DORA Quick-Start
In 30 Tagen DORA-konform starten.
Ein praxisnaher Einstieg für Compliance-Offiziere, Risikomanager und IT-Sicherheitsverantwortliche in deutschen Finanzinstituten.
Hinweis: Diese Seite stellt eine originäre Zusammenstellung praktischer Umsetzungshinweise für DORA dar. Sie dient ausschließlich der internen Strukturierung und Planung und erhebt keinen Anspruch auf Vollständigkeit oder Rechtsverbindlichkeit. Es wird keine Rechtsberatung angeboten.
Management-Zusammenfassung
- Tag 1–7: Selbstbewertung durchführen — Ist Ihr Institut Essential oder Important Entity?
- Tag 8–14: Kritische Funktionen identifizieren — Welche Prozesse sind bei Stoerung geschaeftskritisch?
- Tag 15–21: IKT-Risikoinventar aufbauen — Bestandsaufnahme der Systeme, Dienstleister und Abhängigkeiten.
- Tag 22–28: Testprogramm-Roadmap erstellen — Resilienztests für 2026 planen und budgetieren.
- Tag 29–30: Governance-Dokumentation — Leitungsorgan informieren, Rollen klaeren, Erste Maßnahmen priorisieren.
Essential vs. Important Entity: Selbstbewertung
Die DORA unterscheidet zwischen Essential und Important Entities mit unterschiedlichen Anforderungen. Diese Schnellbewertung hilft bei der Ersteinstufung.
Trifft zu, wenn:
- Kreditinstitut mit Bilanzsumme > 30 Mrd. EUR
- Versicherung mit Prämien > 10 Mrd. EUR
- Kritische Marktinfrastruktur (CSD, CCP)
- Signifikante Systemrelevanz (BaFin-Einstufung)
Anforderungen: Vollständiger DORA-Bezug, TLPT alle 3 Jahre, umfassendes IKT-Risikomanagement
Trifft zu, wenn:
- Kleinere Kreditinstitute (unter Thresholds)
- Wertpapierfirmen und Zahlungsinstitute
- Kleinere Versicherungen und Rückversicherer
- Krypto-Asset-Dienstleister
Anforderungen: Proportionalität angewendet, TLPT fakultativ, grundlegendes IKT-Risikomanagement
Kritische vs. Wichtige Funktionen: Einordnungshilfe
Die Unterscheidung bestimmt die Intensität der Resilienzanforderungen.
| Merkmal | Kritische Funktion (kwF) | Wichtige Funktion |
|---|---|---|
| Stoerungsauswirkung | Unterbrechung wirkt sich auf EU-weite Finanzstabilität aus | Betrachtliches Risiko für Institut, keine systemische Bedrohung |
| Wiederanlaufzeit (RTO) | Maximal 2 Stunden für Kernfunktionen | Bis zu 24 Stunden akzeptabel |
| Testfrequenz | Jährliche Tests, TLPT alle 3 Jahre | Test nach Risikobewertung, kein TLPT-Zwang |
| Meldeanforderungen | Sofortige Meldung (bis 4h), detaillierte Folgemeldung | Standardmeldung (24h), weniger detailliert |
5 Quick Wins für Q2 2026
Diese Maßnahmen zeigen schnell Wirkung und schaffen Grundlage für umfassende DORA-Konformität.
IKT-Risikoinventar anlegen
Erfassen Sie alle kritischen Systeme, Dienstleister und Abhängigkeiten in einer strukturierten Liste. Priorisieren Sie nach Geschäftswirkung.
Drittparteien-Risiko bewerten
Identifizieren Sie kritische IKT-Dienstleister. Überprüfen Sie Verträge auf DORA-konforme Klauseln. Dokumentieren Sie Einwirkungsmöglichkeiten.
Vorfall-Meldeprozess definieren
Legen Sie Verantwortlichkeiten für Major Incidents fest. Definieren Sie Eskalationswege. Testen Sie den Prozess in einer Tischübung.
Testprogramm-Roadmap 2026
Planen Sie Resilienztests für das laufende Jahr. Budgetieren Sie für externe Penetrationstests. Priorisieren Sie kwF-Systeme.
Informationsregister vorbereiten
Sammeln Sie Daten für das BaFin-Informationsregister. Dokumentieren Sie regulierte Tätigkeiten. Ordnen Sie EBA-Identifier zu.
DORA Resource Hub
Alle wichtigen Ressourcen für Ihre DORA-Umsetzung auf einen Blick.
Häufige Fragen (FAQ)
Ist DORA für mein Institut verbindlich?
DORA ist seit 17. Januar 2025 für alle in der EU regulierten Finanzinstitute verbindlich. Das umfasst Kreditinstitute, Versicherungen, Zahlungsinstitute, Wertpapierfirmen, Krypto-Asset-Dienstleister und weitere. Selbst kleine Institute fallen unter den Anforderungen, koennen diese jedoch proportional anwenden.
Was ist der Unterschied zu MaRisk?
MaRisk bleibt die nationale aufsichtsrechtliche Grundlage für deutsche Institute. DORA ergänzt diese auf EU-Ebene mit spezifischen IKT-Resilienz-Anforderungen. Beide sind zu beachten — wir haben die wichtigsten Überschneidungen und Ergänzungen in unseren MaRisk-DORA-Mappings dokumentiert.
Muss ich einen TLPT durchführen?
Threat-Led Penetration Tests (TLPT) sind für Essential Entities alle 3 Jahre verpflichtend. Important Entities müssen keine TLPT durchführen, sollten jedoch angemessene Resilienztests (z.B. Penetrationstests, Red Team Exercises) implementieren. Die genauen Anforderungen haengen von Ihrer Einstufung und den kritischen Funktionen ab.
Was passiert bei Nicht-Einhaltung?
Die BaFin kann bei DORA-Verstoessen alle nach nationalem Recht vorgesehenen Maßnahmen ergreifen, einschließlich Anordnungen, Auflagen und Geldbussen. Die genauen Sanktionen richten sich nach dem MaRisk-Sanktionenregime. Ein proaktives, dokumentiertes DORA-Umsetzungsprogramm zeigt Aufsichtsbereitschaft und mindert Risiken.
Welche Rolle spielt ISO 27001?
ISO/IEC 27001:2022 unterstuetzt die DORA-Compliance, ersetzt sie aber nicht. Ein bestehendes ISMS bietet eine gute Grundlage für IKT-Risikomanagement, Incident Management und Security Controls. Wir haben in unserer Plattform Kontrollmappings zwischen ISO 27001 und DORA hinterlegt, die zeigen, welche ISO-Kontrollen DORA-Anforderungen abdecken.