DORA (Digital Operational Resilience Act) gilt seit dem 17. Januar 2025 verbindlich für den EU-Finanzsektor. Große Banken haben DORA mit 6- bis 7-stelligen Budgets umgesetzt. FinTechs und kleine Zahlungsdienstleister haben diese Ressourcen nicht. Die gute Nachricht: DORA-Konformität ist auch mit KMU-Budget machbar — wenn Sie strukturiert vorgehen. Dieser Artikel zeigt, wie.

Warum DORA für FinTechs besonders herausfordernd ist

Ein etabliertes Kreditinstitut hat BAIT/KAIT seit Jahren umgesetzt. Governance-Strukturen, IKT-Risikomanagement und Incident-Reporting existieren in irgendeiner Form. Der Übergang zu DORA bedeutet Ergänzen und Schärfen.

Ein FinTech mit 30 Mitarbeitern steht oft am Nullpunkt:

• Keine formalen Governance-Strukturen
• IKT-Risikomanagement ad-hoc, nicht dokumentiert
• Incidents werden im Team-Chat besprochen, nicht systematisch erfasst
• Drittanbieter-Verträge ohne DORA-Klauseln
• Testing: vielleicht ein jährlicher Pentest, keine strukturierte Resilience-Strategie

Das ist nicht ungewöhnlich — aber es ist der Startpunkt, an dem jetzt gehandelt werden muss.

Säule 1: IKT-Risikomanagement

Das Fundament aller DORA-Anforderungen. Art. 5-16 der Verordnung definieren einen umfassenden IKT-Risikomanagement-Rahmen.

Was konkret zu tun ist

• IKT-Risiko-Policy: Ein dokumentiertes Regelwerk mit Verantwortlichkeiten, Methodik, Eskalationsregeln. Kein 50-Seiten-Werk — 8-15 Seiten reichen für ein KMU.
• Asset-Register: Vollständige Liste aller IKT-Assets (Systeme, Datenbanken, Cloud-Services). Dokumentiert mit Kritikalität, Verantwortlichkeit, Datenklassifikation.
• Risikoanalyse: Systematische Bewertung für jedes kritische Asset. Mindestens jährlich und bei wesentlichen Änderungen.
• Schutz-, Erkennungs-, Reaktions- und Wiederherstellungsprozesse: Beschrieben und auditierbar.
• Business-Continuity- und Disaster-Recovery-Pläne: Aktuell, getestet, mit RTO/RPO-Zielen.

Praxistipp für FinTechs

Wer bereits ISO 27001 umgesetzt hat, erfüllt ca. 70 Prozent dieser Anforderungen automatisch. Wer noch ohne ISMS arbeitet, sollte ernsthaft erwägen, beides parallel aufzubauen. Der Mehraufwand ist minimal, der Nutzen enorm.

Säule 2: Meldung IKT-bezogener Vorfälle

Hier wird DORA konkret und die Fristen sind straff. Bei „erheblichen Vorfällen“ gelten:

• 24 Stunden: Frühwarnung an die zuständige Behörde (in DE: BaFin)
• 72 Stunden: Zwischenmeldung mit erster Bewertung
• 1 Monat: Abschlussbericht

Was ein „erheblicher Vorfall“ ist

Die European Supervisory Authorities (ESAs) haben Klassifikationskriterien veröffentlicht. Vereinfacht: Wenn Kundendaten kompromittiert sind, der Betrieb nennenswert gestört wird, oder das Vertrauen der Öffentlichkeit leidet — meldepflichtig.

Was konkret zu tun ist

1. Incident-Response-Plan dokumentieren: Wer bekommt Alarme? Wer eskaliert? Wer meldet? Eine 2-seitige Notfall-Matrix reicht oft.
2. Reporting-Template vorbereiten: Die ESA-Reporting-Formulare liegen fertig vor. Haben Sie sie griffbereit.
3. Tabletop-Übung durchführen: Mindestens einmal pro Jahr. „Was passiert, wenn um 2 Uhr nachts ein Ransomware-Angriff läuft?“
4. Outsourcing klären: Wenn Sie IT-Services auslagern, müssen Vertragsanbieter Sie innerhalb kürzester Frist informieren, damit Sie die 24h-Fristen halten können.

Praxisbeispiel

Ein Zahlungsdienstleister mit 40 Mitarbeitern erlebt einen DDoS-Angriff, der das Payment-Frontend für 3 Stunden unerreichbar macht. 15.000 Transaktionen scheitern. Erheblich — BaFin-Meldung erforderlich. Hätte das Team keinen Incident-Plan, wären die 24h-Frist gerissen worden. Mit Plan: Meldung in 4 Stunden raus, alles gut.

Säule 3: Digital Operational Resilience Testing

DORA verlangt strukturiertes Testing. Wie umfangreich, hängt von der Größe und Kritikalität ab.

Basic-Level-Testing (für die meisten FinTechs)

• Jährliche Schwachstellen-Scans interner und externer Systeme
• Regelmäßige Penetrations-Tests der wichtigsten Assets
• Tabletop-Übungen für Krisenszenarien (Cyber-Angriff, Datenverlust, Lieferkettenausfall)
• Tests der Business-Continuity-Pläne — nicht nur lesen, sondern durchspielen

TLPT (Threat-Led Penetration Testing)

Das ist der schwere Hammer. Realitätsnaher Pen-Test mit aktueller Bedrohungslage. Nur für systemrelevante Finanzinstitute verpflichtend. Als FinTech sind Sie das in der Regel nicht — außer Sie verarbeiten sehr hohe Volumen oder sind in kritischen Infrastrukturen tätig.

Praxistipp

Buchen Sie jährliche externe Pentests. Kosten: 5.000-15.000 € je nach Umfang. Das deckt den Basic-Level-Testing-Pflicht und gibt echte Ergebnisse.

Säule 4: Management des IKT-Drittparteienrisikos

Die aufwendigste Säule für die meisten FinTechs. Warum? FinTechs nutzen viele Cloud-Services: AWS, Azure, Stripe, KYC-Anbieter, Cloud-Kernbank-Systeme. Jede dieser Verbindungen muss DORA-konform dokumentiert und vertraglich abgesichert sein.

Das Register of Information (RoI)

Pflicht nach Art. 28. Sie dokumentieren für jeden IKT-Dienstleister:

• Identität des Anbieters
• Genaue Leistung
• Rechtsform, Sitz, Kontaktinformationen
• Konzernverhältnisse
• Standorte, an denen Daten verarbeitet werden
• Kritikalität der Leistung (Low/Medium/High)
• Substitutionsplan im Ernstfall
• Konkrete Vertragsbestandteile

Das RoI ist jährlich an die BaFin zu melden. Im harmonisierten ESA-Format.

Vertragsvorgaben (Art. 30)

Jeder Vertrag mit IKT-Dienstleistern muss bestimmte Klauseln enthalten:

• Sicherheitsanforderungen
• Audit-Rechte für das Finanzinstitut
• Zugriffs- und Inspektionsrechte für die Aufsicht
• Exit-Strategie mit Übergabeleistungen
• Subunternehmer-Regelungen
• Standorte der Datenverarbeitung
• Incident-Notifikation

Bestehende Cloud-Verträge (AWS, Azure) müssen entsprechend aktualisiert werden — oft mit „Financial Services Addendum“.

Praxistipp für FinTechs

Gehen Sie pragmatisch vor:

1. Liste aller IKT-Dienstleister erstellen (oft 15-40 bei einem FinTech)
2. Kritikalität bewerten (Was fällt aus, wenn der Anbieter ausfällt?)
3. Top 10-15 kritische Anbieter: Verträge sofort prüfen, nachverhandeln
4. Weniger kritische Anbieter: Bei nächster Vertragsverlängerung anpassen

Säule 5: Informationsaustausch

Die einfachste Säule. DORA erlaubt (und ermutigt) den Austausch von Bedrohungsinformationen zwischen Finanzinstituten. Teilnahme an Branchen-ISACs (Information Sharing and Analysis Centers) oder ähnlichen Plattformen erfüllt die Anforderung.

In Deutschland relevant: BaFin-ISAC, FinCyber, branchenspezifische CERT-Strukturen. Mitgliedschaft ist oft kostenlos oder günstig.

Der Umsetzungsplan für ein FinTech (5-9 Monate)

Monat	Aktivität	Ergebnis
1	Gap-Analyse	Prioritäten-Matrix
1-2	Governance aufbauen	IKT-Risiko-Policy, Rollen, Management-Commitment
2-5	IKT-Risikomanagement	Asset-Register, Risikoanalyse, BCP/DRP
3-6	Drittparteien-Management	RoI erstellt, Verträge angepasst
4-5	Incident-Response	Plan dokumentiert, Tabletop-Übung durchgeführt
6-7	Testing-Strategie	Pentests durchgeführt, Ergebnisse dokumentiert
8-9	Finalisierung + BaFin-Meldung	RoI gemeldet, Nachweise archiviert

Was das Ganze kostet

Realistische Bandbreiten für FinTechs:

• Klein (<50 MA): 14.900 – 19.000 €
• KMU (50-249): 19.000 – 27.000 €
• Mittel (250-999): 27.000 – 40.000 €

Mit vorhandenem ISO 27001 oder ähnlicher Struktur: 30-40 Prozent weniger.

Konkurrenzpreise bei Big-4-Beratungen: 80.000-200.000 €. Ehrlich gesagt: Ein FinTech braucht keine Big-4 für DORA. Fachberater mit Festpreismodellen schaffen dasselbe zum Bruchteil.

Die 5 häufigsten Fehler von FinTechs

1. „Wir sind zu klein für DORA“ — Falsch. DORA gilt für alle Zahlungsdienstleister, Wertpapierinstitute und Kreditinstitute, unabhängig von der Größe.
2. RoI unterschätzt — Wirkt einfach, ist aber ein 3-6-Wochen-Projekt.
3. Cloud-Verträge nicht angepasst — AWS-Standardvertrag erfüllt nicht Art. 30. Financial Services Addendum ist erforderlich.
4. Incident-Meldung nicht geübt — 24 Stunden sind schnell vorbei, wenn niemand weiß, wer meldet.
5. ISO 27001-Basis nicht genutzt — Wer ISO 27001 hat und DORA separat aufbaut, zahlt doppelt.

Fazit: Ihr DORA-Plan

DORA-Compliance ist für FinTechs machbar — ohne Big-4-Budget. Drei konkrete Schritte:

1. DORA-Check durchführen: Unser kostenloser DORA-Check (3 Min) zeigt Ihre Reife bei den 5 Säulen.
2. DORA-Leitfaden lesen: Der DORA-Leitfaden (PDF, 18 Seiten) erklärt Pflichten und Umsetzungsstrategie detailliert.
3. Erstgespräch vereinbaren: In 30 Minuten klären wir Ihre konkrete Situation — unverbindlich, gratis.

Wer jetzt startet, ist binnen 6 Monaten DORA-konform und hat den Kopf frei für das, wofür FinTechs da sind: Innovation.