleister bei gleichzeitiger Aufrechterhaltung der operativen Effizienz.

Informationsaustausch

DORA fördert den Informationsaustausch als Schlüsselelement beim Aufbau sektorweiter Resilienz. Wir helfen Organisationen bei der Einrichtung sicherer und effizienter Informationsaustausch-Mechanismen, die die Einhaltung regulatorischer Anforderungen gewährleisten und gleichzeitig sensible Daten schützen. Mit unserer Expertise unterstützen wir bei der Einrichtung geeigneter Kommunikationskanäle und der Entwicklung von Informationsklassifizierungssystemen.

Geltungsbereich: Welche Finanzunternehmen DORA erfasst

Artikel 2 DORA definiert den Adressatenkreis abschließend. Der Geltungsbereich ist breit angelegt und reicht über die klassische Bank-/Versicherungswelt hinaus auch in den Kapitalmarkt, FinTech und IKT-Drittparteien:

Cluster	Erfasste Finanzunternehmen (Auswahl)
Bank- und Zahlungsverkehr	Kreditinstitute, Wertpapierfirmen, Zahlungsinstitute, E-Geld-Institute, Kontoinformationsdienstleister (AISP nach PSD2)
Versicherung und Altersvorsorge	Versicherungs- und Rückversicherungsunternehmen, Versicherungs-, Rückversicherungs- und Versicherungsnebenvermittler, Einrichtungen der betrieblichen Altersversorgung (EbAV)
Kapitalmarktinfrastruktur	Handelsplätze, zentrale Gegenparteien (CCP), Zentralverwahrer (CSD), Transaktionsregister, Verwalter alternativer Investmentfonds (AIFM), OGAW-Verwaltungsgesellschaften, Datenbereitstellungsdienste
Neue Akteure	Anbieter von Krypto-Dienstleistungen (CASP) und Emittenten wertreferenzierter Token nach MiCAR, Schwarmfinanzierungsdienstleister
Querschnitt / Marktintegrität	Ratingagenturen, Administratoren kritischer Referenzwerte, Verbriefungsregister, kritische IKT-Drittdienstleister (Critical Third-Party Providers, CTPPs, über das Oversight Framework der ESAs eigenständig erfasst)

Der proportionale Ansatz in Artikel 4 erlaubt eine Anwendung „nach Größe und Gesamtrisikoprofil sowie Art, Umfang und Komplexität". Für klar definierte Gruppen sieht DORA ein vereinfachtes IKT-Risikomanagement-Framework vor (Artikel 16), typisch für kleine und nicht verflochtene Wertpapierfirmen, bestimmte Zahlungs- und E-Geld-Institute unterhalb definierter Schwellen, Versicherungs- und Rückversicherungsvermittler, die als Kleinst-, Klein- oder mittleres Unternehmen gelten, sowie für EbAV mit insgesamt weniger als 100 Mitgliedern. Wo eine Einrichtung als Kleinstunternehmen (microenterprise: < 10 Beschäftigte und ≤ 2 Mio. € Jahresumsatz oder Bilanzsumme) qualifiziert, gelten weitere Erleichterungen, etwa beim Test- und Lernprogramm.

TLPT (bedrohungsorientierte Penetrationstests nach Artikel 26 f.) sind nicht für alle DORA-Adressaten verpflichtend, sondern nur für Finanzunternehmen, die die zuständige Behörde anhand von Größe, Risikoprofil und systemischer Bedeutung benennt. Die Tests sind grundsätzlich mindestens alle drei Jahre durchzuführen; in Deutschland erfolgt die Aufsicht durch die Deutsche Bundesbank in Anknüpfung an das TIBER-DE-Rahmenwerk.

Rechtliches Gutachten zur DORA-Betroffenheit durch Fachanwalt

Wenn Sie über die technische Einordnung hinaus eine belastbare Einschätzung benötigen (etwa zur Abgrenzung innerhalb der proportionalen Anwendung (Artikel 4) und der Frage nach dem vereinfachten IKT-Risikomanagement-Framework (Artikel 16), zur Klärung, ob ein konzerninterner IKT-Dienstleister als IKT-Drittdienstleister im Sinne von DORA gilt, oder für die Vorlage gegenüber Geschäftsleitung, Aufsichtsrat, BaFin oder Deutscher Bundesbank), bieten wir auf Wunsch ein rechtliches Gutachten zur DORA-Betroffenheit durch einen auf IT- und Finanzaufsichtsrecht spezialisierten Fachanwalt an.

Hintergrund: In Deutschland ist Rechtsberatung nach dem Rechtsdienstleistungsgesetz (RDG) zugelassenen Rechtsanwältinnen und Rechtsanwälten vorbehalten. Eine fundierte DORA-Betroffenheitsprüfung erfordert in der Praxis aber sowohl technische Sachverhaltsanalyse (IKT-Bestandsaufnahme, Drittparteien-Mapping, Klassifizierung von IKT-Dienstleistungen) als auch rechtliche Würdigung (Auslegung des FinmadiG, der ESA-RTS/ITS und der einschlägigen BaFin- und Bundesbank-Veröffentlichungen). Typischerweise führt das zu einem aufwendigen Hin und Her zwischen Ihrem technischen Berater und einem extern beauftragten Anwalt, mit dem Risiko, dass Sachinformationen unterwegs an Schärfe verlieren.

Unser Modell: Wir arbeiten mit einer auf Regulierungs- und IT-Recht spezialisierten Kanzlei zusammen, deren Fachanwalt direkt als Teil unseres Projektteams agieren kann und auf Wunsch über SCHUTZWERK abgerechnet wird, ohne dass Sie einen weiteren Lieferanten anlegen oder onboarden müssen. Die anwaltliche Beratung selbst erfolgt RDG-konform auf Basis einer Mandatsvereinbarung direkt zwischen Ihnen und der Kanzlei, sodass das Gutachten klar dokumentiert und in Ihr SCHUTZWERK-Projekt eingebettet ist. Ergebnis: eine konsolidierte technisch-rechtliche Einschätzung zur DORA-Betroffenheit aus einer Hand. Keine Flüsterpost zwischen Beratern.

Häufige Fragen zur DORA-Verordnung

Wer ist von DORA betroffen?

DORA gilt unmittelbar für die in Artikel 2 abschließend aufgezählten Finanzunternehmen, darunter Kreditinstitute, Wertpapierfirmen, Zahlungs- und E-Geld-Institute, Versicherungs- und Rückversicherungsunternehmen sowie deren Vermittler, Einrichtungen der betrieblichen Altersversorgung (EbAV), Handelsplätze, zentrale Gegenparteien (CCP), Zentralverwahrer (CSD), AIFM und OGAW-Verwaltungsgesellschaften, Anbieter von Krypto-Dienstleistungen (CASP) und Schwarmfinanzierungsdienstleister sowie Ratingagenturen, Administratoren kritischer Referenzwerte und Verbriefungsregister. Zusätzlich erfasst DORA über ein eigenes EU-Oversight-Framework kritische IKT-Drittdienstleister (CTPPs), also Cloud- und IKT-Anbieter, die von den ESAs als kritisch für den Finanzsektor benannt werden. Artikel 4 erlaubt eine proportionale Anwendung, und Artikel 16 sieht für klar definierte Gruppen (etwa kleine und nicht verflochtene Wertpapierfirmen sowie EbAV mit weniger als 100 Mitgliedern) ein vereinfachtes IKT-Risikomanagement-Framework vor.

Seit wann gilt DORA?

Die Verordnung (EU) 2022/2554 ist am 16. Januar 2023 in Kraft getreten und gilt seit dem 17. Januar 2025 unmittelbar. In Deutschland flankiert das Finanzmarktdigitalisierungsgesetz (FinmadiG) vom 17. Januar 2025 die Anwendung, indem es KWG, ZAG, WpHG, VAG und KAGB an DORA anpasst. Die zuständigen Aufsichtsbehörden sind BaFin und Deutsche Bundesbank; die Bundesbank übernimmt zusätzlich die TLPT-Aufsicht in Anknüpfung an das etablierte TIBER-DE-Rahmenwerk. Die drei Europäischen Aufsichtsbehörden (EBA, EIOPA, ESMA, die ESAs) konkretisieren DORA über technische Regulierungs- und Durchführungsstandards, die fortlaufend ergänzt werden.

Welche Meldepflichten ergeben sich aus DORA bei IKT-bezogenen Vorfällen?

DORA verpflichtet betroffene Finanzunternehmen, schwerwiegende IKT-bezogene Vorfälle nach den in einer delegierten Verordnung der Kommission (auf Basis der ESA-RTS) definierten Schwellenwerten zu klassifizieren und an die zuständige Behörde zu melden. Die Meldung erfolgt in einem dreistufigen Verfahren: Erstmeldung unmittelbar nach Klassifizierung als schwerwiegender Vorfall, Zwischenmeldung mit aktualisiertem Sachstand und Abschlussmeldung nach Abschluss der Ursachenanalyse, jeweils innerhalb der durch die zugehörige Durchführungsverordnung festgelegten Fristen. Daneben können bedeutende Cyberbedrohungen freiwillig gemeldet werden. Empfänger in Deutschland ist je nach Sektor die BaFin bzw. die Deutsche Bundesbank über die etablierten Meldekanäle.

Was ist TLPT und für wen ist es verpflichtend?

Threat-Led Penetration Tests (TLPT) sind in den Artikeln 26 und 27 DORA geregelte bedrohungsorientierte Penetrationstests, die Live-Produktivsysteme angreifen und sowohl Threat-Intelligence-getriebene Angriffssimulation als auch eine Trennung zwischen Threat-Intelligence-Provider und Red Team verlangen. TLPT sind nicht für alle DORA-Adressaten verpflichtend, sondern nur für Finanzunternehmen, die die zuständige Behörde anhand von Größe, Geschäftsmodell und systemischer Bedeutung benennt. Die Tests werden grundsätzlich mindestens alle drei Jahre durchgeführt und sind nach dem TIBER-EU-Rahmenwerk strukturiert, in Deutschland konkretisiert über TIBER-DE unter Aufsicht der Deutschen Bundesbank. Finanzunternehmen außerhalb des TLPT-Adressatenkreises bleiben dennoch zu regelmäßigen Tests der digitalen operativen Widerstandsfähigkeit verpflichtet, von Schwachstellenanalysen über klassische Penetrationstests bis zu szenariobasierten Red-Team-Übungen.

Welche Sanktionen sieht DORA vor?

Die Sanktionen gegenüber Finanzunternehmen richten sich nach dem nationalen Aufsichtsrecht und können in Deutschland u. a. nach KWG, ZAG, WpHG, VAG und KAGB i. d. F. des FinmadiG verhängt werden; vorgesehen sind insbesondere aufsichtliche Maßnahmen, öffentliche Bekanntmachungen und Bußgelder, wobei die Geschäftsleitung ausdrücklich in der Verantwortung steht. Für kritische IKT-Drittdienstleister (CTPPs) sieht DORA selbst ein eigenes Sanktionsregime vor: Die ESAs können nach Artikel 35 DORA Zwangsgelder verhängen. Der Tagessatz beträgt bis zu 1 % des durchschnittlichen weltweiten Tagesumsatzes im vorangegangenen Geschäftsjahr und kann für bis zu sechs Monate festgesetzt werden. Daneben können die ESAs Empfehlungen aussprechen und in letzter Konsequenz die Aussetzung oder Beendigung vertraglicher Beziehungen zwischen Finanzunternehmen und nicht kooperationsbereiten CTPPs anordnen.

Von der Betroffenheit zur Umsetzung: DORA-Begleitung durch SCHUTZWERK

DORA selbst gibt für das IKT-Risikomanagement keine konkrete Methode vor; die Anforderungen aus Kapitel II (IKT-Risikomanagement-Framework) und die ergänzenden ESA-RTSes lassen sich in der Praxis aber sauber an etablierten Standards ausrichten. In den von uns begleiteten DORA-Projekten haben sich insbesondere ISO/IEC 27001 (Informationssicherheits-Managementsystem als Trägerstruktur), ISO/IEC 27005 ( IT-Risikomanagement ) und für die Test- und Red-Teaming-Säule das TIBER-EU / TIBER-DE-Rahmenwerk als Bezugspunkte bewährt. SCHUTZWERK begleitet DORA-Adressaten entlang dieser Standards mit zertifizierten ISO 27001 Lead Auditoren, dedizierten Red-Teaming-Spezialisten und langjähriger Erfahrung in regulierten Umfeldern.

Ein typisches DORA-Gesamtpaket umfasst vier aufeinander aufbauende Bausteine, die wir gemeinsam, oder einzeln, anbieten:

Betroffenheits- und Proportionalitätsprüfung: Einordnung in den Adressatenkreis nach Artikel 2 sowie Klärung, ob das vereinfachte IKT-Risikomanagement-Framework nach Artikel 16 in Betracht kommt; bei TLPT-relevanten Instituten zusätzlich Vorbereitung auf den Designations-Dialog mit BaFin und Deutscher Bundesbank. Auf Wunsch ergänzt um ein anwaltliches Gutachten durch unseren Fachanwaltspartner (siehe Abschnitt oben).
Standortbestimmung: Reifegradanalyse des IKT-Risikomanagement-Frameworks gegen DORA Kapitel II und die einschlägigen ESA-RTSes, in der Regel anschlussfähig an einen bestehenden oder geplanten ISO/IEC 27001 ISMS-Rahmen und an IT-Risikomanagement nach ISO/IEC 27005 .
Technische Prüfung: gezielte Penetrationstests und Red-Teaming-Übungen zur Validierung der IKT-Resilienz; für designierte Institute strukturierter TLPT im TIBER-EU/TIBER-DE-Rahmen mit klarer Trennung zwischen Threat-Intelligence- und Red-Team-Rolle und mit der Bundesbank als begleitender Aufsichtsstelle.
Nachsorge und Umsetzungsbegleitung: Aufbau und Betrieb der DORA-relevanten Prozesse: IKT-Vorfallmeldungen ( Incident Response ), IKT-Drittparteienrisikomanagement (Register, Vertragsanforderungen nach Art. 28-30), Lessons-Learned-Schleife nach Tests, fortlaufende Anpassung an neue ESA-RTSes.

Welche Bausteine in welcher Tiefe sinnvoll sind, hängt von Größe, Geschäftsmodell, bestehendem ISMS-Reifegrad und einer eventuellen TLPT-Designation Ihres Hauses ab.

Unsere Dienstleistungen

Penetrationstests und Red Teaming

DORA schreibt für kritische ICT-Systeme sogenannte Threat-Led Penetration Tests (TLPT) vor. Diese fortgeschrittene Form des Penetrationstests orientiert sich an realen Bedrohungsszenarien und kombiniert klassische Sicherheitstests mit Red-Teaming-Methoden . Unsere spezialisierten Teams simulieren dabei gezielte Angriffe, um die Widerstandsfähigkeit Ihrer Systeme und die Effektivität Ihrer Erkennungs- und Reaktionsfähigkeiten zu bewerten.

Risikomanagement

Wir unterstützen Sie bei der Entwicklung und Implementierung eines robusten Risikomanagementprozesses, der den DORA-Anforderungen entspricht.

Incident Response

Wir helfen Ihnen bei der Entwicklung und Implementierung effektiver Incident-Response-Prozesse, die den DORA-Anforderungen entsprechen.

Implementierungsansatz

Unser Ansatz zur DORA-Implementierung verbindet technische Expertise mit praktischer Erfahrung im Finanzsektor. Wir arbeiten eng mit Ihrem Team zusammen, um:

Ihre aktuellen operativen Resilienz-Fähigkeiten gegen DORA-Anforderungen zu bewerten
Eine maßgeschneiderte Implementierungs-Roadmap zu entwickeln
Die Implementierung erforderlicher Maßnahmen und Kontrollen zu unterstützen
Fortlaufende Beratung und Unterstützung bei der Aufrechterhaltung der Compliance zu bieten

Vorteile der Zusammenarbeit mit SCHUTZWERK

Bei der Partnerschaft mit SCHUTZWERK für die DORA-Compliance profitieren Sie von:

Tiefgreifendem Verständnis sowohl der technischen Sicherheitsanforderungen als auch der Finanzsektor-Regulierungen
Praktischer Erfahrung bei der Implementierung von Resilienz-Maßnahmen in Finanzinstituten
Umfassenden Test- und Bewertungsfähigkeiten
Kontinuierlicher Unterstützung und Beratung während Ihrer Compliance-Reise
Unabhängiger und objektiver Sicherheitsexpertise

Unser Ziel ist es, Ihnen nicht nur bei der Erreichung der DORA-Compliance zu helfen, sondern auch eine dauerhafte operative Resilienz aufzubauen, die Ihre Geschäftsziele unterstützt und Ihre Interessengruppen schützt.

DORA