DORA VERORDNUNG (EU) 2022/2554

DORA Compliance
strukturiert umsetzen

Der Digital Operational Resilience Act (DORA) verpflichtet den gesamten EU-Finanzsektor zu strengen Anforderungen an die digitale Betriebsstabilität. Mit iso-easy setzen Sie DORA systematisch um — eingebettet in Ihr ISMS.

Unverbindlich anfragen → Live-Demo ansehen
22.000+
betroffene Unternehmen EU-weit
17.01.2025
verbindlich seit
5 Säulen
der digitalen Resilienz
WER IST BETROFFEN?

Fällt Ihr Unternehmen unter DORA?

DORA gilt für nahezu den gesamten Finanzsektor — von Banken über Versicherungen bis zu Krypto-Dienstleistern und deren kritische IKT-Anbieter.

Direkt betroffen Finanzunternehmen

  • Kreditinstitute & Zahlungsdienstleister
  • Versicherungen & Rückversicherer
  • Wertpapierfirmen & Handelsplätze
  • Krypto-Dienstleister & E-Geld-Institute
  • Fondsverwalter & Pensionsfonds

Indirekt betroffen IKT-Drittanbieter

  • Cloud-Anbieter (IaaS, PaaS, SaaS)
  • Software- und Plattform-Anbieter
  • Datenanalyse- und Reporting-Dienste
  • IT-Sicherheitsdienstleister
  • Managed Service Provider (MSP)

21 Kategorien von Finanzunternehmen

Kreditinstitute Zahlungsinstitute Kontoinformationsdienstleister E-Geld-Institute Wertpapierfirmen Krypto-Dienstleister Zentralverwahrer Handelsplätze Transaktionsregister AIFM & OGAW Versicherungen Rückversicherer Versicherungsvermittler Pensionsfonds Ratingagenturen Wirtschaftsprüfer Verbriefungszweckgesellschaften IKT-Drittanbieter
DIE 5 SÄULEN

Das DORA-Framework im Überblick

DORA basiert auf fünf zentralen Säulen der digitalen operationalen Resilienz.

1

IKT-Risiko­management

Umfassendes Framework für das Management aller IKT-Risiken inkl. Governance und Kontrollsysteme.

2

Vorfall­meldung

Klassifizierung, Meldung und Reporting von schwerwiegenden IKT-Vorfällen an die Aufsicht.

3

Resilienz­tests

Regelmäßige Tests der digitalen Betriebsstabilität inkl. Threat-Led Penetration Testing (TLPT).

4

IKT-Dritt­anbieter

Management und Überwachung von IKT-Drittanbieter-Risiken entlang der gesamten Lieferkette.

5

Informations­austausch

Freiwilliger Austausch von Bedrohungsinformationen zwischen Finanzunternehmen.

KERNANFORDERUNGEN

Was DORA von Ihnen verlangt

Die wichtigsten Pflichten aus der Verordnung (EU) 2022/2554

IKT-Risikomanagement-Framework

Leitungsorgane müssen ein IKT-Risikomanagement-Framework definieren, genehmigen und überwachen (Art. 5–16).

IKT-Vorfallmanagement & Meldepflichten

Klassifizierung von IKT-Vorfällen, Meldung an Aufsichtsbehörden und Dokumentation (Art. 17–23).

Digital Operational Resilience Testing

Regelmäßige Resilienztests, Penetrationstests und bedrohungsorientierte Tests (TLPT) (Art. 24–27).

IKT-Drittanbieter-Risikomanagement

Vertragliche Regelungen, Register, Konzentrationsrisiken und Exit-Strategien für IKT-Auslagerungen (Art. 28–44).

IKT-Informationsregister

Vollständiges Register aller vertraglichen IKT-Vereinbarungen mit Drittanbietern (Art. 28 Abs. 3).

Governance & Leitungsverantwortung

Leitungsorgane tragen die Gesamtverantwortung für IKT-Risiken und müssen regelmäßig geschult werden (Art. 5).

MELDEPFLICHTEN

IKT-Vorfallmeldung nach DORA

1
Innerhalb 4 Stunden (nach Klassifizierung)

Erstmeldung an die Aufsicht

Unmittelbare Meldung schwerwiegender IKT-Vorfälle — spätestens 24h nach Kenntnis des Vorfalls.

2
Innerhalb 72 Stunden

Zwischenbericht mit Analyse

Detaillierte Analyse des Vorfalls, Auswirkungsbewertung und Status der Gegenmaßnahmen.

3
Innerhalb 1 Monat

Abschlussbericht

Vollständiger Bericht mit Ursachenanalyse, ergriffenen Maßnahmen und Verbesserungsvorschlägen.

Hohe Bußgelder

Die EU-Aufsichtsbehörden können erhebliche Sanktionen verhängen — inkl. täglicher Zwangsgelder von bis zu 1 % des durchschnittlichen Tagesumsatzes.

Persönliche Verantwortung

Leitungsorgane sind für die Umsetzung und Überwachung des IKT-Risikomanagements persönlich verantwortlich.

Unsere Leistungen für DORA

Vier Bausteine. Ein Weg zur Compliance.

Operational Resilience für Finanzunternehmen — ICT-Risk, Third-Party-Register, TLPT-Begleitung und Reporting an Aufsicht.

Maximale Begleitung

Full Service Begleitung

DORA-Framework aufgebaut und dokumentiert — von der ICT-Risiko-Policy bis zum Register of Information.

  • ICT Risk Management Framework
  • Register of Information (Art. 28)
  • Incident-Reporting-Prozess
  • Drittparteien-Governance
ab €25.000 einmalig
Angebot anfordern
Self-Service

Ready-Kit

Alle DORA-Templates für Finanzinstitute — direkt nutzbar.

  • ICT-Risiko-Policy-Paket
  • RoI-Vorlage (Art. 28 DORA)
  • Third-Party-Risk-Register
  • Incident-Response-Playbook
ab €2.490 einmalig · +€199/Mo Plattform
Jetzt bestellen
Laufend

Externer ICT-Risk-Officer

Senior-Expert für Ihr ICT-Risiko-Management gegenüber BaFin und Auditoren.

  • BaFin-Reporting-Unterstützung
  • Quartals-Risikoberichte
  • Vorstands-Briefings
  • Begleitung Prüfungshandlungen
ab €1.500 / Monat
Beratung anfragen
12 Mo Mindestlaufzeit · 3 Mo Kündigungsfrist
Einmal / jährlich

Internes Audit

DORA-Readiness-Audit vor Aufsichtsprüfung.

  • DORA-Gap-Analyse
  • RoI-Qualitätsprüfung
  • TLPT-Vorbereitungs-Check
  • Abschlussbericht für Vorstand
ab €4.000 einmalig
Audit anfragen

Zusätzlich für DORA

Norm-spezifische Zusatzleistungen — einzeln buchbar

Register of Information (RoI)

Aufbau und Pflege Ihres DORA-Registers inkl. jährlicher Aktualisierung.

ab €4.900 + €199/Mo

TLPT-Koordination

Threat-Led-Penetration-Testing mit zertifizierten Partnern.

ab €18.000/Zyklus

Lieferanten-Klassifizierung

Kritikalitätsbewertung Ihrer ICT-Drittparteien nach Art. 28 ff.

ab €3.490
Retainer-Leistungen (Externer Beauftragter, Meldestelle): 12 Monate Mindestlaufzeit · 3 Monate Kündigungsfrist zum Monatsende · Alle Preise netto.
SYNERGIE

ISO 27001 als Fundament für DORA

Ein zertifiziertes ISMS nach ISO 27001 deckt einen erheblichen Teil der DORA-Anforderungen ab.

DORA AnforderungISO 27001 Abdeckung
Art. 5–16 IKT-Risikomanagement ISO 27001 Kl. 6.1 + A.5–A.8
Art. 17–23 Vorfallmeldung ISO 27001 A.5.24–A.5.28
Art. 24–27 Resilienztests ISO 27001 A.8.8 + Kl. 9.2
Art. 28–44 Drittanbieter ISO 27001 A.5.19–A.5.23
Art. 5 Governance ISO 27001 Kl. 5 Führung
Art. 13 Business Continuity ISO 27001 A.5.29–A.5.30
~60 %
Überschneidung zwischen ISO 27001 und DORA
UNSERE LÖSUNG

DORA umsetzen mit iso-easy

1

Gap-Analyse

Bestehende Maßnahmen gegen alle DORA-Anforderungen abgleichen und Lücken identifizieren.

2

IKT-Framework aufbauen

Risikomanagement-Framework implementieren und IKT-Drittanbieter-Register aufsetzen.

3

ISMS integrieren

ISO 27001 als Basis nutzen und DORA-spezifische Erweiterungen ergänzen.

4

Dauerhaft compliant

Laufende Überwachung, Resilienztests und Reporting im PDCA-Betriebsmodus.

IKT-Risikomanagement Vorfallmeldung Drittanbieter-Register Resilienztests Business Continuity Exit-Strategien

Oder selbst umsetzen

Die ISMS-Plattform für DORA — und 8 weitere Normen

Digitalisieren Sie DORA-IKT-Register, Incident-Meldungen und Resilienztests in einem Multinorm-ISMS. Mit KI-Copilot, Vorlagen und Audit-Lotse — ohne externe Beraterkosten.

  • Multinorm-ISMS
  • KI-Copilot & Vorlagen
  • Audit-Lotse
  • 30 Tage kostenlos testen

ab €149

/ Monat · alle Normen

Plattform entdecken
FAQ

Häufige Fragen zu DORA

Was ist DORA?
DORA (Digital Operational Resilience Act) ist eine EU-Verordnung (2022/2554), die einheitliche Anforderungen an die digitale Betriebsstabilität des Finanzsektors festlegt. Sie gilt seit dem 17. Januar 2025 unmittelbar und ohne nationale Umsetzung in allen EU-Mitgliedstaaten.
Wer ist von DORA betroffen?
DORA betrifft 21 Kategorien von Finanzunternehmen — von Kreditinstituten und Versicherungen über Wertpapierfirmen bis zu Krypto-Dienstleistern. Zusätzlich unterliegen kritische IKT-Drittanbieter (Cloud-Provider, Software-Anbieter etc.) der Aufsicht.
Was ist der Unterschied zwischen DORA und NIS-2?
DORA ist eine Verordnung speziell für den Finanzsektor und gilt unmittelbar. NIS-2 ist eine Richtlinie für alle kritischen Sektoren und muss in nationales Recht umgesetzt werden. DORA geht als Spezialgesetz (lex specialis) für Finanzunternehmen vor.
Brauche ich ISO 27001 für DORA?
ISO 27001 ist nicht verpflichtend, aber deckt ca. 60 % der DORA-Anforderungen ab und wird von BaFin und EBA als anerkannter Standard referenziert. Ein zertifiziertes ISMS ist der effizienteste Einstieg in die DORA-Compliance.
Was sind die Fristen für DORA?
DORA gilt seit dem 17. Januar 2025 verbindlich für alle betroffenen Unternehmen. Es gibt keine Übergangsfristen — wer DORA noch nicht umgesetzt hat, verstößt bereits gegen die Verordnung und riskiert aufsichtsrechtliche Maßnahmen.
Kann ich DORA und ISO 27001 gleichzeitig umsetzen?
Ja, das empfehlen wir sogar. Unser Multinorm-ISMS deckt beide Regelwerke integriert ab. Sie bauen einmal ein ISMS auf und erfüllen damit sowohl ISO 27001 als auch DORA — ohne doppelten Aufwand.

Bereit für DORA?

Lassen Sie uns gemeinsam prüfen, was Sie brauchen.

Jetzt Beratung anfragen → Live-Demo der Plattform
⚡ 3-Minuten-Selbsteinschätzung

Unsicher, wie weit Sie sind?

Bevor Sie uns schreiben: prüfen Sie in 3 Minuten Ihren DORA-Reifegrad. 20 Fragen, 5 Kategorien, sofort Ergebnis.

Jetzt DORA-Check starten
📋 20 Fragen ⏱ ca. 3 Minuten 🔓 Keine Anmeldung
Kostenlose Ersteinschätzung

Klarheit zu DORA in 15 Minuten

Sind Sie als Finanzdienstleister betroffen? Was gilt ab Januar 2025? Realistische Einschätzung ohne Verkaufsdruck.

Murat Aygan
Murat Aygan
Ihr Ansprechpartner · DORA-Experte
  • Antwort innerhalb von 24 Stunden
  • Realistische Zeit- und Kostenangaben
  • Kein Verkaufsdruck, keine Verpflichtung
  • Von Notivia GmbH, Stuttgart — seit 2019
think why NETFORMIC Animus Intelligence Crest Digital Veoma
Direkt buchen — am schnellsten
📅 15-Min-Slot selbst wählen
oder schreiben Sie uns

    🔒 Kein Spam·Keine Verpflichtung·Antwort in 24 h·DSGVO-konform
    Lieber direkt anrufen? +49 711 35 15 705