Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

DORA-Compliance Beratung

DORA-Compliance:
Aus einer Hand,
auf Festpreisbasis

DORA gilt seit dem 17. Januar 2025. Wir begleiten Finanzunternehmen von der Gap-Analyse über den Aufbau des IKT-Risikomanagements bis zum jährlichen Penetrationstest nach Art. 25 - alles aus einer Hand, transparent kalkuliert.

Kostenlose Erstberatung +49 209 8830 6760
ISO 27001 zertifiziert Festpreis-Garantie DORA-Expertise seit 2024

AWARE7 DORA-Leistungen

Art. 5-16
Gap-Analyse & IKT-Risikomanagement
Vollständige Bestandsaufnahme und Maßnahmenplan
Art. 17-23
Vorfallsmanagement & Meldeprozesse
4-Stunden- und 72-Stunden-Meldeprozesse etablieren
Art. 24-27
Resilienztesting & TLPT
Jährliche Pentests und TIBER-EU Red-Team-Tests
Art. 28-44
Drittparteienregister & Vertragsanalyse
Register aufbauen, Verträge auf DORA-Klauseln prüfen

Diese Unternehmen vertrauen uns

Sicherheitsanalysen durchgeführt
Jahre Erfahrung
bis zum Festpreisangebot
festangestellte Experten

Unsere Leistungen

Die 5 DORA-Säulen - unsere Leistungen im Mapping

Jede DORA-Anforderung erfordert spezifisches Know-how. Wir decken alle fünf Säulen mit konkreten Beratungsleistungen ab - aus einer Hand.

Art. 5-16

IKT-Risikomanagement

Aufbau oder Erweiterung des IKT-Risikomanagementrahmens nach Art. 5-16: Asset-Inventar, Risikobewertungsverfahren, Schutzmaßnahmen und Vorstandsverankerung. Für ISO-27001-Organisationen: effizientes Delta-Mapping auf DORA-Spezifika.

  • + Gap-Analyse
  • + Asset-Inventar
  • + Risikomanagementrahmen
  • + Business Continuity Plan
Art. 17-23

Vorfallsmeldung

Entwicklung und Implementierung vollständiger Vorfallsklassifizierungs- und Meldeprozesse, die die 4-Stunden-Erstmeldung und 72-Stunden-Zwischenberichtspflicht an die BaFin sicherstellen. Inklusive EBA-RTS-konformer Meldetemplates und Eskalationsmatrizen.

  • + Klassifizierungsverfahren
  • + 4h/72h Meldeprozesse
  • + BaFin-Reporting-Templates
  • + SIEM-Integration (optional)
Art. 24-27

Resilienztesting

Jährliche Penetrationstests und Vulnerability Assessments nach Art. 25 DORA für alle betroffenen Finanzunternehmen. Für bedeutende Institute: Vorbereitung und Durchführung von Threat-Led Penetration Tests (TLPT) nach TIBER-EU mit OSCP-zertifizierten Testern.

  • + Jährliche Penetrationstests
  • + Vulnerability Assessments
  • + TLPT nach TIBER-EU
  • + Aufsichtskoordination
Art. 28-44

IKT-Drittparteienrisiken

Vollständiger Aufbau des IKT-Drittparteienregisters nach Art. 28: Erfassung aller Dienstleister, Kritikalitätseinstufung, Konzentrationsrisikoanalyse. Vertragsanalyse auf DORA-Mindestklauseln nach Art. 30 und Entwicklung von Mustervertragsklauseln.

  • + Drittparteienregister (Art. 28)
  • + Vertragsanalyse (Art. 30)
  • + Konzentrationsrisikoanalyse
  • + Exit-Strategie-Templates
Art. 45

Informationsaustausch

Beratung zum DORA-konformen Aufbau oder Beitritt zu Threat-Intelligence-Sharing-Gemeinschaften nach Art. 45. Datenschutzkonforme Gestaltung des Informationsaustauschs und Anbindung an bestehende ISACs des Finanzsektors.

  • + ISAC-Beitrittsberatung
  • + Datenschutz-konforme Prozesse
  • + Threat-Intelligence-Integration
  • + Vertraulichkeitsrahmen
Alle Artikel

Management-Training

DORA verpflichtet das Leitungsorgan zur persönlichen Verantwortung für das IKT-Risikomanagement und zum Nachweis entsprechender Kenntnisse. Wir bieten kompakte DORA-Schulungen für Vorstand und Geschäftsleitung - praxisnah und ohne unnötige Theorie.

  • + DORA-Überblick für Führungskräfte
  • + Haftungsszenarien
  • + Aufsichtskommunikation
  • + Dokumentationspflichten

Unser Vorgehen

Unser DORA-Beratungsansatz in 4 Schritten

Strukturiert, transparent und mit klären Meilensteinen - so führen wir Sie zur nachweisbaren DORA-Compliance. Alle Schritte sind auf Festpreisbasis kalkulierbar.

01

Betroffenheits­analyse

Klärung Ihrer DORA-Kategorie nach Art. 2, Umfang der geltenden Anforderungen und Prüfung der Verhältnismäßigkeitsregelungen für Ihr Unternehmen. Ergebnis: eindeutige Einordnung und Priorisierung.

Dauer: 1-2 Tage
02

Gap-Analyse

Strukturierter Abgleich aller bestehenden IKT-Risikomanagement-Maßnahmen, Vorfallsprozesse und Drittparteienverträge gegen sämtliche DORA-Anforderungen. Ergebnis: priorisierter Maßnahmenplan.

Dauer: 5-10 Tage
03

Drittparteien-Register

Vollständiger Aufbau des IKT-Drittparteienregisters nach Art. 28: alle Dienstleister erfassen, Kritikalität einstufen, Verträge auf DORA-Konformität prüfen, Konzentrationsrisiken identifizieren.

Dauer: 3-8 Tage
04

Penetration Testing Art. 25

Durchführung der jährlichen Resilienztests nach Art. 25 DORA. Für bedeutende Institute: Vorbereitung und Koordination des TLPT-Prozesses nach TIBER-EU inkl. Abstimmung mit der BaFin.

Dauer: jährlich / alle 3 Jahre
„DORA ist kein Papiertiger - die Aufsichtsbehörden prüfen substanziell. Finanzunternehmen, die DORA-Compliance mit einem Dokumentenpaket gleichsetzen, unterschätzen die Anforderungen. Unsere Stärke ist die Kombination aus ISMS-Methodik und echten Penetrationstests: Wir bauen DORA-Frameworks, die einem TLPT-Test standhalten.“

Oskar Braun

ISO 27001 Lead Auditor (IRCA-zertifiziert) · AWARE7 GmbH

Warum AWARE7

DORA-Beratung aus einer Hand

Die Kombination aus Offensive-Security-Expertise und ISMS-Erfahrung macht AWARE7 einzigartig für DORA-Mandate - besonders für die Resilienztesting-Anforderungen.

Offensive Security Expertise

AWARE7 führt seit über 12 Jahren Penetrationstests durch. Unsere OSCP- und OSWA-zertifizierten Tester kennen die Angriffstechniken, gegen die DORA-Resilienztests prüfen - und bauen Ihre Abwehr entsprechend praxistauglich auf.

  • OSCP / OSWA / OSWP-Zertifikate
  • Red-Team-Erfahrung
  • TIBER-EU-Kenntnis
  • 500+ Penetrationstests

ISMS & Compliance Erfahrung

Wir sind selbst nach ISO 27001 und ISO 9001 zertifiziert. 60+ begleitete ISMS-Projekte und 100% Zertifizierungsquote belegen unsere Methodik. Für DORA bedeutet das: kein Aufbau auf der grünen Wiese, sondern effizientes Delta-Mapping auf Basis bestehender ISMS-Strukturen.

  • Selbst ISO 27001 zertifiziert
  • 60+ ISMS-Projekte
  • 100% Zertifizierungsquote
  • NIS2-Synergien nutzen

Alles aus einer Hand

Gap-Analyse, IKT-Risikomanagement, Drittparteienregister, Vorfallsprozesse und jährliche Penetrationstests - all das liefern wir aus einer Hand. Kein Koordinationsaufwand zwischen verschiedenen Anbietern, klare Ansprechpartner, einheitliche Qualität.

  • Einheitliche Methodik
  • Festpreisangebote
  • 24h bis Angebot
  • 100% festangestellte Experten

Warum AWARE7 für DORA-Beratung

Was uns von anderen Anbietern unterscheidet

Reine Awareness-Plattformen testen keine Systeme. Reine Beratungskonzerne sind zu weit weg. AWARE7 verbindet beides: Wir hacken Ihre Infrastruktur und schulen Ihre Mitarbeiter — mittelstandsgerecht, persönlich, ohne Enterprise-Overhead.

Forschung und Lehre als Fundament

Rund 20% unseres Umsatzes stammen aus Forschungsprojekten für BSI, BMBF und die EU. Wir veröffentlichen CVEs, präsentieren auf internationalen Top-Konferenzen und bilden als T.I.S.P.-Schulungsanbieter Sicherheitsexperten aus. Alle Berater sind mehrfach zertifiziert - von ISO 27001 Lead Auditor bis OSCP.

Digitale Souveränität - keine Kompromisse

Alle Daten werden ausschließlich in Deutschland gespeichert und verarbeitet - ohne US-Cloud-Anbieter. Keine Freelancer, keine Subunternehmer in der Wertschöpfung. Alle Mitarbeiter sind sozialversicherungspflichtig angestellt und einheitlich rechtlich verpflichtet. Auf Anfrage VS-NfD-konform.

Festpreis in 24h - planbare Projektzeiträume

Innerhalb von 24 Stunden erhalten Sie ein verbindliches Festpreisangebot - kein Stundensatz-Risiko, keine Nachforderungen, keine Überraschungen. Durch eingespieltes Team und standardisierte Prozesse erhalten Sie einen klaren Zeitplan mit definiertem Starttermin und Endtermin.

Ihr fester Ansprechpartner - jederzeit erreichbar

Ein persönlicher Projektleiter begleitet Sie vom Erstgespräch bis zum Re-Test. Sie buchen Termine direkt bei Ihrem Ansprechpartner - keine Ticket-Systeme, kein Callcenter, kein Wechsel zwischen wechselnden Beratern. Kontinuität schafft Vertrauen.

Für wen sind wir der richtige Partner?

Mittelstand mit 50–2.000 MA

Unternehmen, die echte Security brauchen — ohne einen DAX-Konzern-Dienstleister zu bezahlen. Festpreis, klarer Scope, ein Ansprechpartner.

IT-Verantwortliche & CISOs

Die intern überzeugend argumentieren müssen — und dafür einen Bericht mit Vorstandssprache brauchen, nicht nur technische Findings.

Regulierte Branchen

KRITIS, Gesundheitswesen, Finanzdienstleister: NIS-2, ISO 27001, DORA — wir kennen die Anforderungen und liefern Nachweise, die Auditoren akzeptieren.

Mitwirkung an Industriestandards

LLM

OWASP · 2023

OWASP Top 10 for Large Language Models

Prof. Dr. Matteo Große-Kampmann als Contributor im Core-Team des weltweit führenden LLM-Sicherheitsstandards.

BSI

BSI · Allianz für Cyber-Sicherheit

Management von Cyber-Risiken

Prof. Dr. Matteo Große-Kampmann als Mitwirkender des offiziellen BSI-Handbuchs für die Unternehmensleitung (dt. Version).

Ihre DORA-Experten

Unsere zertifizierten Berater kennen die regulatorischen Anforderungen an den Finanzsektor.

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Jan Hörnemann
Jan Hörnemann

Chief Operating Officer · Prokurist

PGP A3FD64BB96C888E2

M.Sc. Internet-Sicherheit (if(is), Westfälische Hochschule). COO und Prokurist mit Expertise in Informationssicherheitsberatung und Security Awareness. Nachwuchsprofessor für Cyber Security an der FOM Hochschule, CISO-Referent bei der isits AG und Promovend am Graduierteninstitut NRW.

ISO 27001 Lead Auditor (PECB/TÜV) T.I.S.P. (TeleTrusT) ITIL 4 (PeopleCert) BSI IT-Grundschutz-Praktiker (DGI) Ext. ISB (TÜV) BSI CyberRisikoCheck CEH (EC-Council)
Vollständiges Profil ansehen

Betroffene Unternehmen

Für wen gilt DORA?

DORA gilt für alle Finanzunternehmen nach Art. 2 DORA sowie für kritische IKT-Drittanbieter. Wir unterstützen sämtliche betroffenen Unternehmenstypen mit maßgeschneiderten Beratungsangeboten.

Banken & Kreditinstitute

Spätestens seit dem 17. Januar 2025 unterliegen alle Kreditinstitute — von der Großbank bis zur Genossenschaftsbank — den vollumfänglichen DORA-Anforderungen. Besonders kritisch: die Drittparteienregister-Pflicht und das TLPT für systemrelevante Institute.

Art. 2 Abs. 1 lit. a DORA

Versicherungen

Versicherungsunternehmen und Rückversicherer sind vollständig von DORA erfasst. Neben dem IKT-Risikomanagement sind insbesondere die Anforderungen an die Beauftragung von IKT-Drittdienstleistern und die Vorfallsmeldung an die BaFin praxisrelevant.

Art. 2 Abs. 1 lit. c DORA

Wertpapierfirmen

Wertpapierfirmen und Handelsplattformen, die unter MiFID II reguliert sind, fallen unter DORA. Die Schnittmengen mit der MiFID-II-Betriebsstabilität und der Marktmissbrauchsverordnung erfordern einen koordinierten Compliance-Ansatz, den wir effizient begleiten.

Art. 2 Abs. 1 lit. b DORA

Zahlungsdienstleister

PSPs, E-Geld-Institute und Zahlungssystembetreiber sind besonders exponiert: hohe Transaktionsvolumina, Echtzeit-Abwicklungsanforderungen und ausgeprägt verteilte IKT-Architekturen erhöhen das Risikoprofil. Unsere Pentest-Erfahrung im Payment-Umfeld ist dabei ein entscheidender Vorteil.

Art. 2 Abs. 1 lit. e/f DORA

IKT-Drittanbieter

Cloud-Anbieter, Rechenzentrumsdienstleister und Software-Anbieter, die als kritische IKT-Drittdienstleister eingestuft werden, unterliegen eigenen DORA-Aufsichtspflichten. Wir unterstützen bei der Vorbereitung auf Aufsichtsprüfungen und bei der Anpassung vertraglicher Grundlagen.

Art. 31 ff. DORA

Asset Manager & Fondsverwaltungen

Kapitalverwaltungsgesellschaften und AIFM sind von DORA erfasst und stehen vor der Herausforderung, ihre oft heterogenen IKT-Landschaften systematisch zu erfassen. Wir bringen Erfahrung aus vergleichbaren ISMS-Projekten im Finanzsektor ein und schaffen schnell Klarheit.

Art. 2 Abs. 1 lit. d DORA

Ergänzende Leistungen

DORA sinnvoll kombinieren

DORA-Compliance entsteht nicht im Silo. Diese Leistungen ergänzen Ihr DORA-Programm und erzeugen Synergien, die den Gesamtaufwand deutlich reduzieren.

Art. 24-27 DORA

Penetrationstest

Jedes DORA-pflichtige Finanzunternehmen muss jährliche Resilienztests durchführen. Unsere zertifizierten Penetrationstester führen Art.-25-konforme Tests durch — einschließlich TLPT nach TIBER-EU für systemrelevante Institute.

Penetrationstest anfragen Synergie mit DORA

ISMS ISO 27001

Ein bestehendes ISO-27001-ISMS reduziert den DORA-Umsetzungsaufwand erheblich. Umgekehrt stärkt ein DORA-konformes IKT-Risikomanagement die ISO-27001-Zertifizierung. Wir entwickeln einen kombinierten Umsetzungsfahrplan.

ISO 27001 Beratung anfragen Parallele Pflicht

NIS-2 Compliance

Viele Finanzunternehmen unterliegen gleichzeitig DORA und NIS-2. Die Anforderungen überschneiden sich erheblich — insbesondere bei Vorfallsmeldepflichten und Drittparteienmanagement. Wir maximieren Synergien und vermeiden Doppelarbeiten.

NIS-2 Beratung anfragen

Referenzen aus der Praxis

Live Hacking & Awareness

Munich Re

(Remote) Live Hacking Show auf den Security Days in München

39.000+

Mitarbeitende im Konzern

3

Jahre der Zusammenarbeit

Live Hacking & Awareness

Sparkasse Langen-Seligenstadt

Live Hacking Veranstaltung in der Finanzbranche

Häufige Fragen zur DORA-Beratung

Antworten auf die häufigsten Fragen zu unserem DORA-Beratungsangebot, zum Prozess und zu den Kosten.

Eine vollständige DORA-Gap-Analyse dauert typischerweise 5-10 Werktage, abhängig von der Unternehmensgröße, der Anzahl der IKT-Systeme und dem Umfang des bestehenden IKT-Risikomanagements. Das Ergebnis ist ein priorisierter Maßnahmenplan mit Aufwandsschätzung und realistischem Umsetzungsfahrplan. Wir erstellen ein transparentes Festpreisangebot - keine offenen Beratertage.
Ja. AWARE7 führt Threat-Led Penetration Tests nach dem TIBER-EU-Framework durch. Unsere OSCP-zertifizierten Penetrationstester sind erfahren in anspruchsvollen Red-Team-Operationen gegen komplexe Finanzinfrastrukturen. Wir koordinieren den gesamten TLPT-Prozess: von der Abstimmung mit der Aufsichtsbehörde über die Threat-Intelligence-Phase bis zum Abschlussbericht. Für die ersten TLPT empfehlen wir eine Vorlaufzeit von mindestens 6 Monaten.
Ja. Wir unterstützen beim vollständigen Aufbau des IKT-Drittparteienregisters nach Art. 28 DORA: Erfassung aller IKT-Dienstleister, Kritikalitätseinstufung, Vertragsanalyse gegen DORA-Mindestanforderungen und Identifikation von Konzentrationsrisiken. Darüber hinaus prüfen wir bestehende Verträge auf DORA-Konformität und erstellen Musterklauseln für Neuverträge mit DORA-Mindestanforderungen nach Art. 30.
Die Kosten hängen vom Scope, der Unternehmensgröße und dem bestehenden Reifegrad ab. Wir arbeiten grundsätzlich auf Festpreisbasis - nach der initialen Gap-Analyse können wir alle weiteren Leistungen konkret kalkulieren. Für eine erste Orientierung: Eine Gap-Analyse für ein mittelgroßes Finanzinstitut liegt typischerweise zwischen 8.000 und 20.000 EUR. Kontaktieren Sie uns für ein individuelles Angebot.
Ein bestehendes ISO-27001-ISMS ist eine hervorragende Grundlage für die DORA-Compliance und reduziert den Umsetzungsaufwand erheblich. Viele DORA-Anforderungen an das IKT-Risikomanagement (Art. 5-16) werden durch ein ISO-27001-ISMS bereits abgedeckt. Die DORA-spezifischen Anforderungen - insbesondere das Drittparteienregister, TLPT, die 4-Stunden-Meldepflicht und die finanzsektor-spezifischen Vertragsklauseln - sind jedoch zusätzliche Elemente, die in jedem Fall implementiert werden müssen.
Ja. Die Einrichtung von Vorfallsklassifizierungs- und Meldeprozessen, die die 4-Stunden-Erstmeldung und 72-Stunden-Frist sicherstellen, ist Teil unserer DORA-Beratungsleistungen. Wir entwickeln pragmatische Eskalationsmatrizen, Meldetemplates nach EBA-RTS-Anforderungen und schulen Ihre Teams auf die neuen Prozesse. Optional implementieren wir die Anbindung an ein SIEM für automatisierte Ersterkennung schwerwiegender IKT-Vorfälle.

Aus dem Blog

Weiterführende Artikel

DORA-Beratung anfragen

Wir erstellen Ihnen innerhalb von 24 Stunden ein transparentes Festpreisangebot für Ihre DORA-Gap-Analyse - ohne unverbindliche Vorgespräche, direkt auf den Punkt.

Kostenloses Erstgespräch vereinbaren

Kostenlos · 30 Minuten · Unverbindlich

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung