DORA · EU-Verordnung · Finanzsektor

DORA jetzt umsetzen — IKT-Risiken, RoI und Meldeprozesse prüfbar dokumentieren

Wir unterstützen Finanzunternehmen & IKT-Drittdienstleister bei Gap-Analyse, IKT-Risikomanagement, Register of Information, Incident Reporting, Drittanbieter-Governance und laufender DORA-Dokumentation.

  • Betroffenheitsanalyse für Finanzunternehmen & IKT-Drittdienstleister
  • Full-Service ab 18.000 €
  • 4–6 Monate bis zur prüfbaren DORA-Dokumentation
  • ISMS-Plattform inklusive — auch für laufende Compliance
  • 30-Minuten-Ersteinschätzung
DORA-Ersteinschätzung buchen DORA-Check starten
★★★★★ 5.0 von 12+ zertifizierten Kunden · ·
DQS · TÜV NORD · Notivia seit 2003 · +100 ISMS-Kunden* · +20 Full-Service-Kunden* · 100% Audit-Erfolg* · ★★★★★ 5.0

* Audit-Erfolg bezogen auf abgeschlossene Full-Service-Zertifizierungs­projekte seit 2019. Kunden­zahlen inkl. ISMS-Plattform-Lizenznutzer und Full-Service-Begleitprojekten.

Kurz-Check

Diese Seite ist richtig für Sie, wenn …

  • … Sie als Finanzunternehmen unter DORA fallen.
  • … Sie ein IKT-Risikomanagement-Rahmen aufbauen müssen.
  • … Sie ein Register of Information (RoI) nach Art. 28 brauchen.
  • … Sie TLPT (Threat-Led Penetration Testing) vorbereiten müssen.
  • … Sie wissen möchten, was DORA-Compliance kostet und wie lange sie dauert.
Unsere Leistungen für DORA

Drei Bausteine. Ein Weg zur Compliance.

Operational Resilience für Finanzunternehmen — IKT-Risiko, Third-Party-Register, TLPT-Begleitung und Reporting an Aufsicht.

Maximale Begleitung

Full-Service-Begleitung

DORA-Framework aufgebaut und dokumentiert — von der IKT-Risiko-Policy bis zum Register of Information.

Geeignet für Sie, wenn Sie DORA-Compliance mit möglichst wenig interner Projektlast erreichen wollen.
  • ICT Risk Management Framework
  • Register of Information (Art. 28)
  • Incident-Reporting-Prozess
  • Drittparteien-Governance
ab €18.000 einmalig
Angebot anfordern
Laufend

Externer IKT-Risiko-Officer

Senior-Expert für Ihr IKT-Risiko-Management gegenüber BaFin und Auditoren.

Geeignet für Sie, wenn Ihre DORA-Compliance laufend gepflegt und Behördenkommunikation übernommen werden soll.
  • BaFin-Reporting-Unterstützung
  • Quartals-Risikoberichte
  • Vorstands-Briefings
  • Begleitung Prüfungshandlungen
ab €499 / Monat
Beratung anfragen
12 Mo Mindestlaufzeit · 3 Mo Kündigungsfrist
Einmal / jährlich

Internes Audit

DORA-Readiness-Audit vor Aufsichtsprüfung.

Geeignet für Sie, wenn Sie Ihre DORA-Maßnahmen vor einer Aufsichtsprüfung verifizieren wollen.
  • DORA-Gap-Analyse
  • RoI-Qualitätsprüfung
  • TLPT-Vorbereitungs-Check
  • Abschlussbericht für Vorstand
ab €4.900 einmalig
Audit anfragen

Zusätzlich für DORA

Norm-spezifische Zusatzleistungen — einzeln buchbar

Register of Information (RoI)

Aufbau und Pflege Ihres DORA-Registers inkl. jährlicher Aktualisierung.

ab €4.900 + €199/Mo

TLPT-Koordination

Threat-Led-Penetration-Testing mit zertifizierten Partnern.

ab €18.000/Zyklus

Lieferanten-Klassifizierung

Kritikalitätsbewertung Ihrer IKT-Drittparteien nach Art. 28 ff.

ab €3.490
Retainer-Leistungen (Externer Beauftragter, Meldestelle): 12 Monate Mindestlaufzeit · 3 Monate Kündigungsfrist zum Monatsende · Alle Preise netto.
Kostenlose Ersteinschätzung

Klarheit zu DORA in 30 Minuten

Wir klären, ob DORA auf Sie zutrifft, welche Nachweise fehlen und welche nächsten Schritte sinnvoll sind. Realistische Einschätzung statt pauschaler Versprechen, kein Verkaufsdruck.

Lead Consultant
Lead Consultant
Ihr Ansprechpartner
  • Schnellstmögliche Antwort
  • Realistische Zeit- und Kostenangaben
  • Kein Verkaufsdruck, keine Verpflichtung
  • Von Notivia GmbH, Stuttgart — seit 2019
think why NETFORMIC Animus Intelligence Crest Digital Veoma VERDURE
Direkt buchen — am schnellsten
30-Min-Slot selbst wählen
oder schreiben Sie uns

    Kein Spam·Keine Verpflichtung·Schnellstmögliche Antwort·DSGVO-konform
    Lieber direkt anrufen? +49 711 35 15 705
    Selbst starten

    Vier Werkzeuge — jetzt sofort nutzbar

    Bevor Sie Kontakt aufnehmen: Kosten kalkulieren, Betroffenheit prüfen, Plattform erkunden oder den Leitfaden herunterladen — kostenlos und unverbindlich.

    Kostenloser DORA-Check · 2 Min.

    Sind Sie von DORA betroffen?

    10 Fragen zu Sektor, Größe und Tätigkeit. Sofort wissen, ob DORA für Sie Pflicht ist.

    Check starten

    Oder selbst umsetzen

    Die ISMS-Plattform mit DORA-Modul

    Multinorm-ISMS digitalisiert IKT-Risikomanagement, Register of Information und TLPT-Vorbereitung — ideal für interne Teams, die RoI, IKT-Risiken und Nachweise digital pflegen möchten.

    Plattform entdecken
    Leitfaden · PDF

    DORA-Leitfaden für Finanzunternehmen

    Was die Verordnung verlangt, welche Fristen gelten, was die Geschäftsführung wissen muss — verständlich aufbereitet.

    Leitfaden herunterladen
    DIE 5 SÄULEN

    Das DORA-Framework im Überblick

    DORA basiert auf fünf zentralen Säulen der digitalen operationalen Resilienz.

    1

    IKT-Risiko­management

    Umfassendes Framework für das Management aller IKT-Risiken inkl. Governance und Kontrollsysteme.

    2

    Vorfall­meldung

    Klassifizierung, Meldung und Reporting von schwerwiegenden IKT-Vorfällen an die Aufsicht.

    3

    Resilienz­tests

    Regelmäßige Tests der digitalen Betriebsstabilität inkl. Threat-Led Penetration Testing (TLPT).

    4

    IKT-Dritt­anbieter

    Management und Überwachung von IKT-Drittanbieter-Risiken entlang der gesamten Lieferkette.

    5

    Informations­austausch

    Freiwilliger Austausch von Bedrohungsinformationen zwischen Finanzunternehmen.

    KERNANFORDERUNGEN

    Was DORA von Ihnen verlangt

    Die wichtigsten Pflichten aus der Verordnung (EU) 2022/2554

    IKT-Risikomanagement-Framework

    Leitungsorgane müssen ein IKT-Risikomanagement-Framework definieren, genehmigen und überwachen (Art. 5–16).

    IKT-Vorfallmanagement & Meldepflichten

    Klassifizierung von IKT-Vorfällen, Meldung an Aufsichtsbehörden und Dokumentation (Art. 17–23).

    Digital Operational Resilience Testing

    Regelmäßige Resilienztests, Penetrationstests und bedrohungsorientierte Tests (TLPT) (Art. 24–27).

    IKT-Drittanbieter-Risikomanagement

    Vertragliche Regelungen, Register, Konzentrationsrisiken und Exit-Strategien für IKT-Auslagerungen (Art. 28–44).

    IKT-Informationsregister

    Vollständiges Register aller vertraglichen IKT-Vereinbarungen mit Drittanbietern (Art. 28 Abs. 3).

    Governance & Leitungsverantwortung

    Leitungsorgane tragen die Gesamtverantwortung für IKT-Risiken und müssen regelmäßig geschult werden (Art. 5).

    MELDEPFLICHTEN

    IKT-Vorfallmeldung nach DORA

    1
    Innerhalb 4 Stunden (nach Klassifizierung)

    Erstmeldung an die Aufsicht

    Unmittelbare Meldung schwerwiegender IKT-Vorfälle — spätestens 24h nach Kenntnis des Vorfalls.

    2
    Innerhalb 72 Stunden

    Zwischenbericht mit Analyse

    Detaillierte Analyse des Vorfalls, Auswirkungsbewertung und Status der Gegenmaßnahmen.

    3
    Innerhalb 1 Monat

    Abschlussbericht

    Vollständiger Bericht mit Ursachenanalyse, ergriffenen Maßnahmen und Verbesserungsvorschlägen.

    Hohe Bußgelder

    Die EU-Aufsichtsbehörden können erhebliche Sanktionen verhängen — inkl. täglicher Zwangsgelder von bis zu 1 % des durchschnittlichen Tagesumsatzes.

    Persönliche Verantwortung

    Leitungsorgane sind für die Umsetzung und Überwachung des IKT-Risikomanagements persönlich verantwortlich.

    WER IST BETROFFEN?

    Fällt Ihr Unternehmen unter DORA?

    DORA gilt für nahezu den gesamten Finanzsektor — von Banken über Versicherungen bis zu Krypto-Dienstleistern und deren kritische IKT-Anbieter.

    Direkt betroffen Finanzunternehmen

    • Kreditinstitute & Zahlungsdienstleister
    • Versicherungen & Rückversicherer
    • Wertpapierfirmen & Handelsplätze
    • Krypto-Dienstleister & E-Geld-Institute
    • Fondsverwalter & Pensionsfonds

    Indirekt betroffen IKT-Drittanbieter

    • Cloud-Anbieter (IaaS, PaaS, SaaS)
    • Software- und Plattform-Anbieter
    • Datenanalyse- und Reporting-Dienste
    • IT-Sicherheitsdienstleister
    • Managed Service Provider (MSP)

    21 Kategorien von Finanzunternehmen

    Kreditinstitute Zahlungsinstitute Kontoinformationsdienstleister E-Geld-Institute Wertpapierfirmen Krypto-Dienstleister Zentralverwahrer Handelsplätze Transaktionsregister AIFM & OGAW Versicherungen Rückversicherer Versicherungsvermittler Pensionsfonds Ratingagenturen Wirtschaftsprüfer Verbriefungszweckgesellschaften IKT-Drittanbieter
    Die Verordnung in Kürze

    Was muss für DORA umgesetzt werden?

    Acht Bausteine — das ist der Pflichtkanon für DORA-Compliance.

    1. IKT-Risikomanagement-Rahmen (Art. 5–15)
    2. Vorfallsmanagement & Meldungen (Art. 17–23)
    3. Digitale Resilienz-Tests (Art. 24–27)
    4. IKT-Drittparteien-Risikomanagement (Art. 28–44)
    5. Register of Information (Art. 28)
    6. Threat-Led Penetration Testing (TLPT)
    7. Geschäftsführungs-Pflichten & -Schulung
    8. Behördenkommunikation & Reporting (Art. 19)

    Wir zeigen Ihnen im Erstgespräch, welche Punkte bei Ihnen bereits erfüllt sind.

    Kostenlose Ersteinschätzung buchen
    SYNERGIE

    ISO 27001 als starke Grundlage für DORA

    ISO 27001 ist eine starke Grundlage für DORA — ersetzt DORA aber nicht. Viele Bausteine wie Risikomanagement, Incident Management, Lieferantenmanagement, Business Continuity und internes Audit lassen sich wiederverwenden. DORA ergänzt spezifische Anforderungen an Register of Information, IKT-Drittparteien, Meldeprozesse, Resilienztests und Aufsichtsdokumentation.

    DORA AnforderungISO 27001 Abdeckung
    Art. 5–16 IKT-Risikomanagement ISO 27001 Kl. 6.1 + A.5–A.8
    Art. 17–23 Vorfallmeldung ISO 27001 A.5.24–A.5.28
    Art. 24–27 Resilienztests ISO 27001 A.8.8 + Kl. 9.2
    Art. 28–44 Drittanbieter ISO 27001 A.5.19–A.5.23
    Art. 5 Governance ISO 27001 Kl. 5 Führung
    Art. 13 Business Continuity ISO 27001 A.5.29–A.5.30
    bis zu ~60 %
    Überschneidung zwischen ISO 27001 und DORA — abhängig von Scope und bestehender Umsetzung
    UNSERE LÖSUNG

    DORA umsetzen mit iso-easy

    1

    Gap-Analyse

    Bestehende Maßnahmen gegen alle DORA-Anforderungen abgleichen und Lücken identifizieren.

    2

    IKT-Framework aufbauen

    Risikomanagement-Framework implementieren und IKT-Drittanbieter-Register aufsetzen.

    3

    ISMS integrieren

    ISO 27001 als Basis nutzen und DORA-spezifische Erweiterungen ergänzen.

    4

    Dauerhaft compliant

    Laufende Überwachung, Resilienztests und Reporting im PDCA-Betriebsmodus.

    IKT-Risikomanagement Vorfallmeldung Drittanbieter-Register Resilienztests Business Continuity Exit-Strategien
    DORA Art. 28 · Pflicht-Pain-Point

    Register of Information aufbauen

    Wir strukturieren IKT-Drittanbieter, Verträge, kritische Funktionen, Auslagerungen und Pflegeprozesse in einem prüfbaren DORA-Register.

    • Strukturierte Erfassung aller IKT-Dienstleister
    • Klassifizierung nach Kritikalität (Art. 28)
    • Vertrags-Mapping und Auslagerungs-Doku
    • Laufende Pflegeprozesse für Behördenmeldungen
    RoI prüfen lassen
    FAQ

    Häufige Fragen zu DORA

    Was ist DORA?
    DORA (Digital Operational Resilience Act) ist eine EU-Verordnung (2022/2554), die einheitliche Anforderungen an die digitale Betriebsstabilität des Finanzsektors festlegt. Sie gilt seit dem 17. Januar 2025 unmittelbar und ohne nationale Umsetzung in allen EU-Mitgliedstaaten.
    Wer ist von DORA betroffen?
    DORA betrifft 21 Kategorien von Finanzunternehmen — von Kreditinstituten und Versicherungen über Wertpapierfirmen bis zu Krypto-Dienstleistern. Zusätzlich unterliegen kritische IKT-Drittanbieter (Cloud-Provider, Software-Anbieter etc.) der Aufsicht.
    Was ist der Unterschied zwischen DORA und NIS-2?
    DORA ist eine Verordnung speziell für den Finanzsektor und gilt unmittelbar. NIS-2 ist eine Richtlinie für alle kritischen Sektoren und muss in nationales Recht umgesetzt werden. DORA geht als Spezialgesetz (lex specialis) für Finanzunternehmen vor.
    Brauche ich ISO 27001 für DORA?
    ISO 27001 ist nicht verpflichtend, aber eine anerkannte Grundlage, um viele Sicherheits-, Risiko-, Lieferanten- und Incident-Management-Anforderungen strukturiert nachzuweisen. Ein zertifiziertes ISMS ist meist der effizienteste Einstieg in die DORA-Compliance.
    Was sind die Fristen für DORA?
    DORA gilt seit dem 17. Januar 2025 verbindlich. Betroffene Unternehmen sollten Umsetzungsstand, Lücken und Nachweise zeitnah prüfen und dokumentieren, um auf Aufsichtsfragen vorbereitet zu sein.
    Kann ich DORA und ISO 27001 gleichzeitig umsetzen?
    Ja, das empfehlen wir sogar. Unser Multinorm-ISMS deckt beide Regelwerke integriert ab. Sie bauen einmal ein ISMS auf und erfüllen damit sowohl ISO 27001 als auch DORA — ohne doppelten Aufwand.
    Wie viel interne Arbeit fällt bei uns wirklich an?
    Klassische DORA-Umsetzungsprojekte verschlingen 50–80 Personentage interne Zeit (insb. Drittparteien-Inventarisierung). Mit unserer Vorgehensweise + ISMS-Plattform reduzieren wir das auf 20–30 Personentage. Wir übernehmen RoI-Strukturierung, Risikoanalysen und Drittparteien-Bewertungen weitgehend für Sie.
    Was passiert nach der DORA-Umsetzung? Prüfungen?
    Ja. Finanzaufseher (BaFin, EZB, ESMA) können aktiv prüfen und Nachweise verlangen. Mit unserer ISMS-Plattform sind Register of Information, Risikoanalysen und Vorfalls-Dokumentation jederzeit abrufbar — reduziert das Risiko von Lücken bei Nachweis-Anfragen.
    Was ist Threat-Led Penetration Testing (TLPT) und wer braucht es?
    TLPT ist eine erweiterte, threat-intelligence-basierte Penetrationstest-Methodik nach DORA Art. 26–27. Pflicht für signifikante Finanzunternehmen (z. B. Banken über bestimmten Schwellenwerten). TLPT ist deutlich aufwändiger als klassisches PenTesting und muss von akkreditierten Testern durchgeführt werden. Unsere Vorbereitung umfasst Scope-Definition, Threat-Profil und Koordination.
    Reicht uns ISO 27001? Brauchen wir trotzdem DORA?
    ISO 27001 deckt etwa 60 % der DORA-Anforderungen ab — sehr gute Basis. DORA verlangt aber zusätzlich: Register of Information, Threat-Led Penetration Testing, formalisierte Drittparteien-Verträge, behördliche Meldewege und Geschäftsführungs-Reporting. Wer ISO 27001 hat, braucht 30–40 % zusätzlichen Aufwand für vollständige DORA-Compliance.
    Wie hoch sind die Strafen bei DORA-Verstößen?
    Je nach Land und Schwere des Verstoßes: Für Finanzunternehmen sind Bußgelder bis zu 1 % des durchschnittlichen weltweiten Tagesumsatzes möglich (kumuliert). Hinzu kommen aufsichtsrechtliche Maßnahmen, öffentliche Bekanntmachung und im Extremfall Tätigkeitsverbote für die Leitungsebene.