Incident Response
Incident Response Playbook: Wie man im Ernstfall richtig reagiert
Oskar Braun12 Min.
EU-Verordnung | Finanzsektor
DORA: Digital Operational
Resilience Act
Seit dem 17. Januar 2025 gilt DORA (Verordnung EU 2022/2554) unmittelbar in allen EU-Mitgliedstaaten. Banken, Versicherungen und alle anderen Finanzunternehmen müssen ihre digitale Betriebsstabilität systematisch nachweisen - mit verpflichtenden Penetrationstests, strengen Meldepflichten und einem vollständigen Drittparteienregister.
Zuletzt aktualisiert: März 2026
In Kraft seit
17.01.2025
EU-weit direkt anwendbar (keine nationale Umsetzung)
Betroffene
20 Kategorien
Finanzunternehmen + kritische IKT-Drittdienstleister
Meldepflicht
4h / 72h
Erstmeldung / Zwischenbericht bei schwerwiegenden Vorfällen
Sanktionen
bis 1% Umsatz
CTP-Bußgeld täglich (Art. 35 DORA)
- In Kraft seit
-
- Kategorien Finanzunternehmen
-
- Meldepflichten
-
- CTP-Bußgeld (Umsatz)
-
Definition
Was ist DORA?
Der Digital Operational Resilience Act (Verordnung EU 2022/2554) ist seit dem 17. Januar 2025 in allen EU-Mitgliedstaaten unmittelbar und verbindlich anwendbar. Als EU-Verordnung - nicht Richtlinie - gilt DORA direkt ohne nationale Umsetzung in nationales Recht.
DORA schafft erstmals einen harmonisierten Rechtsrahmen für die digitale operationale Resilienz im gesamten europäischen Finanzsektor. Finanzunternehmen müssen nachweisen, dass sie IKT-bezogene Störungen, Cyberangriffe und Systemausfälle absorbieren, sich anpassen und davon erholen können.
Besonders bedeutsam: DORA reguliert erstmals nicht nur die Finanzunternehmen selbst, sondern auch deren kritische IKT-Drittdienstleister direkt - Cloud-Hyperscaler wie AWS, Microsoft Azure oder Google Cloud können als Critical Third-Party Provider (CTPs) unter direkte europäische Aufsicht fallen.
DORA vs. NIS2 im Vergleich
| Aspekt | DORA | NIS2 |
|---|---|---|
| Rechtsform | EU-Verordnung (direkt) | EU-Richtlinie (national) |
| Geltungsbereich | Finanzsektor spezifisch | Alle kritischen Sektoren |
| IKT-Drittparteien | Direkt reguliert | Indirekt (Supply Chain) |
| Penetrationstests | TLPT verpflichtend | Keine Spezifik. |
| Aufsicht DE | BaFin / EZB | BSI |
| Lex specialis | Ja, geht vor | Allgemeine Regelung |
Lex specialis: Für Finanzunternehmen, die sowohl DORA als auch NIS2 unterliegen, geht DORA als sektorspezifisches Recht vor. Die meisten DORA-Anforderungen erfüllen aber gleichzeitig die NIS2-Pflichten.
Anwendungsbereich
Wer ist von DORA betroffen?
Art. 2 DORA definiert 20 Kategorien betroffener Finanzunternehmen sowie kritische IKT-Drittdienstleister. Die Bandbreite reicht von klassischen Kreditinstituten bis zu Krypto-Asset-Dienstleistern.
Finanzunternehmen
- Kreditinstitute und Wertpapierfirmen
- Zahlungsinstitute und E-Geld-Institute
- Versicherungsunternehmen und Rückversicherer
- Pensionsfonds (EBAV)
- Kapitalverwaltungsgesellschaften (AIFM, UCITS)
- Krypto-Asset-Dienstleister (nach MiCA)
- Crowdfunding-Plattformen
- Zentrale Gegenparteien (CCPs) und Zentralverwahrer
- Handelsplätze (Regulated Markets, MTF, OTF)
- Transaktionsregister und Verbriefungsregister
Kritische IKT-Drittdienstleister (CTPs)
Erstmals werden IKT-Dienstleister, die systemrelevante Dienste für den Finanzsektor erbringen, direkt durch die europäischen Aufsichtsbehörden (ESAs) reguliert:
- Cloud-Computing-Anbieter (AWS, Azure, Google Cloud)
- Rechenzentren und Colocation-Dienste
- Datenanalysedienste und Marktdatenplattformen
- Kernbanken-Softwareanbieter
- Zahlungsabwickler und Clearingstellen
CTP-Sanktionen: Bis zu 1 % des globalen Tagesumsatzes - täglich bis zur Behebung (Art. 35 DORA)
Anforderungen
Die 5 DORA-Säulen
DORA strukturiert die Anforderungen an digitale operationale Resilienz in fünf Säulen. Alle fünf Bereiche sind für betroffene Finanzunternehmen verpflichtend umzusetzen.
01
Art. 5-16
IKT-Risikomanagement
Finanzunternehmen müssen einen umfassenden IKT-Risikomanagementrahmen einrichten, der alle IKT-Risiken systematisch identifiziert, klassifiziert und bewertet. Dazu gehören ein aktuelles IKT-Asset-Inventar mit allen Hardware-, Software- und Datenzuordnungen sowie implementierte Schutzmaßnahmen: Zugangskontrolle, Patch-Management, Datensicherung und Verschlüsselung. Business-Continuity- und Notfallpläne für IKT-Systeme müssen definiert und regelmäßig getestet werden.
Kernpflichten
- IKT-Asset-Inventar (vollständig)
- Risikoappetitstrategie (Vorstandsgenehmigt)
- Business Continuity Plan
- Patch-Management-Prozesse
- Persönliche Leitungsverantwortung
02
Art. 17-23
Meldung von IKT-bezogenen Vorfällen
DORA etabliert ein harmonisiertes EU-weites dreistufiges Meldeverfahren für schwerwiegende IKT-Vorfälle an die nationale Aufsichtsbehörde (BaFin für Deutschland). Die Klassifizierung als schwerwiegend richtet sich nach EBA-Regulierungsstandards und berücksichtigt Faktoren wie betroffene Kundenzahl, Ausfallzeit und Datenverlust.
Kernpflichten
- Erstmeldung: 4 Stunden nach Klassifizierung
- Zwischenbericht: 72 Stunden
- Abschlussbericht: 1 Monat
- Interne Klassifizierungsprozesse
- Vordefinierte Eskalationswege
03
Art. 24-27
Testen der digitalen operationalen Resilienz
DORA schreibt regelmäßige, verbindliche Tests vor. Alle Finanzunternehmen müssen mindestens jährlich Basis-Tests durchführen: Vulnerability Assessments, Open-Source-Analysen und Netzwerksicherheitsbewertungen. Bedeutende Institute sind zusätzlich zu Threat-Led Penetration Tests (TLPT) nach TIBER-EU verpflichtet - alle drei Jahre, mit echter Threat Intelligence als Grundlage.
Kernpflichten
- Jährliche Basis-Tests (alle Institute)
- TLPT alle 3 Jahre (bedeutende Institute)
- TIBER-EU-akkreditierte Dienstleister
- Produktionssystem-Tests
- Aufsichtliche Genehmigung erforderlich
04
Art. 28-44
Management von IKT-Drittparteienrisiken
Dies ist einer der bedeutendsten DORA-Aspekte: Finanzunternehmen müssen ein vollständiges Register aller IKT-Drittdienstleister führen und pflegen. Für kritische Dienstleister gelten Mindestanforderungen an Vertragsklauseln: Revisions- und Prüfungsrechte, SLA-Definitionen, Exit-Strategien und Konzentrationsrisikoanalysen. Die ESAs können systemrelevante Anbieter als CTPs benennen und direkt beaufsichtigen.
Kernpflichten
- Vollständiges Drittparteienregister
- Kritikalitätseinstufung aller Anbieter
- DORA-konforme Vertragsklauseln
- Konzentrationsrisikoanalyse
- Exit-Strategien pro Anbieter
05
Art. 45
Informationsaustausch
DORA ermutigt Finanzunternehmen zum freiwilligen, strukturierten Austausch von Cyber-Bedrohungsinformationen (Threat Intelligence) innerhalb vertrauenswürdiger Gemeinschaften. Dieser Informationsaustausch soll die kollektive Resilienz des Finanzsektors stärken und wird durch DORA rechtlich abgesichert - unter Einhaltung von Datenschutzanforderungen.
Kernpflichten
- Freiwillige Teilnahme
- Vertrauenswürdige Gemeinschaften
- Datenschutzkonformer Austausch
- Stärkung kollektiver Resilienz
- ISACs und TIBER-Netzwerke
Art. 28-44 DORA
IKT-Drittparteienrisiken: Das Herzstück von DORA
Das Management von IKT-Drittparteienrisiken ist einer der anspruchsvollsten und innovativsten Aspekte von DORA. Erstmals schafft eine EU-Regulierung eine direkte Aufsicht über kritische Technologieanbieter des Finanzsektors.
Finanzunternehmen müssen ein vollständiges, stets aktuelles Register aller IKT-Drittdienstleister führen. Jeder Dienstleister ist nach Kritikalität einzustufen: Unterstützt er kritische oder wichtige Funktionen, gelten verschärfte Vertragsanforderungen - einschließlich Revisions- und Prüfungsrechte für die Aufsichtsbehörde.
Die Konzentrationsrisikoanalyse ist neu: Finanzunternehmen müssen bewerten und dokumentieren, wie abhängig sie von einzelnen Anbietern sind - und funktionierende Exit-Strategien für den Fall eines Dienstleisterausfalls vorhalten.
Drittparteienregister
Vollständige Erfassung aller IKT-Dienstleister inkl. Kritikalitätseinstufung, erbrachter Leistungen und Subunternehmer
DORA-Mindestvertragsklauseln
Prüfungsrechte der Aufsicht, definierte SLAs, Datenzugangsrechte, Exit-Strategie und Datenlokalisierungsangaben
CTP-Direktaufsicht
ESAs können systemrelevante Anbieter als kritische IKT-Drittdienstleister (CTPs) benennen und direkt prüfen
„DORA erfordert einen ganzheitlichen Ansatz, der ISMS-Methodik und Offensive Security verbindet. Finanzunternehmen, die nur auf Dokumentation setzen, werden beim ersten TLPT-Test scheitern. Wir kombinieren ISO-27001-Expertise mit echter Red-Team-Erfahrung - das ist der einzige Weg, DORA substanziell zu erfüllen.“
Oskar Braun
ISO 27001 Lead Auditor (IRCA-zertifiziert) · AWARE7 GmbH
Umsetzung
DORA umsetzen: Der 6-Schritte-Prozess
DORA gilt seit Januar 2025 - Finanzunternehmen, die noch nicht begonnen haben, müssen jetzt handeln. Dieser strukturierte Prozess führt zur nachweisbaren Compliance.
01
Betroffenheitsanalyse
Klärung, ob und in welchem Umfang DORA auf Ihr Unternehmen zutrifft: Einordnung in die Kategorien nach Art. 2, Prüfung der Verhältnismäßigkeitsregelungen und Identifikation aller relevanten IKT-Systeme und -Prozesse.
02
Gap-Analyse
Strukturierter Abgleich des bestehenden IKT-Risikomanagements, der Vorfallsprozesse und Drittparteienverträge gegen alle DORA-Anforderungen. Ergebnis: priorisierter Maßnahmenplan mit Aufwandsschätzung.
03
IKT-Risikomanagement
Aufbau oder Erweiterung des IKT-Risikomanagementrahmens nach Art. 5-16: Asset-Inventar, Risikobewertungsverfahren, Schutzmaßnahmen, Business Continuity Plan und Vorstandsverankerung.
04
Drittparteien-Register
Erstellung und Pflege des vollständigen IKT-Drittparteienregisters nach Art. 28. Kritikalitätseinstufung aller Anbieter, Anpassung der Verträge auf DORA-Mindestanforderungen und Konzentrationsrisikoanalyse.
05
Resilienztesting
Aufbau eines jährlichen Testprogramms für Vulnerability Assessments und Penetrationstests nach Art. 25. Für bedeutende Institute: Vorbereitung und Durchführung von TLPT nach TIBER-EU mit akkreditierten Dienstleistern.
06
Kontinuierliche Verbesserung
DORA fordert kein einmaliges Projekt, sondern ein lebendes Compliance-System: Jährliche Aktualisierung des Drittparteienregisters, regelmäßige Risikobewertungen, Lehren aus Vorfallsmeldungen und Management-Reviews.
Verhältnis der Regelwerke
DORA und NIS2: Lex specialis
Für Finanzunternehmen, die sowohl DORA als auch NIS2 unterliegen, gilt DORA als sektorspezifisches Recht (lex specialis) - es geht dem allgemeinen NIS2-Recht vor. Erwägungsgrund 16 DORA stellt klar: Finanzunternehmen, die alle DORA-Anforderungen erfüllen, gelten als konform mit den entsprechenden NIS2-Pflichten.
In der Praxis bedeutet das: DORA setzt höhere Maßstäbe als NIS2 im Finanzbereich. Wer DORA umsetzt, übertrifft die NIS2-Mindestanforderungen. Ein integriertes ISMS nach ISO 27001 bietet die optimale Grundlage für beide Regelwerke.
Gemeinsame Anforderungen
Beide Regelwerke- - IKT-Risikomanagement
- - Vorfallsmeldepflichten
- - Managementverantwortung
- - Supply-Chain-Sicherheit
DORA-spezifisch (geht vor)
Nur DORA- - TLPT nach TIBER-EU (alle 3 Jahre)
- - Direkte CTP-Regulierung
- - 4-Stunden-Erstmeldung
- - Drittparteienregister nach Art. 28
- - Konzentrationsrisikoanalyse
NIS2-spezifisch
Nur NIS2- - Branchenübergreifende Sektoren
- - Nationale Umsetzungsgesetze
- - BSI-Zuständigkeit
- - KRITIS-Abgrenzung
Warum AWARE7 für DORA-Compliance
Was uns von anderen Anbietern unterscheidet
Reine Awareness-Plattformen testen keine Systeme. Reine Beratungskonzerne sind zu weit weg. AWARE7 verbindet beides: Wir hacken Ihre Infrastruktur und schulen Ihre Mitarbeiter — mittelstandsgerecht, persönlich, ohne Enterprise-Overhead.
Forschung und Lehre als Fundament
Rund 20% unseres Umsatzes stammen aus Forschungsprojekten für BSI, BMBF und die EU. Wir veröffentlichen CVEs, präsentieren auf internationalen Top-Konferenzen und bilden als T.I.S.P.-Schulungsanbieter Sicherheitsexperten aus. Alle Berater sind mehrfach zertifiziert - von ISO 27001 Lead Auditor bis OSCP.
Digitale Souveränität - keine Kompromisse
Alle Daten werden ausschließlich in Deutschland gespeichert und verarbeitet - ohne US-Cloud-Anbieter. Keine Freelancer, keine Subunternehmer in der Wertschöpfung. Alle Mitarbeiter sind sozialversicherungspflichtig angestellt und einheitlich rechtlich verpflichtet. Auf Anfrage VS-NfD-konform.
Festpreis in 24h - planbare Projektzeiträume
Innerhalb von 24 Stunden erhalten Sie ein verbindliches Festpreisangebot - kein Stundensatz-Risiko, keine Nachforderungen, keine Überraschungen. Durch eingespieltes Team und standardisierte Prozesse erhalten Sie einen klaren Zeitplan mit definiertem Starttermin und Endtermin.
Ihr fester Ansprechpartner - jederzeit erreichbar
Ein persönlicher Projektleiter begleitet Sie vom Erstgespräch bis zum Re-Test. Sie buchen Termine direkt bei Ihrem Ansprechpartner - keine Ticket-Systeme, kein Callcenter, kein Wechsel zwischen wechselnden Beratern. Kontinuität schafft Vertrauen.
Für wen sind wir der richtige Partner?
Mittelstand mit 50–2.000 MA
Unternehmen, die echte Security brauchen — ohne einen DAX-Konzern-Dienstleister zu bezahlen. Festpreis, klarer Scope, ein Ansprechpartner.
IT-Verantwortliche & CISOs
Die intern überzeugend argumentieren müssen — und dafür einen Bericht mit Vorstandssprache brauchen, nicht nur technische Findings.
Regulierte Branchen
KRITIS, Gesundheitswesen, Finanzdienstleister: NIS-2, ISO 27001, DORA — wir kennen die Anforderungen und liefern Nachweise, die Auditoren akzeptieren.
Mitwirkung an Industriestandards
LLM
OWASP · 2023
OWASP Top 10 for Large Language Models
Prof. Dr. Matteo Große-Kampmann als Contributor im Core-Team des weltweit führenden LLM-Sicherheitsstandards.
BSI
BSI · Allianz für Cyber-Sicherheit
Management von Cyber-Risiken
Prof. Dr. Matteo Große-Kampmann als Mitwirkender des offiziellen BSI-Handbuchs für die Unternehmensleitung (dt. Version).
Häufige Fragen zu DORA
Antworten auf die häufigsten Fragen rund um den Digital Operational Resilience Act und seine Anforderungen an Finanzunternehmen.
Was ist DORA?
Der Digital Operational Resilience Act (DORA), offiziell Verordnung (EU) 2022/2554, ist seit dem 17. Januar 2025 in allen EU-Mitgliedstaaten unmittelbar anwendbar. Als EU-Verordnung - im Gegensatz zur NIS2-Richtlinie - bedurfte DORA keiner nationalen Umsetzung und gilt direkt. DORA verpflichtet Finanzunternehmen, ihre digitale Betriebsstabilität gegenüber IKT-bezogenen Störungen, Cyberangriffen und Systemausfällen nachzuweisen und dauerhaft aufrechtzuerhalten. Der Rechtsakt schafft erstmals einen harmonisierten Rahmen für digitale operationale Resilienz im gesamten europäischen Finanzsektor und regelt dabei nicht nur die Finanzunternehmen selbst, sondern auch deren kritische IKT-Drittdienstleister direkt.
Wer ist von DORA betroffen?
DORA gilt für ein breites Spektrum von Finanzunternehmen: Kreditinstitute, Wertpapierfirmen, Zahlungsinstitute, E-Geld-Institute, Versicherungsunternehmen, Rückversicherer, Pensionsfonds (EBAV), Kapitalverwaltungsgesellschaften, Krypto-Asset-Dienstleister nach MiCA sowie Crowdfunding-Plattformen und zentrale Gegenparteien. Erstmals werden auch kritische IKT-Drittdienstleister (CTPs) wie Cloud-Anbieter und Rechenzentren direkt durch die europäischen Finanzaufsichtsbehörden (EBA, ESMA, EIOPA) reguliert. Für Kleinstunternehmen mit weniger als 10 Mitarbeitern und unter 2 Millionen Euro Jahresumsatz gelten vereinfachte Anforderungen nach dem Verhältnismäßigkeitsprinzip.
Was sind die 5 DORA-Säulen?
DORA strukturiert die Anforderungen in fünf Säulen: Erstens IKT-Risikomanagement (Art. 5-16): ein umfassender Rahmen zur Identifikation, Bewertung und Behandlung aller IKT-Risiken mit persönlicher Verantwortung des Vorstands. Zweitens Vorfallsmeldung (Art. 17-23): harmonisiertes EU-weites Meldesystem mit 4-Stunden-Erstmeldung, 72-Stunden-Zwischenbericht und Monatsbericht. Drittens Resilienztesting (Art. 24-27): jährliche Basis-Tests für alle sowie Threat-Led Penetration Tests (TLPT) nach TIBER-EU für bedeutende Institute alle drei Jahre. Viertens IKT-Drittparteienrisiken (Art. 28-44): vollständiges Lieferantenregister, Mindestvertragsklauseln und direkte Regulierung kritischer Anbieter. Fünftens Informationsaustausch (Art. 45): freiwilliger Austausch von Cyber-Bedrohungsinformationen in Vertrauensgemeinschaften.
Was ist der Unterschied zwischen DORA und NIS2?
DORA ist eine EU-Verordnung und gilt direkt ohne nationale Umsetzung, während NIS2 eine Richtlinie ist, die von den Mitgliedstaaten in nationales Recht umgesetzt werden muss. DORA ist sektorspezifisch für den Finanzbereich und geht in seinen Anforderungen deutlich weiter als NIS2: Es schreibt verbindliche Penetrationstests (TLPT) vor, reguliert IKT-Drittdienstleister direkt und enthält detailliertere Meldepflichten. Für Finanzunternehmen gilt DORA als lex specialis - wo beide Regelwerke überlappen, geht DORA vor. Ein DORA-konformes Unternehmen erfüllt damit typischerweise auch die entsprechenden NIS2-Anforderungen. Zuständig für die DORA-Aufsicht in Deutschland ist die BaFin, für NIS2 das BSI.
Was ist TLPT (Threat-Led Penetration Testing)?
Threat-Led Penetration Testing (TLPT) ist der europäische Standard für erweiterte Red-Team-Tests im Finanzsektor, der auf dem TIBER-EU-Framework der EZB basiert. DORA schreibt TLPT in Art. 26 für bedeutende Finanzinstitute mindestens alle drei Jahre vor. Im Gegensatz zu konventionellen Penetrationstests verwendet TLPT echte Threat Intelligence als Grundlage: Externe Threat-Intelligence-Dienstleister analysieren zunächst spezifische Bedrohungsakteure für das jeweilige Institut, dann führen akkreditierte Red Teams simulierte Angriffe auf Live-Produktionssysteme durch. In Deutschland wurde TIBER-DE 2019 durch die Bundesbank eingeführt und ist nun durch DORA formal verankert. Die Tests müssen von der zuständigen Aufsichtsbehörde genehmigt und nach Abschluss im Bericht an die Behörde dokumentiert werden.
Was ist das IKT-Drittparteienregister?
Art. 28 DORA verpflichtet alle betroffenen Finanzunternehmen zur Führung eines vollständigen Registers aller IKT-Drittdienstleister mit Kritikalitätseinstufung. Das Register muss alle Verträge, erbrachten Dienstleistungen, Subunternehmer sowie eine Bewertung enthalten, ob der Dienstleister kritische oder wichtige Funktionen unterstützt. Für kritische Dienstleister gelten verschärfte Anforderungen an Vertragsklauseln: Revisions- und Prüfungsrechte der Aufsicht, definierte Service Level Agreements, Exit-Strategien und Konzentrationsrisikoanalysen. Finanzunternehmen müssen das Register jährlich aktualisieren und auf Anfrage der Aufsichtsbehörde vorlegen. Die ESAs können Großanbieter wie Cloud-Hyperscaler als kritische IKT-Drittdienstleister (CTPs) benennen, die dann unter direkte europäische Aufsicht fallen.
Welche Meldepflichten gelten unter DORA?
DORA etabliert in Art. 17-23 ein dreistufiges Meldesystem für schwerwiegende IKT-Vorfälle an die nationale Aufsichtsbehörde (BaFin für Deutschland): Die Erstmeldung muss innerhalb von 4 Stunden nach Klassifizierung eines Vorfalls als schwerwiegend erfolgen und enthält erste Information, Zeitpunkt und Erstmaßnahmen. Der Zwischenbericht folgt spätestens 72 Stunden nach der Erstmeldung mit aktualisiertem Status, Auswirkungsumfang und Eindämmungsmaßnahmen. Der Abschlussbericht ist einen Monat nach der Erstmeldung einzureichen und muss Root Cause, alle ergriffenen Maßnahmen und Lessons Learned enthalten. Die Klassifizierung als schwerwiegend richtet sich nach EBA-Regulierungsstandards (RTS) und berücksichtigt Faktoren wie Anzahl betroffener Kunden, Ausfallzeit kritischer Dienste und Datenverlust.
Gilt DORA auch für kleine Finanzunternehmen?
DORA gilt grundsätzlich für alle in Art. 2 genannten Finanzunternehmen, enthält aber ein Verhältnismäßigkeitsprinzip. Kleinstunternehmen mit weniger als 10 Mitarbeitern und einem Jahresumsatz unter 2 Millionen Euro sind von den vereinfachten Anforderungen erfasst - sie müssen insbesondere keine vollständigen TLPT-Tests durchführen. Für kleine und mittlere Finanzunternehmen gelten ebenfalls abgestufte Anforderungen beim IKT-Risikomanagement. Die Kernpflichten - IKT-Risikomanagement, Vorfallsmeldung und grundlegendes Resilienztesting - gelten jedoch für alle betroffenen Unternehmen unabhängig von der Größe. Die Abgrenzung, welche vereinfachten Regelungen anwendbar sind, ergibt sich aus den sektoralen Rechtsvorschriften in Verbindung mit DORA.
Was passiert bei DORA-Verstößen?
DORA sieht empfindliche Sanktionen vor: Für Finanzunternehmen können nationale Aufsichtsbehörden Bußgelder in der Höhe verhängen, die im sektoralen Recht (z. B. CRR, Solvency II, DSGVO) vorgesehen sind. Für kritische IKT-Drittdienstleister (CTPs), die unter direkte ESA-Aufsicht fallen, sieht Art. 35 DORA Bußgelder von bis zu 1 % des globalen Tagesumsatzes vor - täglich, bis zur Behebung des Verstoßes. Daneben kann die Aufsicht den Einsatz bestimmter IKT-Dienstleister untersagen, öffentliche Bekanntmachungen anordnen und bei schwerwiegenden Verstößen Maßnahmen gegen die Unternehmensführung ergreifen. Ähnlich wie bei NIS2 trägt das Leitungsorgan die persönliche Verantwortung für das IKT-Risikomanagement.
Wie hilft AWARE7 bei der DORA-Umsetzung?
AWARE7 begleitet Finanzunternehmen auf dem gesamten DORA-Umsetzungsweg: Wir beginnen mit einer Betroffenheitsanalyse und einer strukturierten Gap-Analyse gegen alle DORA-Anforderungen. Auf dieser Grundlage entwickeln wir einen priorisierten Maßnahmenplan und unterstützen beim Aufbau des IKT-Risikomanagementframeworks, des Drittparteienregisters und der Vorfallsmanagementprozesse. Als Offensive-Security-Unternehmen mit OSCP-zertifizierten Penetrationstestern führen wir die nach Art. 25 DORA vorgeschriebenen jährlichen Resilienztests durch und bereiten bedeutende Institute auf TLPT nach TIBER-EU vor. Mehr Informationen unter /leistungen/sicherheitsberatung/dora/.
DORA gilt bereits - jetzt handeln
Wir analysieren Ihre DORA-Compliance-Lücken und erstellen einen priorisierten Maßnahmenplan - konkret, umsetzbar und auf Festpreisbasis.
Kostenlos · 30 Minuten · Unverbindlich
