In Kraft seit 17. Januar 2025

DORA-Compliance-Software für Finanzdienstleister

Die Verordnung über digitale operationale Resilienz ist in Kraft. Banken, Fintechs, Zahlungsdienste und Krypto-Anbieter müssen IKT-Resilienz nachweisen — oder Bußgelder bis 10 Mio. € riskieren. ComplyOne ordnet Ihre Pflichten zu und verfolgt Ihre Bereitschaft.

DORA-Bereitschaft kostenlos prüfen

Die 5 Säulen von DORA

DORA strukturiert seine Anforderungen in fünf miteinander verbundene Bereiche. Sie müssen in allen Bereitschaft nachweisen.

01

IKT-Risikomanagement

Ein dokumentierter Rahmen zur Identifizierung, Klassifizierung und Minderung von IKT-Risiken über Ihren gesamten Technologie-Stack.

02

Vorfallsmeldung

Schwerwiegende IKT-Vorfälle müssen innerhalb strikter Fristen gemeldet werden. Erstmeldung: 4 Stunden. Zwischenbericht: 72 Stunden. Abschlussbericht: 1 Monat.

03

Tests der digitalen Resilienz

Jährliche Basistests für alle Einrichtungen. Bedrohungsgesteuerte Penetrationstests (TLPT) alle 3 Jahre für bedeutende Institute.

04

IKT-Drittparteienrisiko

Alle IKT-Dienstleister erfassen, kritische klassifizieren, Sorgfaltsprüfung durchführen und Exit-Strategien pflegen. Cloud-Anbieter eingeschlossen.

05

Informationsaustausch

Teilnahme an Vereinbarungen zum Austausch von Cyberbedrohungsinformationen — freiwillig, aber von Aufsichtsbehörden ausdrücklich empfohlen.

So unterstützt ComplyOne

Wir überführen diese 5 Säulen in eine strukturierte Aufgabenliste mit Fortschrittsverfolgung, Vorlagen und auditfertigem Evidence Locker.

Gilt DORA für Sie?

DORA gilt, wenn Sie eine in der EU regulierte Finanzeinrichtung sind, einschließlich:

  • Banken und Kreditinstitute
  • Zahlungsinstitute und E-Geld-Institute
  • Wertpapierfirmen und Fondsmanager
  • Versicherungs- und Rückversicherungsunternehmen
  • Krypto-Dienstleister (CASPs unter MiCA)
  • Crowdfunding-Plattformen
  • Ratingagenturen
  • Als kritisch eingestufte IKT-Drittdienstleister

Kleinstunternehmen (unter 10 Mitarbeitende, unter 2 Mio. € Umsatz) haben leichtere Anforderungen — sind aber nicht vollständig ausgenommen.

Bußgelder

10 Mio. €

oder 5 % des weltweiten Jahresumsatzes

Für regulierte Finanzeinrichtungen. Plus mögliche Aufsichtsmaßnahmen.

100.000 €/Tag

wiederkehrende Bußgelder

Für kritische IKT-Drittdienstleister, die Verstöße nicht beheben.

DORA-Compliance praktisch angehen: erste Schritte

DORA kann komplex wirken. Die meisten Finanzeinrichtungen erreichen mit strukturiertem Vorgehen in 10–14 Wochen eine solide Basis.

1

Anwendungsbereich klären

DORA gilt für alle in der EU regulierten Finanzeinrichtungen — Banken, Zahlungsdienste, Wertpapierfirmen, Krypto-Anbieter, Versicherer und mehr. Kleinstunternehmen (unter 10 Mitarbeitende, unter 2 Mio. € Umsatz) haben vereinfachte Pflichten, sind aber nicht ausgenommen.

2

IKT-Risikorahmen aufbauen

Dokumentieren Sie Ihre IKT-Governance: wer trägt Technologierisiko, wie wird Risiko bewertet und welche Kontrollen sind etabliert. DORA verlangt einen formalen IKT-Risikomanagementrahmen, der vom Leitungsorgan genehmigt ist.

3

IKT-Asset- und Drittparteienregister erstellen

Listen Sie jedes System, jede Anwendung und jeden Cloud-/SaaS-Anbieter, der Ihre kritischen oder wichtigen Funktionen unterstützt. Dokumentieren Sie für jeden Risiko, Vertragsbedingungen und — für kritische Anbieter — Ihre Exit-Strategie.

4

Vorfallsklassifizierung und -meldung einrichten

Legen Sie fest, welche Ereignisse als schwerwiegende IKT-Vorfälle nach DORA-Klassifizierungskriterien gelten, und bauen Sie den internen Prozess für die 4-Stunden-Erstmeldung, den 72-Stunden-Zwischenbericht und den 1-Monats-Abschlussbericht auf.

5

Digitale Resilienztests planen

Alle Einrichtungen müssen jährlich Basistests durchführen (Schwachstellenbewertungen, szenariobasierte Tests). Bedeutende Institute müssen alle drei Jahre bedrohungsgesteuerte Penetrationstests (TLPT) mit akkreditierten Testern durchführen.

DORA-Lücke in 5 Minuten erkennen

Kostenloser Compliance-Check. Keine Kreditkarte. Sehen Sie Ihre IKT-Risikolage — bevor es Ihre Aufsichtsbehörde tut.

Kostenlosen DORA-Check starten

DORA — FAQ

Für wen gilt DORA?

DORA gilt für eine breite Palette in der EU regulierter Finanzeinrichtungen: Banken, Versicherungen, Wertpapierfirmen, Zahlungsinstitute, E-Geld-Institute, Krypto-Dienstleister (CASPs), Crowdfunding-Plattformen und mehr. Es gilt auch direkt für IKT-Drittdienstleister, die für diese Einrichtungen als kritisch eingestuft sind.

Wann ist DORA in Kraft getreten?

DORA ist seit dem 17. Januar 2025 vollständig anwendbar. Es gibt keine Übergangsfristen — Finanzeinrichtungen mussten ab diesem Datum compliant sein. Die Aufsichtsbehörden bewerten nun aktiv die Einhaltung.

Welche Strafen drohen bei DORA-Verstößen?

Finanzeinrichtungen können mit Bußgeldern bis zu 10 Mio. € oder 5 % des weltweiten Jahresumsatzes belegt werden — je nachdem, was höher ist. Kritische IKT-Drittdienstleister bis zu 5 Mio. € oder 1 % des durchschnittlichen täglichen weltweiten Umsatzes — und wiederkehrende Bußgelder von bis zu 100.000 € pro Tag.

Was ist der Unterschied zwischen DORA und NIS2?

NIS2 ist eine allgemeine Cybersicherheitsrichtlinie für viele Sektoren. DORA ist sektorspezifisch für Finanzdienstleistungen und geht bei IKT-Resilienz deutlich tiefer — einschließlich Testanforderungen (TLPT), detaillierter Vorfallsklassifizierung und Aufsicht über kritische IKT-Drittdienstleister.

Wir nutzen mehrere Cloud-Anbieter und SaaS-Tools. Was verlangt DORA?

DORA verlangt, ein Register aller IKT-Drittparteienabhängigkeiten zu pflegen, Risikobewertungen kritischer Anbieter durchzuführen, Exit-Strategien zu sichern und — für kritische Anbieter — am direkten EU-Aufsichtsrahmen teilzunehmen. ComplyOne strukturiert all dies in ein prüfbares Register.

Was verlangt DORA für Verträge mit IKT-Drittdienstleistern?

DORA schreibt spezifische Vertragsbestimmungen mit IKT-Drittdienstleistern vor — Auditrechte, vereinbarte Service-Level, Meldepflichten bei Vorfällen, Kündigungsrechte und Subkontroll-Kontrollen. Für kritische oder wichtige Funktionen müssen Verträge zusätzlich Bestimmungen zur Geschäftskontinuität und Exit-Strategien enthalten. Bestehende vor Januar 2025 unterzeichnete Verträge müssen bei Verlängerung angepasst werden.

Wie steht DORAs Vorfallsmeldung im Verhältnis zur DSGVO?

Die Fristen laufen parallel: DORA verlangt die Erstmeldung eines schwerwiegenden IKT-Vorfalls an Ihre Finanzaufsicht innerhalb von 4 Stunden. Die DSGVO verlangt die Meldung einer Verletzung personenbezogener Daten an Ihre Datenschutzbehörde innerhalb von 72 Stunden. Betrifft ein Vorfall sowohl IKT-Störung als auch personenbezogene Daten, gelten beide Fristen gleichzeitig — oft mit unterschiedlichen Berichten an unterschiedliche Behörden zu unterschiedlichen Terminen. ComplyOne verfolgt beides in einem einzigen Vorfalls-Workflow.

Verwandte Compliance-Bereiche

EU-Compliance für Fintech NIS2-Compliance DSGVO-Compliance AML- & KYC-Compliance