Zum Inhalt springen
DORA Compliance

DORA Compliance für Finanzunternehmen

Beratung und Umsetzung der EU-Verordnung über digitale operationale Resilienz im Finanzsektor. IKT-Risikomanagement, TLPT, Drittanbieter-Register.

Was ist DORA und warum ist es jetzt wichtig?

DORA (Digital Operational Resilience Act, Verordnung EU 2022/2554) ist die EU-Verordnung über digitale operative Resilienz im Finanzsektor. Sie gilt seit 17. Januar 2025 in allen EU-Mitgliedstaaten und verpflichtet Finanzunternehmen sowie deren IKT-Drittdienstleister zu umfassendem IKT-Risikomanagement. Die Verordnung schafft einen einheitlichen Rechtsrahmen für die digitale operationale Resilienz von über 20 Kategorien von Finanzunternehmen – von Banken und Versicherungen über Wertpapierfirmen bis hin zu Zahlungsdienstleistern und Krypto-Asset-Dienstleistern. Als EU-Verordnung gilt DORA unmittelbar in Deutschland, ohne nationale Umsetzung.

KO‑MO‑TEL GmbH unterstützt als IT-Dienstleister seit 1994 Finanzunternehmen bei der DORA-Compliance. Als IKT-Drittdienstleister gemäß Art. 3 Nr. 19 DORA erfüllen wir die Anforderungen seit Januar 2025 und begleiten unsere Kunden durch alle Phasen der Umsetzung – von der Gap-Analyse bis zum laufenden Compliance-Betrieb.

Wer muss DORA umsetzen?

DORA betrifft zwei große Gruppen: regulierte Finanzunternehmen und deren IKT-Drittdienstleister. Der Anwendungsbereich ist bewusst weit gefasst, um umfassenden Schutz der Finanzstabilität zu gewährleisten.

Finanzunternehmen (Art. 2 DORA)

Kreditinstitute (Banken, Sparkassen), Versicherungsunternehmen, Wertpapierfirmen und Börsen, Zahlungsdienstleister, E-Geld-Institute, Krypto-Asset-Dienstleister, Fondsgesellschaften und Zentralverwahrer – insgesamt über 20 Kategorien regulierter Finanzunternehmen in der EU.

IKT-Drittdienstleister (Art. 3 Nr. 19)

Cloud-Provider für den Finanzsektor, IT-Dienstleister mit kritischen Funktionen (wie KO‑MO‑TEL), Software-as-a-Service-Anbieter und Data-Center-Betreiber. DORA gilt unabhängig vom Standort, sobald Dienstleistungen für EU-Finanzunternehmen erbracht werden.

Die 5 Säulen der DORA-Verordnung

DORA definiert fünf zentrale Anforderungsbereiche für die digitale operationale Resilienz im Finanzsektor. Jede Säule adressiert einen spezifischen Aspekt der IKT-Sicherheit.

IKT-Risikomanagement

Umfassende Governance-Strukturen zur Identifikation, zum Schutz, zur Erkennung, zur Reaktion und zur Wiederherstellung bei IKT-bezogenen Vorfällen. Dokumentation aller IKT-Systeme und -Prozesse, Geschäftsfortführungsplanung (Business Continuity) mit definierten RTO und RPO.

Meldung IKT-bezogener Vorfälle

Strukturierte Klassifizierung und Meldung schwerwiegender IKT-Vorfälle. Meldefristen: Erstmeldung binnen 4 Stunden, Zwischenbericht 72 Stunden, Abschlussbericht 1 Monat. Meldung an zuständige Behörden (BaFin in Deutschland). Vollständiges Register aller IKT-Vorfälle.

Digitale Resilienztests

Regelmäßige Tests der digitalen operationalen Resilienz. TLPT (Threat-Led Penetration Testing) für kritische Einrichtungen, Schwachstellenbewertungen und szenariobasierte Tests. Jährliche Penetrationstests nach OWASP Top 10 und SANS Top 25.

IKT-Drittparteienrisiko

Registrierung aller kritischen IKT-Drittanbieter, vertragliche Mindestanforderungen (Audit-Rechte, Exit-Strategien, SLA), Konzentrationrisiko-Überwachung. IKT-Drittparteienregister bis 31. März 2026 an zuständige Behörden einzureichen.

Informationsaustausch

Teilnahme an Cyber-Threat-Intelligence-Sharing und branchenweite Zusammenarbeit. Freiwilliger Austausch von Bedrohungsinformationen zwischen Finanzunternehmen zur Stärkung der kollektiven Resilienz.

Unsere DORA-Beratungsleistungen

KO‑MO‑TEL unterstützt Sie bei allen Aspekten der DORA-Compliance – von der initialen Gap-Analyse bis zur kontinuierlichen Aufrechterhaltung der Anforderungen. Unsere Experten kennen die regulatorischen Anforderungen und die technische Umsetzung gleichermaßen.

1

DORA Gap-Assessment

Bestandsaufnahme Ihrer aktuellen IKT-Landschaft und Abgleich mit DORA-Anforderungen (Art. 6–45). Priorisierung von Handlungsfeldern und Entwicklung einer Roadmap mit Zeitplan und Budget. Dauer: 2–4 Wochen.

Gap-Assessment-Bericht (50–80 Seiten)
2

IKT-Risikomanagement-Framework

Implementierung eines DORA-konformen Risikomanagement-Frameworks. Integration mit bestehendem ISMS (z.B. ISO 27001), Entwicklung von Richtlinien und Prozessen, Business-Impact-Analysen, Disaster-Recovery- und Business-Continuity-Pläne. Dauer: 3–6 Monate.

IKT-Risikomanagement-Dokumentation
3

IKT-Drittanbieter-Management

Inventarisierung aller IKT-Drittdienstleister, Risikobewertung und Klassifizierung (kritisch vs. nicht-kritisch), Vertragsüberprüfung und -anpassung (Audit-Klauseln, Exit-Strategien), Aufbau des IKT-Drittparteien-Registers gemäß Art. 28. Dauer: 2–4 Monate.

Vendor-Register & Vertragsmuster
4

Incident-Response-Prozesse

Definition von IKT-Vorfallkategorien, Implementierung eines Vorfallmanagement-Prozesses, technische Tools (SIEM, Logging, Alerting), Schulung des Incident-Response-Teams, Testläufe und Tabletop-Übungen. Integration mit BaFin-Meldesystemen. Dauer: 2–3 Monate.

Incident-Response-Plan
5

TLPT – Penetration Testing

Planung und Scoping gemäß DORA Art. 26, Threat-Intelligence-Analyse, Red-Team-Tests durch zertifizierte Pentester (OSCP, CEH, GPEN), Berichterstattung und Remediation-Planung. Regelmäßige Wiederholung jährlich oder bei wesentlichen Änderungen.

TLPT-Bericht & Remediation-Roadmap
6

Kontinuierliche Compliance

Regelmäßige Reviews (quartalsweise oder halbjährlich), Anpassungen bei regulatorischen Änderungen, Schulungen und Awareness-Maßnahmen, Audit-Support für interne und externe Audits. Compliance-Dashboards für die Geschäftsleitung.

Compliance-Dashboard & Schulungen

Strafen bei Nicht-Einhaltung

DORA sieht empfindliche Sanktionen bei Verstößen vor. Die BaFin hat angekündigt, DORA-Compliance ab 2025 streng zu überwachen.

10 Mio. EUR

Maximale Geldbuße

2%

Oder Prozent vom Umsatz

Ja

Persönliche Haftung

Möglich

Operationale Einschränkungen

Die BaFin hat angekündigt, DORA-Compliance ab 2025 streng zu überwachen. Bußgelder bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes drohen. Geschäftsleitungsmitglieder können persönlich haftbar gemacht werden. Handeln Sie jetzt.

Warum KO‑MO‑TEL für DORA-Compliance?

30+ Jahre Finanzsektor-Expertise

Seit 1994 betreuen wir IT-Projekte für Banken, Sparkassen, Versicherungen und Zahlungsdienstleister. Wir kennen die BaFin-Anforderungen (BaIT, VAIT) und verstehen die regulatorische Komplexität.

Technische Tiefe

Zertifizierte Cyber-Security-Experten (CISSP, CEH, OSCP), Erfahrung mit Penetrationstests und TLPT, SIEM/SOC-Implementierungen und Cloud-Security-Expertise (Azure, AWS, GCP).

Ganzheitlicher Ansatz

Integration von DORA mit ISO 27001, NIS2, BaIT/VAIT. Ein Ansprechpartner für Compliance, Implementierung und Betrieb. Synergien nutzen statt doppelt arbeiten.

Regionale Nähe

Sitz in München – vor Ort wenn nötig. Persönlicher Kontakt und schnelle Reaktionszeiten. Vertrautheit mit dem bayerischen Mittelstand.

DORA-konforme Verträge seit 2025

Wir haben DORA-konforme Vertragsklauseln für alle Finanzunternehmen-Kunden seit Januar 2025 implementiert: SLA (99,5% Verfügbarkeit), Audit-Rechte, Exit-Strategien, Meldepflichten.

Transparente Preise

Kleinere Institute: 50.000–150.000 EUR (Gap-Analyse + Basis-Implementierung). Mittlere bis große Institute: 200.000–1.000.000+ EUR (vollständige Umsetzung inkl. TLPT). Individuelles Angebot nach Erstgespräch.

Häufig gestellte Fragen zu DORA

Bereit für den nächsten Schritt?

Lassen Sie uns gemeinsam herausfinden, wie wir Ihre IT voranbringen können.

Kontakt aufnehmen
AnrufenWhatsAppE-Mail