DORA Readiness: TPRM, Testing, Incident, Reporting

Marcel Rieger

Managing Director, Cyber Risk

DORA – der Digital Operational Resilience Act – gilt seit dem 17. Januar 2025 für alle Unternehmen im EU-Finanzsektor. Kreditinstitute, Zahlungsdienstleister, Wertpapierfirmen, Versicherungen, Fondsmanager, Krypto-Dienstleister und ihre wesentlichen IKT-Drittanbieter sind betroffen. Die Anforderungen gehen deutlich über NIS2 hinaus – und die Aufsichtsbehörden beginnen bereits mit der Überprüfung.

Was DORA konkret fordert

IKT Risiko Management: Ein vollständiges, dokumentiertes Framework für IKT-Risiken – von der Identifikation über die Bewertung bis zur Behandlung und dem Monitoring. Mehr als ein Risikoregister: ein operatives System, das im Alltag gelebt wird.

Third-Party Risk Management (TRPM): Systematische Bewertung aller wesentlichen IKT-Drittanbieter. Vertragsanforderungen, Konzentrationsrisiken (was passiert wenn dieser Anbieter ausfällt?), Ausstiegsstrategien. Die EBA-Leitlinien dazu sind detailliert.

Incident Management und Reporting: Klassifizierung und Meldung schwerwiegender IKT-Vorfälle an die zuständige Aufsichtsbehörde – mit definierten Fristen und Meldeinhalten.

Digital Resilience Testing: Regelmäßige Tests der Widerstandsfähigkeit – von einfachen Vulnerability Scans über Penetrationstests bis zu Threat-Led Penetration Testing (TLPT) für systemrelevante Institute. TLPT basiert auf dem TIBER-EU-Framework und ist hochspezialisiert.

Was wir für Sie tun

Gap-Analyse gegen alle DORA-Anforderungen. Aufbau des TPRM-Frameworks und der Vertragsstruktur. Incident-Management-Prozess und Meldeketten für die Aufsichtsbehörde. Vulnerability Assessment und Penetrationstest-Programm. Vollständige Evidence-Dokumentation.

Was DORA von klassischen Compliance-Programmen unterscheidet: Der Detailgrad der operativen Anforderungen ist deutlich höher als bei NIS2 oder ISO 27001. DORA kennt keine kleinen Ausnahmen für kleine Institute – wer in den Scope fällt, muss alle Anforderungen erfüllen. Und die EBA überwacht aktiv.

Wir haben DORA-Expertise aus der Praxis – für Banken, Zahlungsdienstleister und Versicherungen. Sprechen Sie uns an.

Was die häufigsten DORA-Lücken in der Praxis sind: fehlende TPRM-Prozesse für Cloud-Anbieter, unzureichende Incident-Klassifizierung, und fehlende Übungshistorie für Resilience Testing. Genau diese drei Bereiche addressieren wir als erstes. Darüber hinaus helfen wir Ihnen beim Aufbau des TPRM-Frameworks speziell für Cloud-Anbieter und IKT-Dienstleister – der Bereich, der bei DORA-Prüfungen am häufigsten zu Beanstandungen führt. DORA ist anspruchsvoll – aber mit dem richtigen Partner strukturiert gut umsetzbar. Buchen Sie ein kostenloses Erstgespräch.