DORA
Digital Operational Resilience Act (Verordnung (EU) 2022/2554). EU-weite Verordnung zur digitalen operationalen Resilienz im Finanzsektor. Regelt IKT-Risikomanagement, Vorfälle, Tests, Drittparteien und Informationsregister.
Wissen
Die wichtigsten Begriffe aus DORA, MaRisk, ISO 27001 und der regulatorischen Praxis — kurz, praxisnah und umsetzungsorientiert.
Hinweis: Diese Definitionen sind eigenständig formulierte Umsetzungshilfen. Sie ersetzen keine verbindliche regulatorische Auslegung. Für verbindliche Definitionen konsultieren Sie die jeweiligen Originalquellen (DORA-Verordnung, MaRisk, ISO 27001).
Digital Operational Resilience Act (Verordnung (EU) 2022/2554). EU-weite Verordnung zur digitalen operationalen Resilienz im Finanzsektor. Regelt IKT-Risikomanagement, Vorfälle, Tests, Drittparteien und Informationsregister.
kritisch oder wichtige Funktion. Geschäftsfunktionen, deren Unterbrechung oder Ausfall erhebliche negative Auswirkungen auf das Finanzunternehmen, die Kunden oder die Finanzstabilität hätte. Kernbegriff für Testpflichten und Register.
Dienstleister, die IKT-Dienstleistungen (Hard-, Software, Cloud, Netzwerk, Beratung) für ein Finanzunternehmen erbringen. Unterliegt strengen Vertrags-, Due-Diligence- und Registerpflichten nach DORA Art. 28.
Jährliche Meldung aller IKT-Drittparteienbeziehungen an die Aufsicht (DORA Art. 28). Enthält Vertragsinformationen, Schutzbedarfsklassifizierungen und Unterauftragnehmer. Erste Einreichung 2025, wiederkehrend jedes Jahr im März.
Critical ICT Third-Party Provider. Kritischer IKT-Drittdienstleister, der von den ESAs (EBA, EIOPA, ESMA) designiert wird. Unterliegt Oversight durch Joint Examination Teams (JET). Unternehmen müssen CTPP-Beziehungen im Register gesondert kennzeichnen.
Jeder Vorfall, der die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Netzwerken und Informationssystemen beeinträchtigt. Meldepflichten nach Schweregrad (Major, Significant, etc.) und Fristen.
Threat-Led Penetration Testing. Bedrohungsgeleiteter Penetrationstest für bedeutende Institute und CTPPs nach DORA Art. 26. Simuliert APTs über Wochen/Monate mit Threat Intelligence. Erste Frist: 17. Januar 2028.
Systematische Prüfung der digitalen operationalen Resilienz nach DORA Kapitel IV. Umfasst 12 Testarten mit schutzbedarfsabhängigen Frequenzen.
DORA Art. 24(2): Alle relevanten Testarten müssen innerhalb eines rollierenden 3-Jahres-Zeitraums (36 Monate) mindestens einmal durchgeführt worden sein. Keine Ausnahmen möglich.
page.dora_glossar.term_kf_schutzbedarf_desc
page.dora_glossar.term_red_team_blue_team_purple_team_desc
Threat Intelligence-Based Ethical Red Teaming. EU-weites Framework der EZB für TLPT-Tests. Dient als Methodik-Referenz für DORA-konforme Threat-Led Penetration Tests.
Mindestanforderungen an das Risikomanagement. Zentrale aufsichtsrechtliche Grundlage für deutsche Finanzinstitute. 9. Novelle final (Rundschreiben 06/2026, 30.06.2026).
MaRisk für Wertpapierinstitute. Proportionale Anforderungen für kleine und mittlere Wertpapierinstitute mit Erleichterungen bei Dokumentation und Organisation. Konsultation 05/2026 aktiv.
page.dora_glossar.term_10_marisk_desc
page.dora_glossar.term_at_bt_desc
Information Security Management System. Managementsystem für Informationssicherheit nach ISO/IEC 27001:2022. Kern für systematische Risikosteuerung, Kontrollen, Nachweise und kontinuierliche Verbesserung.
93 Kontrollen in 4 Kategorien (Organisatorisch, Personell, Physikalisch, Technologisch) als Referenzrahmen. Werden mit DORA-Artikeln und MaRisk-Vorschriften gemappt für integrierte Nachweise.
PDCA-Zyklus (Plan-Do-Check-Act) als Grundprinzip des ISMS. Management-Reviews, interne Audits und Korrekturmaßnahmen führen zu ständiger Anpassung und Optimierung der Informationssicherheit.
Bundesanstalt für Finanzdienstleistungsaufsicht. Deutsche Finanzaufsicht, zuständig für DORA-Umsetzung, Informationsregister-Annahme und IKT-Vorfall-Meldehub.
European Banking Authority. Entwickelt technische Regulierungsstandards (RTS) und Leitlinien für DORA, insbesondere zu Tests, IKT-Risikomanagement und CTPP-Oversight.
European Supervisory Authorities (EBA, EIOPA, ESMA). Gemeinsam zuständig für CTPP-Designation, Oversight und Leitlinien unter DORA.
Joint Examination Team. Gemeinsames Prüfteam der ESAs für die Oversight kritischer IKT-Drittdienstleister (CTPPs). Ein JET wird für jeden designierten CTPP eingerichtet.
Netzwerk- und Informationssicherheitsrichtlinie 2. EU-weite Richtlinie für Cybersicherheit. Finanzinstitute fallen unter DORA, nicht NIS2.
Cyber Resilience Act. EU-Verordnung für Cybersicherheit von Produkten mit digitalen Elementen. Betrifft Software-Hersteller und Lieferketten.
page.dora_glossar.term_sast_dast_iast_desc
Common Vulnerabilities and Exposures. Standardisierte Kennung für öffentlich bekannte Sicherheitslücken. Wichtig für Vulnerability Management und Schwachstellen-Tracking.
Rules of Engagement. Formales Dokument, das Umfang, Methoden und Grenzen eines Penetrationstests oder TLPT definiert.
page.dora_glossar.term_aptt_apt_desc