IT-AuditDirectory
Alle Artikel
Compliance8 Min. Lesezeit

DORA-Verordnung: Was Finanzinstitute in Deutschland jetzt umsetzen müssen

IT-Audit Directory

Seit dem 17. Januar 2025 ist der Digital Operational Resilience Act (DORA) vollständig anwendbar. Die EU-Verordnung 2022/2554 stellt erstmals einheitliche und verbindliche Anforderungen an die digitale Betriebsstabilität von Finanzunternehmen in der gesamten Europäischen Union. Für den deutschen Finanzsektor bedeutet dies: Banken, Versicherungen, Wertpapierfirmen, Zahlungsdienstleister und zahlreiche weitere Finanzakteure müssen ihre IKT-Sicherheitsstrukturen grundlegend überprüfen und an die neuen Vorgaben anpassen. Dieser Artikel beschreibt, welche Anforderungen DORA konkret stellt, wie sich die Verordnung zu bestehenden deutschen Regelwerken wie MaRisk und BAIT verhält und welche Schritte Finanzinstitute jetzt einleiten sollten.

Wer ist von DORA betroffen?

DORA richtet sich an nahezu alle regulierten Finanzunternehmen sowie an deren kritische IKT-Dienstleister. Der Anwendungsbereich ist bewusst breit gefasst, um systemische Risiken in der gesamten Wertschöpfungskette des Finanzsektors zu adressieren. Die folgenden Unternehmenstypen fallen unter die Verordnung:

  • Kreditinstitute (Banken und Sparkassen)
  • Versicherungs- und Rückversicherungsunternehmen
  • Wertpapierfirmen und Kapitalverwaltungsgesellschaften
  • Zahlungsinstitute und E-Geld-Institute
  • Anbieter von Krypto-Dienstleistungen (CASPs)
  • Zentralverwahrer, zentrale Gegenparteien und Handelsplätze
  • Einrichtungen der betrieblichen Altersversorgung
  • Ratingagenturen und Crowdfunding-Dienstleister
  • Kritische IKT-Drittdienstleister (z. B. Cloud-Provider, Rechenzentrumsbetreiber, Anbieter von Kernbankensystemen)

Besonders relevant für den deutschen Markt: Auch IKT-Drittanbieter, die wesentliche Dienstleistungen für Finanzunternehmen erbringen, unterliegen erstmals einer direkten europäischen Aufsicht. Dies betrifft insbesondere große Cloud-Anbieter und Softwarehäuser, die bislang nur indirekt über die Auslagerungsvorschriften der beaufsichtigten Unternehmen reguliert wurden.

Die fünf Säulen der DORA-Verordnung

DORA baut auf fünf zentralen Säulen auf, die gemeinsam einen umfassenden Rahmen für die digitale Betriebsstabilität bilden. Jede Säule adressiert einen spezifischen Aspekt des IKT-Risikos und stellt konkrete Anforderungen an die betroffenen Unternehmen.

1. IKT-Risikomanagement

Finanzunternehmen müssen einen umfassenden IKT-Risikomanagementrahmen einrichten, der von der Geschäftsleitung verantwortet wird. Dieser Rahmen umfasst die Identifikation, den Schutz, die Erkennung, die Reaktion und die Wiederherstellung aller IKT-gestützten Geschäftsfunktionen. Die Geschäftsleitung trägt die ausdrückliche Verantwortung für die Festlegung der IKT-Risikostrategie und muss über die wesentlichen IKT-Risiken fortlaufend informiert werden. Zu den konkreten Anforderungen zählen die Durchführung regelmäßiger Business-Impact-Analysen, die Dokumentation aller IKT-Systeme und -Abhängigkeiten sowie die Festlegung von Wiederherstellungszielen (RPO und RTO) für kritische Geschäftsfunktionen.

2. IKT-bezogenes Incident Reporting

DORA führt ein harmonisiertes Meldewesen für schwerwiegende IKT-bezogene Vorfälle ein. Finanzunternehmen müssen Prozesse zur Erkennung, Klassifikation und Meldung von Vorfällen implementieren. Das dreistufige Meldeverfahren sieht wie folgt aus: Innerhalb von 24 Stunden nach Erkennung eines schwerwiegenden Vorfalls ist eine Erstmeldung an die zuständige Aufsichtsbehörde zu übermitteln. Spätestens nach 72 Stunden folgt ein Zwischenbericht mit einer detaillierteren Analyse. Innerhalb eines Monats nach dem Vorfall ist ein Abschlussbericht einzureichen, der die Ursachenanalyse, die ergriffenen Maßnahmen und die Lehren aus dem Vorfall dokumentiert. Für den deutschen Markt übernimmt die BaFin die Rolle der zuständigen Meldebehörde.

3. Digital Operational Resilience Testing

Alle betroffenen Finanzunternehmen müssen ein risikobasiertes Testprogramm für ihre IKT-Systeme aufbauen. Dieses umfasst Vulnerability Assessments, Netzwerksicherheitstests und weitere Prüfungen, die mindestens jährlich durchzuführen sind. Für systemrelevante Institute gelten erweiterte Anforderungen in Form von bedrohungsgeleiteten Penetrationstests (Threat-Led Penetration Testing, TLPT). Diese TLPT-Anforderungen werden im Abschnitt weiter unten ausführlich erläutert.

4. IKT-Drittparteienrisikomanagement

Das Management von Risiken aus IKT-Auslagerungen und Drittanbieterbeziehungen wird durch DORA auf ein neues Niveau gehoben. Finanzunternehmen müssen ein vollständiges Register aller vertraglichen Vereinbarungen mit IKT-Drittdienstleistern führen und dieses der Aufsicht auf Verlangen zur Verfügung stellen. Vor jeder Auslagerung ist eine Due-Diligence-Prüfung durchzuführen, und die Verträge müssen Mindestanforderungen an Audit-Rechte, Exit-Strategien und Datensicherheit erfüllen. Kritische IKT-Drittdienstleister unterliegen zusätzlich einem direkten Überwachungsrahmen durch die europäischen Aufsichtsbehörden (ESAs). Benötigen Sie Unterstützung bei der Bewertung Ihrer IKT-Dienstleister? DORA-Berater finden auf unserem Verzeichnis.

5. Informationsaustausch

DORA ermöglicht und fördert den freiwilligen Austausch von Informationen über Cyberbedrohungen zwischen Finanzunternehmen. Ziel ist es, das kollektive Situationsbewusstsein im Finanzsektor zu stärken und gemeinsam Bedrohungen schneller zu erkennen. Der Austausch erfolgt innerhalb vertrauenswürdiger Gemeinschaften und unter Einhaltung der Datenschutzvorschriften. In Deutschland bestehen bereits etablierte Strukturen wie der Cyber-Sicherheitsrat und sektorspezifische CERTs, an die DORA anknüpft.

DORA im Vergleich zu MaRisk und BAIT

Für deutsche Finanzinstitute stellt sich die zentrale Frage, wie DORA sich zu den bestehenden nationalen Regelwerken verhält. Die folgende Übersicht zeigt die wichtigsten Unterschiede und Gemeinsamkeiten:

KriteriumDORAMaRisk / BAIT
RechtscharakterEU-Verordnung, unmittelbar geltendBaFin-Rundschreiben, Verwaltungspraxis
AnwendungsbereichGesamter EU-Finanzsektor inkl. IKT-DrittanbieterDeutsche Kreditinstitute und Finanzdienstleister
IKT-RisikomanagementDetaillierter Rahmen mit konkreten Anforderungen an Governance und StrategieAllgemeine Anforderungen in AT 7.2 MaRisk, konkretisiert durch BAIT
Incident ReportingDreistufiges Meldeverfahren (24h / 72h / 1 Monat)Meldepflicht gemäß § 54 KWG, weniger detailliert
PenetrationstestsTLPT verpflichtend für systemrelevante InstituteBAIT empfiehlt Tests, keine TLPT-Pflicht
DrittparteienmanagementVollständiges Register, direkte Aufsicht kritischer AnbieterAuslagerungsmanagement gemäß AT 9 MaRisk
InformationsaustauschExplizit geregelt und gefördertNicht spezifisch adressiert
SanktionenBußgelder bis zu 2 % des Jahresumsatzes oder 1 Mio. EUR für natürliche PersonenVerwaltungsmaßnahmen durch BaFin

DORA und bestehende deutsche Regulierung: MaRisk, BAIT, VAIT, KAIT, ZAIT

Eine häufige Frage aus der Praxis lautet: Werden MaRisk und BAIT durch DORA ersetzt? Die Antwort ist differenziert. Als EU-Verordnung genießt DORA Vorrang vor nationalem Recht, sofern die Regelungsbereiche identisch sind. Die BaFin hat bereits angekündigt, die bestehenden Rundschreiben an DORA anzupassen und Dopplungen zu beseitigen. In der Praxis bedeutet dies, dass BAIT, VAIT (für Versicherungen), KAIT (für Kapitalverwaltungsgesellschaften) und ZAIT (für Zahlungsdienstleister) in ihrer aktuellen Form voraussichtlich nicht bestehen bleiben, sondern in eine DORA-konforme Fassung überführt werden.

MaRisk hingegen deckt deutlich breitere Themen ab als DORA und wird daher in seinen allgemeinen Teilen bestehen bleiben. Die IKT-spezifischen Konkretisierungen werden jedoch durch die DORA-Anforderungen ersetzt oder ergänzt. Finanzinstitute sollten daher nicht den Fehler machen, sich ausschließlich auf DORA zu konzentrieren und bestehende MaRisk-Anforderungen zu vernachlässigen. Ein integrierter Compliance-Ansatz, der beide Regelwerke berücksichtigt, ist der empfohlene Weg. Für eine umfassende Bewertung Ihres aktuellen Stands empfehlen wir ein MaRisk/BAIT Audit.

TLPT: Bedrohungsgeleitete Penetrationstests im Detail

DORA verpflichtet systemrelevante Finanzunternehmen zur Durchführung von Threat-Led Penetration Tests (TLPT). In Deutschland baut dies auf dem bestehenden TIBER-DE-Rahmenwerk der Deutschen Bundesbank auf. TLPT geht über herkömmliche Penetrationstests hinaus, da die Testszenarien auf realen und aktuellen Bedrohungsinformationen basieren. Die Tests werden von externen, qualifizierten Red-Team-Anbietern durchgeführt und simulieren realistische Angriffsszenarien auf die kritischen Funktionen des Finanzinstituts.

  • Frequenz: TLPT muss mindestens alle drei Jahre durchgeführt werden.
  • Scope: Alle kritischen und wichtigen Funktionen des Finanzinstituts müssen abgedeckt sein.
  • Threat Intelligence: Vor dem eigentlichen Test wird eine Bedrohungsanalyse erstellt, die aktuelle Angriffsvektoren und Bedrohungsakteure identifiziert.
  • Red Teaming: Externe Tester führen realistische Angriffsszenarien durch, einschließlich Social Engineering und physischer Zugangstests.
  • Purple Teaming: Nach dem Red-Team-Test erfolgt eine gemeinsame Auswertung mit dem internen Blue Team zur Verbesserung der Erkennungsfähigkeiten.
  • Ergebnisdokumentation: Die Ergebnisse und Abhilfemaßnahmen müssen der Aufsichtsbehörde vorgelegt werden.
  • IKT-Drittdienstleister: Auch kritische IKT-Dienstleister können in den Testumfang einbezogen werden.

Die Anforderungen an TLPT-Anbieter sind hoch: Sie müssen über einschlägige Erfahrung, Zertifizierungen und eine Berufshaftpflichtversicherung verfügen. Suchen Sie qualifizierte Anbieter für Penetrationstests über unser Verzeichnis.

DORA-Compliance sicherstellen

Finden Sie erfahrene DORA-Berater und IT-Auditoren, die Ihr Finanzinstitut bei der vollständigen Umsetzung der Verordnung unterstützen – von der Gap-Analyse bis zum TLPT.

DORA-Spezialisten finden

Umsetzungsfahrplan: DORA-Implementierung in Phasen

Obwohl DORA seit Januar 2025 anwendbar ist, befinden sich viele Finanzinstitute noch in der Umsetzungsphase. Der folgende Fahrplan zeigt einen praxiserprobten Ansatz zur strukturierten Implementierung:

PhaseZeitraumMaßnahmen
1 – Gap-AnalyseMonat 1–2Bestandsaufnahme der bestehenden IKT-Sicherheitsmaßnahmen, Abgleich mit DORA-Anforderungen, Identifikation von Handlungsfeldern
2 – GovernanceMonat 2–4Anpassung der IKT-Risikostrategie, Festlegung der Verantwortlichkeiten auf Geschäftsleitungsebene, Überarbeitung interner Richtlinien
3 – DrittparteienMonat 3–6Aufbau des IKT-Drittanbieterregisters, Überprüfung bestehender Verträge, Anpassung der Due-Diligence-Prozesse und Exit-Strategien
4 – Incident ManagementMonat 4–6Implementierung des dreistufigen Meldewegs, Definition von Klassifikationskriterien, Aufbau technischer Erkennungsfähigkeiten
5 – TestingMonat 5–8Aufbau des risikobasierten Testprogramms, Planung und Durchführung erster TLPT (sofern verpflichtend), Beauftragung qualifizierter Testanbieter
6 – InformationsaustauschMonat 6–9Prüfung der Teilnahme an Informationsaustausch-Initiativen, Integration von Threat Intelligence in bestehende Prozesse
7 – ValidierungMonat 9–12Interne Prüfung der Umsetzung, Durchführung eines DORA-Readiness-Assessments, Behebung verbleibender Lücken, Vorbereitung auf Aufsichtsprüfungen

Die Rolle der BaFin und der europäischen Aufsichtsbehörden

Die BaFin ist als nationale zuständige Behörde für die Überwachung der DORA-Umsetzung in Deutschland verantwortlich. Sie nimmt Vorfallsmeldungen entgegen, führt Aufsichtsprüfungen durch und kann bei Verstößen Sanktionen verhängen. Die BaFin hat bereits signalisiert, dass DORA-Anforderungen ein Schwerpunkt künftiger Prüfungen sein werden und arbeitet an der Anpassung ihrer Prüfungsansätze.

Auf europäischer Ebene spielen die drei Europäischen Aufsichtsbehörden (ESAs) – EBA, EIOPA und ESMA – eine zentrale Rolle. Sie erarbeiten die technischen Regulierungs- und Durchführungsstandards (RTS und ITS), die DORA konkretisieren. Besonders relevant für die Praxis sind die RTS zum IKT-Risikomanagementrahmen, zum Incident Reporting und zum TLPT-Rahmenwerk. Darüber hinaus übernehmen die ESAs die direkte Überwachung der als kritisch eingestuften IKT-Drittdienstleister im Rahmen des sogenannten Überwachungsrahmens. Die EBA koordiniert zudem die Veröffentlichung des Registers der als kritisch eingestuften IKT-Drittanbieter.

Häufig gestellte Fragen zu DORA in Deutschland

Häufig gestellte Fragen

Werden MaRisk und BAIT durch DORA abgelöst?
Nicht vollständig. DORA als EU-Verordnung hat Vorrang, sofern sich die Regelungsbereiche überschneiden. Die IKT-spezifischen Konkretisierungen in BAIT, VAIT, KAIT und ZAIT werden durch DORA-Anforderungen ersetzt oder angepasst. MaRisk bleibt in seinen allgemeinen Teilen bestehen, da es über IKT hinausgehende Anforderungen stellt. Die BaFin wird die bestehenden Rundschreiben entsprechend überarbeiten.
Sind IKT-Dienstleister direkt von DORA betroffen?
Ja, und das ist eine wesentliche Neuerung. Kritische IKT-Drittdienstleister unterliegen erstmals einer direkten europäischen Aufsicht durch die ESAs. Alle IKT-Dienstleister, die Leistungen für Finanzunternehmen erbringen, müssen zudem damit rechnen, dass ihre Kunden verschärfte vertragliche Anforderungen an sie stellen – etwa in Bezug auf Audit-Rechte, Exit-Strategien und Meldepflichten.
Ist TLPT für jedes Finanzunternehmen verpflichtend?
Nein, TLPT ist nicht für alle Finanzunternehmen verpflichtend. Die zuständigen Behörden bestimmen, welche Institute aufgrund ihrer Systemrelevanz, Größe und Risikoprofil TLPT durchführen müssen. In Deutschland orientiert sich dies an den TIBER-DE-Kriterien. Grundsätzlich richtet sich die Pflicht an größere, systemrelevante Institute. Alle anderen Finanzunternehmen müssen jedoch ein risikobasiertes Testprogramm mit regelmäßigen Penetrationstests unterhalten.
Welche Kosten entstehen durch die DORA-Umsetzung?
Die Kosten variieren erheblich je nach Größe, Komplexität und bestehendem Reifegrad des Unternehmens. Für kleinere Institute beginnen die Kosten für eine Gap-Analyse und grundlegende Anpassungen typischerweise im mittleren fünfstelligen Bereich. Für größere Institute mit umfangreichen IKT-Landschaften und TLPT-Pflichten können die Kosten in den sechsstelligen Bereich oder darüber hinaus gehen. Eine frühzeitige Bestandsaufnahme hilft, die Kosten realistisch zu planen.
Wie wirkt sich DORA auf bestehende Auslagerungsvereinbarungen aus?
Bestehende Auslagerungsvereinbarungen mit IKT-Drittdienstleistern müssen auf Konformität mit den DORA-Anforderungen überprüft und gegebenenfalls nachverhandelt werden. DORA verlangt spezifische Vertragsklauseln zu Audit-Rechten, Datensicherheit, Service-Level-Vereinbarungen, Exit-Strategien und der Verpflichtung zur Zusammenarbeit mit Aufsichtsbehörden. Ein vollständiges Register aller IKT-Drittanbietervereinbarungen muss erstellt und aktuell gehalten werden.
Welche Sanktionen drohen bei Nichteinhaltung von DORA?
DORA sieht wirksame, verhältnismäßige und abschreckende Sanktionen vor. Bei juristischen Personen können Bußgelder bis zu 2 % des weltweiten Jahresumsatzes verhängt werden. Für natürliche Personen beträgt die Obergrenze 1.000.000 EUR. Darüber hinaus können die Aufsichtsbehörden weitere Verwaltungsmaßnahmen ergreifen, wie öffentliche Bekanntmachungen, die Untersagung bestimmter Tätigkeiten oder die Anordnung konkreter Abhilfemaßnahmen.

Fazit und nächste Schritte

DORA ist für den deutschen Finanzsektor keine ferne Zukunftsvision, sondern geltendes Recht. Finanzunternehmen, die noch nicht mit der systematischen Umsetzung begonnen haben, sollten jetzt handeln. Die Anforderungen an IKT-Risikomanagement, Incident Reporting, Resilience Testing und Drittparteienmanagement sind umfassend und erfordern eine strukturierte Herangehensweise. Ein integrierter Ansatz, der DORA gemeinsam mit bestehenden MaRisk-Anforderungen adressiert, vermeidet Doppelarbeit und schafft nachhaltige Compliance-Strukturen.

Auf IT-Audit Directory finden Sie qualifizierte Berater und Auditoren mit nachgewiesener Expertise in DORA, MaRisk, BAIT und der gesamten regulatorischen Landschaft für Finanzdienstleister. Durchsuchen Sie unser Verzeichnis nach DORA-Spezialisten in Ihrer Nähe, informieren Sie sich über unsere MaRisk/BAIT-Audit-Dienste oder fordern Sie direkt ein unverbindliches Angebot an.

Empfohlene Auditoren für DORA Compliance

Protiviti Deutschland
Protiviti Deutschland
Frankfurt am Main
Kleeberg & Partner
Kleeberg & Partner
Muenchen
DHPG
DHPG
Koeln
Securance-iAP GmbH
Securance-iAP GmbH
Frankfurt am Main

IT-Auditor gesucht?

Vergleichen Sie Auditoren und fordern Sie kostenlos ein unverbindliches Angebot über IT-Audit Directory an.

Auditoren anzeigen