DORA in der Praxis: Erste Erfahrungen aus dem Finanzsektor

1 Min. Lesezeit

DORA ist seit dem 17. Januar 2025 vollständig anwendbar. Nach den ersten Monaten zeigt sich: Die technischen Anforderungen an ICT-Risikomanagement, Testing und Drittparteien-Kontrolle sind komplex – aber der größte Engpass ist oft nicht die Technik, sondern die Governance und die Drittparteien-Verträge.

Das Wichtigste in Kürze

DORA seit Januar 2025 verbindlich: Alle Finanzinstitute in der EU unterliegen den Anforderungen.
5 Säulen: ICT-Risikomanagement, Incident-Reporting, Resilience Testing, Third-Party-Management, Information Sharing.
Drittparteien-Management ist der größte Stolperstein: Verträge mit ICT-Dienstleistern müssen DORA-Klauseln enthalten.
TLPT für systemrelevante Institute: Threat-Led Penetration Testing – aufwändiger und teurer als klassische Pentests.
Überschneidungen mit NIS2: NIS2-konforme Unternehmen haben eine gute Basis, aber DORA geht in Teilen deutlich weiter.

Die 5 DORA-Säulen im Überblick

1. ICT-Risikomanagement: Vollständiges Framework mit Risikopolitik, Asset-Inventar, Schutzmaßnahmen und Monitoring. Nicht nur dokumentiert, sondern gelebt und regelmäßig getestet.

2. ICT-Incident-Reporting: Erhebliche Vorfälle müssen innerhalb von 4 Stunden (Erstwarnung), 24 Stunden (Zwischenbericht) und 1 Monat (Abschlussbericht) an die zuständige Behörde gemeldet werden. Klare Klassifizierungskriterien für „erheblich“ sind Pflicht.

3. Digital Operational Resilience Testing: Jährliche ICT-Testprogramme, für bedeutende Institute zusätzlich Threat-Led Penetration Testing (TLPT) alle 3 Jahre mit zertifizierten externen Testern.

4. ICT Third-Party-Management: Register aller kritischen ICT-Dienstleister, Risikoklassifizierung, Vertragsklauseln (Audit-Rechte, Ausstiegspläne, Subauftragsvergabe), Concentration-Risk-Analyse.

5. Information Sharing: Freiwilliger Austausch von Cyber-Bedrohungsinformationen innerhalb der Finanzbranche – institutionalisiert durch DORA.

Erste Praxiserfahrungen: Was schwieriger ist als erwartet

Drittparteien-Vertragsanpassungen: Tausende bestehende Verträge mit ICT-Dienstleistern müssen DORA-Klauseln erhalten. Viele Anbieter sperren sich gegen Audit-Rechte oder akzeptieren keine DORA-konforme Subauftragsvergaberegelung. Das ist zeitaufwändig und bindet erhebliche Rechts- und Einkaufsressourcen.

Kritikalitätsbewertung: Welche ICT-Dienstleister sind „kritisch“? Die DORA-Kriterien sind klar, die Anwendung in der Praxis weniger. Viele Institute haben 50+ kritische Dienstleister identifiziert – für jeden ein vollständiges DORA-konformes Monitoring aufzubauen übersteigt die Kapazitäten.

TLPT-Vorbereitung: Threat-Led Penetration Testing ist aufwändiger als klassische Pentests. Es erfordert Threat Intelligence über das spezifische Bedrohungsprofil der Institution, einen zertifizierten externen Tester (TIBER-EU-Framework) und monatelange Vorbereitung.

Was gut funktioniert – und was NIS2-Unternehmen können

Unternehmen, die bereits NIS2-compliant sind, haben einen erheblichen Vorteil: ICT-Risikomanagement-Framework, Incident-Response-Prozesse und Third-Party-Monitoring sind bereits vorhanden. DORA erfordert mehr Granularität und spezifischere Testing-Anforderungen, aber das Fundament steht.

Was gut funktioniert: Die Meldeketten für Incidents sind klarer als unter NIS2 alleine – Banken haben jahrelange Erfahrung mit Meldepflichten an BaFin und EBA. Der 4-Stunden-Erstmelde-Takt ist anspruchsvoll, aber technisch mit gut konfigurierten SIEM und On-Call-Prozessen erreichbar.

Key Facts auf einen Blick

DORA Anwendungsdatum: 17. Januar 2025

Betroffene Institute: Über 22.000 Finanzunternehmen in der EU

Erstmelde-SLA: 4 Stunden für erhebliche ICT-Vorfälle

TLPT-Pflicht: Alle 3 Jahre für systemrelevante Institute (TIBER-EU-Framework)

Bußgelder: Bis zu 1% des täglichen weltweiten Umsatzes

Fakt: Durch DORA sind EU-weit über 22.000 Finanzinstitute und ihre kritischen IKT-Dienstleister verpflichtet, digitale Resilienz-Tests durchzuführen – ein regulatorisches Novum.

Fakt: Die BaFin berichtet, dass 38 % der geprüften Institute bei der ersten DORA-Readiness-Prüfung Mängel in den IKT-Risikomanagement-Frameworks aufwiesen.

Häufige Fragen

Für wen gilt DORA?

Für alle EU-regulierten Finanzunternehmen: Banken, Versicherungen, Wertpapierfirmen, Zahlungsdienstleister, Krypto-Asset-Dienstleister und kritische ICT-Drittdienstleister der Finanzbranche.

Was ist der Unterschied zwischen DORA und NIS2?

NIS2 ist ein horizontales Regelwerk für viele Sektoren. DORA ist sektorspezifisch für Finanzen und geht in mehreren Bereichen deutlich weiter: spezifischere Testing-Anforderungen, strengeres Third-Party-Management, direktere Aufsicht kritischer ICT-Drittdienstleister durch ESAs.

Was ist ein kritischer ICT-Drittdienstleister unter DORA?

Anbieter, deren Ausfall einen systemischen Effekt auf den Finanzsektor haben könnte. Kritische ICT-Drittdienstleister werden von ESAs (EBA, EIOPA, ESMA) direkt überwacht – mit eigenen Inspektionsrechten und Bußgeldbefugnis.

Was sind die wichtigsten DORA-Vertragsklauseln?

Ausstiegsklauseln, Audit-Rechte (auch für Subdienstleister), Service Level Agreements für Business Continuity, Datenzugangsrechte im Insolvenzfall, Klauseln zur Subauftragsvergabe und Konzentrations-Risiko-Offenlegung.

Wie hängt DORA mit TIBER-EU zusammen?

TIBER-EU (Threat Intelligence-based Ethical Red Teaming) ist das europäische Framework für Threat-Led Penetration Testing. DORA macht TLPT nach TIBER-EU-Vorgaben für bedeutende Institute zur Pflicht – damit wird TIBER-EU von einem freiwilligen Rahmen zur regulatorischen Anforderung.