Zum Inhalt springen

DORA Quick-Start

In 30 Tagen DORA-konform starten.

Ein praxisnaher Einstieg für Compliance-Offiziere, Risikomanager und IT-Sicherheitsverantwortliche in deutschen Finanzinstituten.

Hinweis: Diese Seite stellt eine originäre Zusammenstellung praktischer Umsetzungshinweise für DORA dar. Sie dient ausschließlich der internen Strukturierung und Planung und erhebt keinen Anspruch auf Vollständigkeit oder Rechtsverbindlichkeit. Es wird keine Rechtsberatung angeboten.

Management-Zusammenfassung

  • Tag 1–7: Selbstbewertung durchführen — Ist Ihr Institut Essential oder Important Entity?
  • Tag 8–14: Kritische Funktionen identifizieren — Welche Prozesse sind bei Stoerung geschaeftskritisch?
  • Tag 15–21: IKT-Risikoinventar aufbauen — Bestandsaufnahme der Systeme, Dienstleister und Abhängigkeiten.
  • Tag 22–28: Testprogramm-Roadmap erstellen — Resilienztests für 2026 planen und budgetieren.
  • Tag 29–30: Governance-Dokumentation — Leitungsorgan informieren, Rollen klaeren, Erste Maßnahmen priorisieren.

Essential vs. Important Entity: Selbstbewertung

Die DORA unterscheidet zwischen Essential und Important Entities mit unterschiedlichen Anforderungen. Diese Schnellbewertung hilft bei der Ersteinstufung.

Essential Entity

Trifft zu, wenn:

  • Kreditinstitut mit Bilanzsumme > 30 Mrd. EUR
  • Versicherung mit Prämien > 10 Mrd. EUR
  • Kritische Marktinfrastruktur (CSD, CCP)
  • Signifikante Systemrelevanz (BaFin-Einstufung)

Anforderungen: Vollständiger DORA-Bezug, TLPT alle 3 Jahre, umfassendes IKT-Risikomanagement

Important Entity

Trifft zu, wenn:

  • Kleinere Kreditinstitute (unter Thresholds)
  • Wertpapierfirmen und Zahlungsinstitute
  • Kleinere Versicherungen und Rückversicherer
  • Krypto-Asset-Dienstleister

Anforderungen: Proportionalität angewendet, TLPT fakultativ, grundlegendes IKT-Risikomanagement

Kritische vs. Wichtige Funktionen: Einordnungshilfe

Die Unterscheidung bestimmt die Intensität der Resilienzanforderungen.

Merkmal Kritische Funktion (kwF) Wichtige Funktion
Stoerungsauswirkung Unterbrechung wirkt sich auf EU-weite Finanzstabilität aus Betrachtliches Risiko für Institut, keine systemische Bedrohung
Wiederanlaufzeit (RTO) Maximal 2 Stunden für Kernfunktionen Bis zu 24 Stunden akzeptabel
Testfrequenz Jährliche Tests, TLPT alle 3 Jahre Test nach Risikobewertung, kein TLPT-Zwang
Meldeanforderungen Sofortige Meldung (bis 4h), detaillierte Folgemeldung Standardmeldung (24h), weniger detailliert

5 Quick Wins für Q2 2026

Diese Maßnahmen zeigen schnell Wirkung und schaffen Grundlage für umfassende DORA-Konformität.

1

IKT-Risikoinventar anlegen

Erfassen Sie alle kritischen Systeme, Dienstleister und Abhängigkeiten in einer strukturierten Liste. Priorisieren Sie nach Geschäftswirkung.

Aufwand: 3–5 Tage
2

Drittparteien-Risiko bewerten

Identifizieren Sie kritische IKT-Dienstleister. Überprüfen Sie Verträge auf DORA-konforme Klauseln. Dokumentieren Sie Einwirkungsmöglichkeiten.

Aufwand: 2–3 Tage
3

Vorfall-Meldeprozess definieren

Legen Sie Verantwortlichkeiten für Major Incidents fest. Definieren Sie Eskalationswege. Testen Sie den Prozess in einer Tischübung.

Aufwand: 1 Tag
4

Testprogramm-Roadmap 2026

Planen Sie Resilienztests für das laufende Jahr. Budgetieren Sie für externe Penetrationstests. Priorisieren Sie kwF-Systeme.

Aufwand: 2–3 Tage
5

Informationsregister vorbereiten

Sammeln Sie Daten für das BaFin-Informationsregister. Dokumentieren Sie regulierte Tätigkeiten. Ordnen Sie EBA-Identifier zu.

Aufwand: 5–7 Tage

Häufige Fragen (FAQ)

Ist DORA für mein Institut verbindlich?

DORA ist seit 17. Januar 2025 für alle in der EU regulierten Finanzinstitute verbindlich. Das umfasst Kreditinstitute, Versicherungen, Zahlungsinstitute, Wertpapierfirmen, Krypto-Asset-Dienstleister und weitere. Selbst kleine Institute fallen unter den Anforderungen, koennen diese jedoch proportional anwenden.

Was ist der Unterschied zu MaRisk?

MaRisk bleibt die nationale aufsichtsrechtliche Grundlage für deutsche Institute. DORA ergänzt diese auf EU-Ebene mit spezifischen IKT-Resilienz-Anforderungen. Beide sind zu beachten — wir haben die wichtigsten Überschneidungen und Ergänzungen in unseren MaRisk-DORA-Mappings dokumentiert.

Muss ich einen TLPT durchführen?

Threat-Led Penetration Tests (TLPT) sind für Essential Entities alle 3 Jahre verpflichtend. Important Entities müssen keine TLPT durchführen, sollten jedoch angemessene Resilienztests (z.B. Penetrationstests, Red Team Exercises) implementieren. Die genauen Anforderungen haengen von Ihrer Einstufung und den kritischen Funktionen ab.

Was passiert bei Nicht-Einhaltung?

Die BaFin kann bei DORA-Verstoessen alle nach nationalem Recht vorgesehenen Maßnahmen ergreifen, einschließlich Anordnungen, Auflagen und Geldbussen. Die genauen Sanktionen richten sich nach dem MaRisk-Sanktionenregime. Ein proaktives, dokumentiertes DORA-Umsetzungsprogramm zeigt Aufsichtsbereitschaft und mindert Risiken.

Welche Rolle spielt ISO 27001?

ISO/IEC 27001:2022 unterstuetzt die DORA-Compliance, ersetzt sie aber nicht. Ein bestehendes ISMS bietet eine gute Grundlage für IKT-Risikomanagement, Incident Management und Security Controls. Wir haben in unserer Plattform Kontrollmappings zwischen ISO 27001 und DORA hinterlegt, die zeigen, welche ISO-Kontrollen DORA-Anforderungen abdecken.