DORA · VO (EU) 2022/2554 · anwendbar seit 2025-01-17

DORA: Resilienz wird gemessen, nicht erklärt.

DORA verlangt von Finanzunternehmen nachweisbare digitale operationale Resilienz: ICT-Risiko in der Verantwortung des Vorstands, schwerwiegende Vorfälle in Stunden gemeldet, Tests entlang der realen Bedrohung. Ein Angriff auf den Finanzsektor ist kein Bilanzereignis: Es ist jemand, mit Namen und bekannten TTPs.

4hErstmeldung
72hZwischenbericht
1 MonatAbschlussbericht
Regulatorischer Rahmen
VO (EU) 2022/2554
RTS 2025/301
TIBER-EU
ESAs · EBA · ESMA · EIOPA
Aufsicht Deutschland
BaFin
Bundesbank
Die fünf DORA-Säulen

Fünf Pflichten, eine implizite Anforderung: operative Fähigkeit.

DORA verlangt keine Policies: Sie verlangt, dass Sie erkennen, klassifizieren, melden, testen und überwachen. Jede Säule setzt einen Betrieb voraus, der tatsächlich funktioniert, 24·7·365.

01 ·

ICT-Risikomanagement

Ein dokumentiertes ICT-Risikoframework, vom Leitungsorgan genehmigt: die Verantwortung liegt beim Vorstand, nicht nur bei der IT. Asset-Mapping, Schutz, Detection, Response und Recovery.

02 ·

Vorfallsmeldung

Klassifizierung von ICT-Vorfällen und Meldung schwerwiegender Vorfälle an die Aufsicht: 4 Stunden ab Einstufung, Zwischenbericht nach 72 Stunden, Abschlussbericht innerhalb 1 Monats. Harmonisierte Templates (RTS 2025/301).

03 ·

Resilienz-Tests

Ein risikoproportionales Testprogramm, bis hin zu TIBER-EU-basierten TLPT mindestens alle 3 Jahre für bedeutende Unternehmen: Szenarien auf Basis der Akteure, die den Sektor tatsächlich angreifen.

04 ·

ICT-Drittparteirisiko

Register der ICT-Verträge, Pflichtklauseln, Exit-Strategien, direkte europäische Aufsicht über kritische Anbieter. Die Resilienz Ihres Anbieters wird Teil Ihrer eigenen.

05 ·

Informationsaustausch

Freiwilliger Austausch von Cyber Threat Intelligence zwischen Finanzunternehmen: IOCs, TTPs, Sektor-Alerts. Sektorverteidigung ist kollektiv, oder sie ist keine.

Proof · die Zeiten, die DORA voraussetzt

In 4 Stunden melden heißt in Minuten erkennen.

4h
Erstmeldung ab Einstufung
(≤24h ab Entdeckung)
<15 Min.
medianer TTD Fortgale
von Telemetrie zu Alert
<30 Min.
medianer TTC Fortgale
von Detection zu Analystenaktion
287
verfolgte Angreifergruppen
und Angriffswerkzeuge in der CTI
Anwendungsbereich

Wer unter DORA fällt.

Mehr als 20 Kategorien von Finanzunternehmen: Banken, Wertpapierfirmen, Versicherer und Rückversicherer, Zahlungs- und E-Geld-Institute, Fondsverwalter, Handelsplätze, Krypto-Dienstleister sowie benannte kritische ICT-Anbieter. Anders als NIS2 ist DORA eine Verordnung: EU-weit identisch, ohne nationale Umsetzung, anwendbar seit dem 17. Januar 2025.

FAQ

Häufige Fragen zu DORA.

Wer fällt unter die DORA-Verordnung?

Finanzunternehmen in der EU: Banken, Wertpapierfirmen, Versicherer, Zahlungs- und E-Geld-Institute, Fondsverwalter, Handelsplätze, Krypto-Dienstleister sowie benannte kritische ICT-Anbieter. In Deutschland liegt die Aufsicht bei der BaFin, gemeinsam mit den ESAs (EBA, ESMA, EIOPA).

Welche Meldefristen gelten bei Vorfällen?

Drei Stufen (RTS 2025/301): Erstmeldung innerhalb von 4 Stunden nach Einstufung als schwerwiegend, spätestens 24 Stunden nach Entdeckung; Zwischenbericht innerhalb von 72 Stunden; Abschlussbericht innerhalb von 1 Monat mit vollständiger Root-Cause-Analyse.

Ersetzt DORA die NIS2 für Banken?

DORA ist lex specialis: Bei den abgedeckten Pflichten (ICT-Risiko, Meldung, Tests) geht sie der NIS2 für Finanzunternehmen vor. Nicht-finanzielle Zulieferer bleiben im NIS2-Perimeter.

Was sind TLPT?

Threat-Led Penetration Tests auf dem TIBER-EU-Framework: Szenarien auf Basis der Akteure und TTPs, die Ihren Sektor tatsächlich angreifen. Mindestens alle 3 Jahre für bedeutende Unternehmen. Ihre Qualität hängt von der Threat Intelligence dahinter ab.

Ist DORA bereits in Kraft?

Ja, seit dem 17. Januar 2025, in allen Mitgliedstaaten und ohne nationale Umsetzung. Auch die technischen Standards zu Meldung, Tests und Drittparteien sind operativ.

Wo anfangen

Den Angreifer zu kennen ist der erste Akt der Verteidigung. Ihn rechtzeitig zu stoppen der zweite.

Ein DORA-Assessment klärt die Distanz zwischen Ihrer operativen Fähigkeit und der, die die Verordnung voraussetzt. Europäisches SOC mit Sitz in Mailand seit 2017, 24·7·365: Antwort innerhalb eines Werktags.

Antwortzeit: < 1 Werktag.