Navigieren durch DORA: die EU-Verordnung für digitale Resilienz im Finanzwesen

Mai 12, 2025 10 Minuten Lesezeit

Seit seiner Durchsetzung hat sich der Digital Operational Resilience Act (DORA) zu einer bestimmenden Kraft im Umgang des Finanzsektors mit IKT-Risiken, Sicherheit und Abhängigkeiten von Dritten entwickelt. Während die Bedeutung des DORA in der Theorie klar ist - ein einheitliches Rahmenwerk zur Stärkung der digitalen Widerstandsfähigkeit – bereitet die system-, anbieter- und betriebsübergreifende Anwendung vielen Institutionen noch immer Unsicherheit.

Dies ist nicht nur eine weitere Zusammenfassung der DORA-Verordnung. Sie wissen bereits, was auf dem Spiel steht. Die eigentliche Frage lautet: Sind Ihre Systeme, Partner und internen Kontrollen wirklich auf das DORA-Framework abgestimmt und wie sieht Ihre Strategie für eine langfristige und nachhaltige Einhaltung aus?

Nehmen Sie also Platz – ich erkläre Ihnen, was DORA wirklich von Ihrem Unternehmen erwartet und, was noch wichtiger ist, wie Sie diese Erwartungen erfüllen können, ohne nachzulassen.

DORA-Framework und der Anstoß für eine einheitliche digitale Risikosteuerung

DORA, offiziell bekannt als Verordnung (EU) 2022/2554, ist eine verbindliche EU-Verordnung, die am 16. Januar 2023 in Kraft trat und am 17. Januar 2025 anwendbar wurde. Ihre Einführung war kein theoretischer Schritt. Sie war eine direkte Reaktion auf die zunehmenden Cyberbedrohungen im Finanzsektor. Da Finanzinstitute bei der Bereitstellung digitaler Dienste zunehmend auf Cloud-Infrastrukturen, SaaS-Plattformen und andere externe Partner angewiesen sind, sind sie auch anfälliger für zusammenhängende Risiken geworden, die schwer vorherzusagen, einzudämmen und zu beheben sind.

Die Zahlen sprechen für sich: Im Jahr 2024 beliefen sich die durchschnittlichen Kosten eines Datenschutzverstoßes im Finanzwesen auf 6,08 Millionen US-Dollar, und liegen damit 22 % über dem weltweiten Durchschnitt von $4,88 Millionen US-Dollar bei allen Branchen.

Vorfälle in der Praxis haben die Notwendigkeit einer besseren Widerstandsfähigkeit nur noch verstärkt. 2018 versuchte die TSB eine ausführliche Migration ihrer Kernbankenplattform. Mangelhaftes Risikomanagement, unzureichende Tests und ineffektives Vorfallmanagement führten zu weitreichenden Ausfällen, die Tausenden von Kunden den Zugriff auf ihre Konten verwehrten. Infolgedessen verhängten die Aufsichtsbehörden eine Geldstrafe von 48,65 Millionen Pfund gegen die TSB wegen operationeller Risiken und Steuerungsverstößen.

In ähnlicher Weise erlitt Capital One eine massive Sicherheitsverletzung 2019 aufgrund einer falsch konfigurierten Firewall in seiner Cloud-Infrastruktur. Dadurch wurden Daten von über 100 Millionen Kunden offengelegt. Die Folgen waren Strafen in Höhe von 80 Millionen US-Dollar und hohe Wiederherstellungskosten.

Die Probleme hörten damit nicht auf. Der CrowdStrike-Ausfall im Juli 2024 machte die Verflechtung der digitalen Infrastruktur schmerzlich deutlich. Ausgelöst durch ein fehlerhaftes Update breitete sich der Ausfall auf kritische Systeme aus - Flüge wurden gestoppt, Bankgeschäfte eingefroren und professionelle Dienstleistungen eingestellt. Es handelte sich nicht nur um eine technische Panne, sondern um eine groß angelegte Krise der Geschäftskontinuität, die zeigte, wie Ausfälle von IKT durch Dritte systemische Folgen haben können.

DORA war daher die Antwort der EU: eine ausführliche, durchsetzbare Verordnung, die die Lücke in der digitalen Widerstandsfähigkeit schließen soll, mit klarer Verantwortlichkeit, harmonisierten Standards und einem Rahmen, der für die vernetzte Wirtschaft von heute geeignet ist.

Warum hat die Einhaltung von DORA jetzt eine geschäftskritische Priorität

Stellen Sie sich das so vor: Cybersicherheit war früher etwas, das man mit jährlichen Audits, einigen Incident-Playbooks und einer Handvoll isolierter Richtlinien in der IT-Abteilung abhakte. Doch mit DORA reicht dieses Modell nicht mehr aus. DORA-Sicherheit liegt nun in der Verantwortung aller – von den Ingenieuren bis zu den Führungskräften.

Es geht nicht nur darum, den Einsatz einer Firewall nachzuweisen – es geht darum, zu beweisen, dass die gesamte digitale Lieferkette auch bei einem Angriff weiterlaufen kann. DORA holt die Cybersicherheit aus dem Schatten in die Vorstandsetage und zwingt die Unternehmen, digitale Risiken als geschäftskritisches Thema zu behandeln, nicht nur als technisches Problem.

Wer muss sich daran halten?

Die DORA-EU-Verordnung gilt für mehr als 20 Kategorien von Finanzunternehmen in der gesamten EU, darunter:

Banken, Versicherer und Investmentfirmen
Zahlungs- und E-Geld-Institute
Anbieter von Krypto-Asset-Diensten
Handelsplätze, Clearinghäuser und Zentralverwahrer
Ratingagenturen, Schwarmfinanzierungsplattformen und mehr

Die Bedeutung von DORA geht jedoch über das traditionelle Finanzwesen hinaus. Die Verordnung rückt auch kritische IKT-Dienstleister in den Fokus der Compliance. Das bedeutet: Wenn Sie Technologien bereitstellen, die eine Kernfunktion eines Finanzunternehmens unterstützen – sei es Cloud-Infrastruktur, Datenanalyse, SaaS für Zahlungen oder Onboarding, KYC/AML-Tools, KI-basierte Betrugserkennung oder sogar API-Plattformen zur Verbindung von Kernsystemen – sind Sie nun Teil der Compliance-Kette.

Die Risiken der Nichteinhaltung

Die Nichteinhaltung der DORA-Standards gefährdet Ihren Betrieb, Ihren Ruf und Ihre langfristige Strategie. Im Rahmen von DORA sind die Europäischen Aufsichtsbehörden (EBA, ESMA und EIOPA) nun befugt, finanzielle Sanktionen, öffentliche Verweise und verbindliche Beseitigungsmaßnahmen zu verhängen. Noch wichtiger: In Fällen, in denen ein externer IKT-Anbieter als Bedrohung für die Betriebsstabilität eingestuft wird, ermöglicht DORA den Aufsichtsbehörden, die Kündigung von Verträgen zu erzwingen, selbst mit Anbietern, die Kerninfrastruktur oder wesentliche digitale Dienste bereitstellen.

Doch die regulatorischen Konsequenzen sind nur ein Teilaspekt. Die tatsächlichen Kosten der Nichteinhaltung sind vielschichtig:

Regulierungsruf: Institutionen, die die DORA-Anforderungen nicht erfüllen, können als Hochrisikoinstitute eingestuft werden, was zu strengerer Aufsicht, mehr Inspektionen und weniger Flexibilität bei der Interaktion mit den Regulierungsbehörden führt.
Regulierungsruf: Institutionen, die die DORA-Anforderungen nicht erfüllen, können als Hochrisikoinstitute eingestuft werden, was zu strengerer Aufsicht, mehr Inspektionen und weniger Flexibilität bei der Interaktion mit den Regulierungsbehörden führt.
Verantwortlichkeit auf Vorstandsebene: DORA betrachtet die operationelle Belastbarkeit als Thema der Führungskräfte. Vorstände müssen Risikoschwellen festlegen, IKT-Rahmenwerke genehmigen und die Risikobehandlung überwachen, wobei bei schwerwiegenden Ausfällen eine persönliche Haftung möglich ist.
Geschäftskontinuität: Ein einziger IKT-Ausfall, sei er intern oder durch Dritte verursacht, kann weitreichende Störungen und Compliance-Verstöße zur Folge haben, die Vertrauen und Ruf schädigen.
Investoren- und Medienbeobachtung: Öffentliche IKT-Fehlschläge können Schlagzeilen und Bewertungen verursachen, mit langfristigen Auswirkungen auf das Vertrauen der Kunden, die Stimmung der Investoren und die Moral der Teams.

Deshalb suchen Finanzinstitute nicht nur nach Anbietern, sondern nach Partnern für mehr Resilienz. Sie wünschen sich Technologieanbieter, die die DORA-Compliance-Anforderungen verstehen, prüfbare Lösungen anbieten und durch starke SLAs, transparente Prozesse und kollaborative Tests Verantwortung übernehmen.

Schützen Sie Ihr Unternehmen. Erreichen Sie DORA-Konformität mit Zuversicht.

Der wahre Vorteil der DORA-Finanzregulierung

Für die Finanzinstitute bedeutet der DORA-Rahmen einen grundlegenden Wandel in der Art und Weise, wie operationelle Widerstandsfähigkeit die Marktführerschaft definiert. Compliance allein ist nicht mehr genug. DORA zwingt Finanzunternehmen dazu, zu beweisen, dass sie kritische Dienste auch bei schwerwiegenden IKT-Störungen aufrechterhalten können - selbst wenn Ausfälle in ausgelagerten Ökosystemen auftreten, die sich ihrer direkten Kontrolle entziehen.

Hier zeigt sich der strategische Wert:

Resilienz als Marktmerkmal: Institutionen, die die DORA-Standards einhalten und echte operationelle Belastbarkeit nachweisen können – geprüft, prüfbar und kontinuierlich überwacht – sind besser aufgestellt, um das Vertrauen ihrer Kunden zu gewinnen, B2B-Partnerschaften zu sichern und das Vertrauen der Investoren zu erreichen. In einem Finanzsektor, der zunehmend von digitaler Erfahrung und Kontinuität geprägt ist, wird nachgewiesene Belastbarkeit zu einem ebenso starken Differenzierungsmerkmal wie Preisgestaltung oder Produktinnovation.
Schnellere Wiederherstellung als strategischer Vorteil: Stellen Sie sich zwei Zahlungsanbieter vor, die vom gleichen Cloud-Service-Ausfall betroffen sind. Das Unternehmen, das Transaktionen dank bewährter Ausfallsicherungssysteme und einer soliden Notfallplanung durch Dritte innerhalb von Minuten umleitet, behält seine Kunden und seinen Ruf auf dem Markt. Das Unternehmen, das Stunden für die Wiederherstellung benötigt, riskiert Kundenverlust, behördliche Sanktionen und öffentliche Kritik.
Fremdsteuerung als Betriebsstabilität: DORA verpflichtet Unternehmen zur Ausweitung der Kontrolle über ausgelagerte IKT-Funktionen und verlangt vollständige vertragliche Rechte zur Prüfung, Überwachung und Intervention bei Drittaktivitäten. Institutionen, die diese Abhängigkeiten proaktiv managen, können ernsthafte Risiken vermeiden, die aus unstrukturierten Lieferantenbeziehungen resultieren.
Integration auf Vorstandsebene als Vertrauenssignal: Resilienz ist nicht länger eine IT-Funktion, die in technischen Abteilungen verborgen ist. Gemäß der EU-DORA-Verordnung müssen Vorstände IKT-Risiken aktiv steuern. Institutionen, die neben Kapital-, Liquiditäts- und Kreditrisiken auch Resilienz-KPIs in ihre Unternehmensrisikorahmen integrieren, zeigen Aufsichtsbehörden, Kunden und Partnern, dass sie es mit der operativen Nachhaltigkeit ernst meinen.

Tatsächlich verwandelt die DORA-Finanzregulierung Resilienz von einer defensiven Compliance-Übung in eine proaktive Geschäftsstrategie. Institutionen, die DORA als Chance begreifen, werden schneller vorankommen, besser wiederhergestellt werden und tieferes Vertrauen aufbauen als Wettbewerber, die sich noch immer ausschließlich auf technische Sicherheitsmaßnahmen konzentrieren.

"Bei Innowise haben wir die Anforderungen von DORA gründlich analysiert und unser Engagement für digitale Resilienz auf allen Ebenen bekräftigt. Ob Beratung, DevSecOps-Integration, Resilienztests oder vollständige Compliance-Unterstützung – wir verfügen über das nötige Know-how, um Sie an der Spitze zu halten. Wir bieten Ihnen außerdem die richtigen Tools und die nötige Betriebsdisziplin, um Sie bei der Gestaltung der Zukunft des sicheren Finanzwesens zu unterstützen. "

Dzianis Kryvitski

Delivery Manager in FinTech

DORA-Standards im Vergleich zu bestehenden Cybersicherheitsrahmen

Sie fragen sich vielleicht: Wenn es bereits Vorschriften wie die NIS-2 (Richtlinie zur Netzwerk- und Informationssicherheit) und die DSGVO (Datenschutz-Grundverordnung) gab, warum war DORA dann überhaupt notwendig? Ein gutes Argument – und tatsächlich spielen NIS-2 und DSGVO nach wie vor eine wichtige Rolle bei der Stärkung der Cybersicherheit und des Datenschutzes in der gesamten EU. Der Hauptunterschied besteht jedoch darin, dass DORA über den reinen Informationsschutz hinausgeht. Es konzentriert sich darauf, die kontinuierliche Bereitstellung kritischer Finanzdienstleistungen auch bei schweren IKT-Störungen sicherzustellen.

Um die Unterschiede deutlich zu machen, habe ich die wichtigsten davon in der folgenden Tabelle zusammengestellt:

Beschreibung	DORA	NIS 2	DSGVO
Reichweite	Gilt für Finanzunternehmen und kritische IKT-Drittanbieter im gesamten EU-Finanzsektor	Gilt für wesentliche und wichtige Unternehmen in kritischen Sektoren in der EU	Gilt weltweit für Organisationen, die personenbezogene Daten von EU-Bürgern verarbeiten
Zweck	Stärkung des IKT-Risikomanagements, der Aufsicht durch Dritte und der Betriebsbelastbarkeit für eine unterbrechungsfreie Bereitstellung von Finanzdienstleistungen	Verbesserung der allgemeinen Cybersicherheitsstandards in allen wichtigen Bereichen, darunter Energie, Verkehr, Gesundheitswesen und digitale Infrastruktur	Zum Schutz der persönlichen Daten und Datenschutzrechte der EU-Bürger
Vorfallsmeldung	Größere IKT-bezogene Vorfälle müssen ohne unnötige Verzögerung unter Verwendung standardisierter Vorlagen gemeldet werden	Bedeutende Cybersicherheitsvorfälle müssen den nationalen Behörden innerhalb von 24 Stunden gemeldet werden	Verletzungen des Schutzes personenbezogener Daten müssen innerhalb von 72 Stunden der Aufsichtsbehörde gemeldet werden
Drittanbieter-Risikomanagement	Obligatorische vertragliche Aufsicht, Überwachung und Ausstiegsstrategien für kritische IKT-Drittanbieter	Das Risikomanagement für die Cybersicherheit in der Lieferkette wird gefördert, ist aber im Vergleich zu DORA weniger normativ	Datenverarbeiter müssen die Sicherheit personenbezogener Daten gewährleisten, aber die Anforderungen an die betriebliche Belastbarkeit der Anbieter sind nicht definiert
Test- und Auditanforderungen	Erfordert regelmäßige Resilienztests, einschließlich erweiterten Threat-Led Penetration Testing (TLPT) alle drei Jahre für kritische Einheiten	Erfordert Risikobewertungen und allgemeine Cybersicherheitsmaßnahmen, aber keine verbindlichen Standards für Resilienz oder Penetrationstests	Erfordert angemessene technische und organisatorische Sicherheitsmaßnahmen, aber keine obligatorischen Resilienztests
Führungskräfte und Verantwortlichkeit	Vorstand und Leitung müssen das IKT-Risikomanagement definieren, genehmigen, überwachen und dafür verantwortlich sein	Das Management muss Cybersicherheitsmaßnahmen genehmigen, die Steuerung der Betriebsbelastbarkeit ist jedoch weniger detailliert	Datenverantwortliche und Verarbeiter sind für den Datenschutz verantwortlich, es gibt jedoch keine spezifischen Anforderungen an die Steuerung der Betriebsbelastbarkeit
Enalties	Es sind keine festen Strafen festgelegt; die nationalen und EU-Aufsichtsbehörden sind befugt, Geldbußen und Behebungsmaßnahmen zu verhängen oder die Kündigung kritischer Verträge mit Drittparteien anzuordnen	Wesentliche Unternehmen: bis zu 10 Mio. € oder 2 % des weltweiten Umsatzes; Wichtige Unternehmen: bis zu 7 Mio. € oder 1,4 % des weltweiten Umsatzes	Schwerwiegende Verstöße: bis zu 20 Mio. € oder 4 % des weltweiten Umsatzes; Leichtere Verstöße: bis zu 10 Mio. € oder 2 % des weltweiten Umsatzes

Umsetzung der DORA-Compliance-Anforderungen in Geschäftsmaßnahmen

Die DORA-Compliance basiert auf fünf Säulen. Zusammengenommen stellen diese Säulen Finanzinstitute vor die Herausforderung, ihr digitales Risikomanagement als Kernkompetenz zu überdenken. Wir erläutern die wichtigsten Punkte und wie Innowise Sie dabei unterstützen kann, die richtigen Schritte zur vollständigen Compliance zu unternehmen.

1. IKT-Risikomanagement: Digitale Resilienz in den Kernbetrieb integrieren

DORA verpflichtet Finanzinstitute, digitale Resilienz in jeden Schritt ihrer Tätigkeit zu integrieren – von der Risikoidentifizierung über den Schutz, die Erkennung, die Reaktion bis hin zur Wiederherstellung. Es geht nicht darum, erst zu reagieren, wenn etwas schiefgeht. Es geht darum, immer einen Schritt voraus zu sein, Störungen zu minimieren und Ihre Systeme zu stärken, bevor Probleme auftreten.

Wie kann Innowise Sie unterstützen

Kritische Systeme und Risikokartierung: Wir erfassen Ihre Kerngeschäftsfunktionen und IKT-Ressourcen, um Schwachstellen zu erkennen, bevor diese zu Krisen werden.
Bedrohungserkennung in Echtzeit: Unsere Teams konfigurieren SIEM- und SOAR-Plattformen und optimieren sie, um eine kontinuierliche Überwachung im Einklang mit den DORA-Sicherheitsprinzipien zu gewährleisten.
GRC-Plattformintegration: Wir helfen Ihnen bei der Auswahl, Anpassung und Einbindung von GRC-Tools in Ihre Arbeitsabläufe und machen die Risikoverfolgung zu einem Teil Ihres Tagesgeschäfts.
Kontinuierliche Risikoprüfung und -überwachung: Wir führen regelmäßig Bedrohungsmodellierung, Penetrationstests und automatisierte Code-Scans durch, um Risiken frühzeitig zu erkennen und die Abwehr zu stärken.
Bewährte Methoden für DevSecOps: Wir integrieren Sicherheitsprüfungen direkt in Ihre Entwicklungspipelines, sodass die Resilienz eingebaut und nicht aufgeschraubt ist.

2. Meldung von Vorfällen: Optimierung der Erkennung und behördlichen Benachrichtigungen

Finanzinstitute müssen IKT-bezogene Vorfälle schnell erkennen, klassifizieren und den Aufsichtsbehörden melden, wobei strenge Vorlagen und Fristen eingehalten werden müssen. Eine unorganisierte oder verspätete Reaktion kann zu Reputationsschäden, behördlichen Sanktionen oder, schlimmer noch, zu einem Verlust des Marktvertrauens führen. Um die Anforderungen von DORA zu erfüllen, müssen Unternehmen Ad-hoc-Prozesse in optimierte, prüfbare Arbeitsabläufe umwandeln.

Wie kann Innowise Sie unterstützen

Automatisierte Erkennung und Reaktion: Wir richten intelligente Systeme ein, die Vorfälle je nach Kritikalität sofort kennzeichnen, klassifizieren und eskalieren.
Regulatorisch kompatible Reporting-Tools: Unsere Experten erstellen oder optimieren Ihre Berichtssysteme, um automatisch Berichte zu generieren, die den DORA-Anforderungen entsprechen.
Simulationsübungen und Tabletop-Testen: Wir organisieren Live-Fire-Übungen, um Ihre Reaktions- und Meldeprozesse auf die Probe zu stellen.
Schnelle Vorfallunterstützung: Unsere Teams stehen Ihnen zur Seite, um Sie ohne Panik durch reale Eskalationen und Meldefristen zu führen.
Sicherheitsorientierte Vorfallerkennung: Wir empfehlen außerdem die Implementierung sicherer Codierungspraktiken und Echtzeitüberwachung, um Probleme früher zu erkennen und nicht erst, wenn der Schaden bereits entstanden ist.

3. Digitale Betriebsbelastbarkeitstests: Stresstests für Systeme, bevor sie ausfallen

DORA verlangt von Unternehmen nicht nur, Resilienz zu deklarieren. Es verlangt von ihnen auch, diese durch regelmäßige, bedrohungsorientierte Tests der digitalen Betriebsbelastbarkeit (TLPT) nachzuweisen. Institutionen müssen kritische Systeme extremen, realistischen Szenarien aussetzen, um versteckte Schwachstellen aufzudecken und die Wiederherstellungsmöglichkeiten zu validieren.

Wie kann Innowise Sie unterstützen

Penetrationstests und Red Teaming: Wir simulieren reale Cyberangriffe und Systemausfälle, um Schwachstellen zu finden, bevor Angreifer sie entdecken.
Bedrohungsorientierte Testprogramme: Unsere Spezialisten entwickeln TLPT-Programme, die auf Ihre Geschäftsrisiken und regulatorischen Anforderungen zugeschnitten sind.
Testen des Notfallwiederherstellungsplans: Wir führen umfassende Notfallwiederherstellungsübungen und Wiederherstellungspunkttests durch, um zu prüfen, ob Ihr Unternehmen im entscheidenden Moment wieder auf die Beine kommt.
Automatisierte Test-Frameworks: Wir unterstützen Sie bei der Automatisierung von Resilienztests und der Nachverfolgung der Ergebnisse, damit Sie den Aufsichtsbehörden echte Beweise vorlegen können.
Sichere Entwicklung und Resilienz: Wir beraten außerdem zu sicheren Softwareentwicklungspraktiken, Bedrohungsmodellierung und Risikobewertung, um Systeme vor dem Testen zu stärken.

4. IKT-Drittanbieter-Risikomanagement: Kontrolle der Risiken über Ihren Unternehmensbereich hinaus

Nach DORA sind Finanzinstitute direkt für die Zuverlässigkeit ihrer externen IKT-Anbieter verantwortlich – von Cloud-Dienstleistern und Softwareanbietern bis hin zu externen IT-Partnern. Der Ausfall eines Lieferanten könnte für Sie sofort zu einer regulatorischen Krise werden. Deshalb verlangt die DORA-Finanzregulierung kontinuierliche Überwachung und dokumentierte Kontrollen aller IKT-Partner.

Wie kann Innowise Sie unterstützen

Aufbau einer Risikoliste für Lieferanten: Innowise erstellt zentralisierte Systeme, die alle Ihre IKT-Lieferanten, Abhängigkeiten und Belastbarkeitslücken verfolgen.
Prüfungen und Beurteilungen von Dritten: Unsere Teams führen detaillierte Resilienz-Audits bei wichtigen Anbietern durch – von der Cybersicherheitsabwehr bis hin zur Bereitschaft zur Reaktion auf Vorfälle.
Echtzeit-Überwachung von Dritten: Wir integrieren intelligente Tools, die Lieferantenrisiken, Vertragseinhaltung und Frühwarnsignale kontinuierlich verfolgen.
Beratung zur Vertragsstabilität: Unsere Experten prüfen und stärken die Verträge mit IKT-Anbietern mit integrierten Risikominderungs-, Transparenz- und Ausstiegsklauseln.
DevSecOps-Ausrichtung von Drittanbietern: Wir helfen Ihnen sicherzustellen, dass Ihre kritischen Lieferanten bereits ab dem Onboarding sichere Entwicklungs- und Betriebsstandards einhalten.

5. Informationsaustausch: Gemeinsam die Resilienz des gesamten Sektors stärken

Die DORA-Cybersicherheitsverordnung ermutigt Finanzinstitute, Informationen über Cyberbedrohungen, Schwachstellen und Vorfälle aktiv auszutauschen – nicht nur als Formalität, sondern als strategischen Abwehrmechanismus. Durch die Beteiligung an vertrauenswürdigen Netzwerken stärken Organisationen ihre kollektive Widerstandsfähigkeit und erhalten frühzeitige Warninformationen, die größere Störungen verhindern können.

Wie kann Innowise Sie unterstützen

Einrichtung einer Threat-Intelligence-Plattform: Wir verbinden Ihre Systeme mit vertrauenswürdigen Intelligence-Netzwerken und integrieren Bedrohungsdaten in Ihre internen Verteidigungssysteme.
Sichere Workflows für den Informationsaustausch: Unsere Berater entwickeln sichere und konforme Methoden zum Teilen und Empfangen von Bedrohungsinformationen, ohne vertrauliche Daten preiszugeben.
Cyber-Intelligence-Analyse: Wir helfen Ihnen dabei, eingehende Bedrohungsdaten in klare, umsetzbare Erkenntnisse umzuwandeln, die Ihre Risikolage verbessern.
Support der öffentlich-privaten Partnerschaft: Wir unterstützen mit technischen und rechtlichen Rahmenbedingungen, um eng mit Regulierungsbehörden und Sektor-Resilienzprogrammen zusammenzuarbeiten.
Proaktive Risikomodellierung: Wir unterstützen Sie außerdem bei der Modellierung von Risiken auf der Grundlage externer Bedrohungsinformationen, sodass Sie sich auf das vorbereiten, was kommt, und nicht auf das reagieren, was bereits passiert ist.

Bauen Sie unaufhaltsame Widerstandsfähigkeit auf und behalten Sie mit Innowise die Nase vorn.

Beginnen Sie Ihre Reise zur vollständigen DORA-Sicherheit

Die Erfüllung der DORA-Compliance-Anforderungen erfordert einen klaren, strukturierten Ansatz, der Risikomanagement, Reaktion auf Vorfälle, externe Aufsicht und Betriebstests miteinander verbindet. Ich habe die wesentlichen Schritte skizziert, die Ihnen helfen, von der Compliance auf dem Papier zur Resilienz in der Praxis zu gelangen.

Überprüfen Sie Ihr IKT-Risikomanagement-Framework

Prüfen Sie, ob Sie über ein formales Rahmenwerk für das IKT-Risikomanagement verfügen. Falls nicht, sollten Sie zunächst eines entwickeln. Nutzen Sie etablierte Standards als Grundlage und richten Sie diese am gesamten Risikolebenszyklus von DORA aus.

Identifizieren Sie Lücken im Vergleich zu den DORA-Anforderungen

Prüfen Sie, ob Ihr aktuelles Framework die DORA-Erwartungen vollständig erfüllt. Konzentrieren Sie sich auf Sicherheitstests, Resilienz-KPIs, Drittanbieter-Risikomanagement und Steuerung, um Ihre unmittelbaren Prioritäten festzulegen.

Verstärken Sie Ihre Reaktion auf Vorfälle und Berichterstattung

Bewerten Sie Ihre Vorfallerkennung, -eskalation und -berichterstattung. Stellen Sie sicher, dass sie den zeitlichen und inhaltlichen Anforderungen von DORA entsprechen. Aktualisieren Sie bei Bedarf Workflows, Berichtsvorlagen und Eskalationspfade.

Erstellen Sie ein bedrohungsorientiertes Testprogramm

Erstellen Sie einen Plan für Resilienztests. Legen Sie fest, welche Systeme Sie testen werden, wie oft und wie die Ergebnisse dokumentiert werden. Berücksichtigen Sie gegebenenfalls Penetrationstests, szenariobasierte Übungen und Red Teaming.

Entwickeln Sie einen DORA-Compliance-Plan

Erstellen Sie einen strukturierten Plan, der erforderliche Investitionen, System-Upgrades, Steuerungsänderungen und Mitarbeiterschulungen umfasst. Priorisieren Sie kritische Bereiche und richten Sie die Zeitpläne an den regulatorischen Meilensteinen aus.

Automatisieren Sie Risikoüberwachung und Compliance-Berichterstattung

Automatisieren Sie Risikobewertungen, Vorfallverfolgung und Compliance-Berichte. Maßgeschneiderte Software, DevSecOps-Praktiken und integrierte Überwachungstools machen Compliance skalierbar, wiederholbar und überprüfbar.

01 Überprüfen Sie Ihr IKT-Risikomanagement-Framework

02 Identifizieren Sie Lücken im Vergleich zu den DORA-Anforderungen

03 Verstärken Sie Ihre Reaktion auf Vorfälle und Berichterstattung

04 Erstellen Sie ein bedrohungsorientiertes Testprogramm

05 Entwickeln Sie einen DORA-Compliance-Plan

06 Automatisieren Sie Risikoüberwachung und Compliance-Berichterstattung

Obwohl diese Schritte eine solide Grundlage bieten, gestaltet sich der Weg zur DORA-Sicherheit für jedes Unternehmen anders. Möglicherweise benötigen Sie einen breiteren Rahmen, einen tieferen Fokus oder einfach mehr Sicherheit, dass nichts übersehen wurde. In diesen Fällen ist es am klügsten, Cybersicherheits-Experten an Ihrer Seite zu haben – Fachleute, die Sie durch den gesamten Prozess führen und die kritischen Bereiche gründlich analysieren können.

Innowise-Expertise für DORA-Compliance

Die Einhaltung der DORA-Vorschriften erfordert ausgewiesene Expertise in den Bereichen Cybersicherheit, operationelle Belastbarkeit und regulatorische Bereitschaft. Innowise verfügt über eine solide Grundlage anerkannter Standards, Frameworks und praxisnaher technischer Fähigkeiten, die sich nahtlos an die DORA-Anforderungen anpassen. DORA-Anforderungen.

Unsere Expertise in den Bereichen Compliance und Resilienz umfasst:

ISO 27001-Zertifizierung (Informationssicherheits-Managementsystem)

Wir wenden die Best Practices der ISO 27001 an, um solide Rahmenbedingungen für Risikomanagement, Governance und Vorfallreaktion zu schaffen, die die entscheidende Grundlage für die Einhaltung der DORA-Vorschriften bilden.

Ausrichtung auf das NIST-Cybersicherheits-Framework

Wir strukturieren unsere Resilienzprogramme nach den Prinzipien des NIST und decken die Identifizierung, Abwehr, Erkennung, Reaktion und Wiederherstellung von Bedrohungen ab, ganz im Einklang mit dem operativen Risikoansatz von DORA.

SOC 2 Typ II-Konformität (für Cloud-basierte Dienste und Managed Services)

Bei der Bereitstellung von Cloud- oder Managed Services gewährleistet unsere SOC 2-Konformität robuste Kontrollen hinsichtlich Datensicherheit, Verfügbarkeit und Vertraulichkeit, um die Anforderungen von DORA an die Drittanbieter-Aufsicht zu erfüllen.

Erweitertes Cloud Security Posture Management (CSPM)

Wir verwenden führende CSPM-Tools (wie Chef Compliance, tfsec, OpenSCAP, CloudBots), um Fehlkonfigurationen in Cloud-Umgebungen zu erkennen und zu beheben und so das Betriebsrisiko zu reduzieren.

Kontinuierliche Compliance-Überwachung und Berichterstattung

Tools wie ELK, Nagios, Prometheus, Grafana und Kibana ermöglichen es uns, Compliance-Status, Einblicke in Vorfälle und Resilienztrends in Echtzeit bereitzustellen, die für die Überwachungs- und Berichtserwartungen von DORA von entscheidender Bedeutung sind.

Integrierte Compliance-Kontrollen

Unsere Entwicklungs- und Betriebspraktiken umfassen vorab genehmigte Compliance-Kontrollen durch Tools wie Terraform und Ansible und gewährleisten so die regulatorische Bereitschaft in jeder Phase des Technologielebenszyklus.

Automatisierte Compliance-Audits

Regelmäßige Resilienz-Audits mithilfe von Plattformen wie Lynis, Wazuh, Checkov, OpenSCAP und CIS-CAT sorgen dafür, dass die betrieblichen Resilienzpraktiken aktuell und für die behördliche Kontrolle bereit sind.

Machen Sie Ihre Compliance mit der Expertise von Innowise zukunftssicher.

DORA und die Zukunft der finanziellen Cybersicherheit

DORA erschüttert die Finanzwelt – ohne Übertreibung gesagt. Die Regulierung ist in vollem Gange, doch für viele Institutionen und Anbieter herrscht noch Unsicherheit. Ich habe in letzter Zeit unzählige Gespräche mit Technologieleitern, Compliance-Teams und Vorstandsmitgliedern geführt, um die Bedeutung von DORA in der Praxis zu ergründen. Hier sind die häufigsten Fragen, die mir gestellt werden – und meine Einschätzung der weiteren Entwicklung.

DORA ist hier. Und was jetzt?

Mit der Einführung von DORA haben die meisten Finanzinstitute die Planungsphase abgeschlossen und sind nun in der Praxis angekommen. Die Realität sieht jedoch so aus: Viele Unternehmen sind noch nicht vollständig am Ziel. Laut einer McKinsey-Umfrage von Mitte 2024 war nur etwa ein Drittel der Unternehmen zuversichtlich, alle DORA-Anforderungen bis Januar 2025 erfüllen zu können. Selbst die zuversichtlichen Unternehmen gaben zu, dass sie noch bis weit in dieses Jahr hinein an der Optimierung ihrer Prozesse arbeiten würden. Die größte Herausforderung? Das Management von Drittanbieterrisiken im großen Maßstab. Für viele war es schon ein Projekt für sich, herauszufinden, welche Anbieter im Rahmen des DORA-Frameworks als „kritisch“ gelten.

Was passiert also tatsächlich in der Praxis? Die Teams organisieren sich besser. Unternehmen richten spezielle DORA-Programme ein, beziehen Mitarbeiter aus IT, Recht, Compliance und Beschaffung ein und investieren in Plattformen, die alles unter einem Dach vereinen. DORA wird zunehmend nicht mehr nur als „eine weitere IT-Sache“ betrachtet, sondern ist ein Thema auf Vorstandsebene. Eine wiederkehrende Herausforderung ist die Zusammenarbeit mit kleineren Technologieanbietern, die schlicht nicht über die Ressourcen verfügen, um alle Compliance-Anforderungen zu erfüllen. Das bedeutet, dass einige Finanzinstitute mittlerweile nicht mehr nur als Kunden, sondern als Support-Partner agieren.

Und der Druck ist nicht auf DORA beschränkt. Innerhalb der EU verschärft NIS 2 die Regeln für kritische Infrastrukturen, und die Cyberresilienz-Verordnung wird die Produktsicherheit unter die Lupe nehmen. Unterdessen beobachten Regulierungsbehörden außerhalb der EU die Entwicklung aufmerksam. Die britischen FCA und PRA haben bereits eigene Resilienzregeln eingeführt, und in den USA erwartet die SEC nun von börsennotierten Unternehmen, dass sie ihren Umgang mit Cyberrisiken offenlegen. Langfristig betrachtet ist die DORA-Finanzregulierung nicht nur eine europäische Regel, sondern ein globaler Ausgangspunkt.

Werden KI und Automatisierung die Einhaltung von Vorschriften erleichtern?

KI für die Einhaltung gesetzlicher Vorschriften wird definitiv eine größere Rolle spielen – nicht nur in der Theorie, sondern auch im täglichen Betrieb. Viele Teams nutzen bereits Tools zur Verarbeitung natürlicher Sprache (NLP), um riesige Stapel von Verträgen und Lieferantenvereinbarungen zu sichten. Diese Tools helfen dabei, Warnsignale automatisch zu erkennen, wie beispielsweise fehlende Auditrechte oder unklare Garantien für die Wiederherstellungszeit. Anstatt sich darauf zu verlassen, dass Anwälte oder Compliance-Leiter jede Zeile manuell durchgehen, setzen Unternehmen KI ein, um Risiken im Voraus zu erkennen und die Dokumentation vom ersten Tag an lückenlos zu halten.

Auch im Bereich der Automatisierung schreitet die Entwicklung rasant voran. Tools wie SOAR – kurz für Security Orchestration, Automation and Response – erleichtern die Bewältigung von Vorfällen deutlich, ohne dass Chaos entsteht. Nehmen wir an, es kommt zu einem Ausfall. Diese Plattformen können Warnmeldungen auslösen, Abläufe sperren und sogar den ersten DORA-konformen Bericht für Aufsichtsbehörden erstellen – und das alles ohne menschliches Eingreifen. Und auch GRC-Plattformen wie ServiceNow oder MetricStream entwickeln sich weiter. Sie bieten intelligente Dashboards, automatisierte Resilienztests und Bots, die Teams daran erinnern, wann sie Übungen durchführen oder KPIs von Drittanbietern überprüfen müssen.

Welche Auswirkungen hat DORA auf das Outsourcing der Softwareentwicklung?

DORA reguliert zwar nicht direkt Technologieanbieter, macht Finanzinstitute aber voll verantwortlich für die Belastbarkeit der von ihnen genutzten Software. Das ist ein wichtiger Aspekt. Banken, Versicherer und Fintechs können ein Entwicklerteam nicht mehr einfach nach Geschwindigkeit oder Budget auswählen. Wenn Ihr Code in einem auch nur annähernd kritischen Bereich – wie Zahlungen, Onboarding oder Handelsplattformen – zum Einsatz kommt, muss Ihr Kunde nachweisen, dass die Software sicher, getestet und durchgängig nachvollziehbar ist.

Wie sieht das in der Praxis aus? Beschaffungsteams fordern mittlerweile bereits im Vorfeld sichere SDLC-Dokumentationen, automatisierte Testprotokolle und Schwachstellen-Scan-Berichte. Verträge werden mit Resilienzklauseln aktualisiert, die alles von Backup-Wiederherstellungszeiten bis hin zu den Verantwortlichkeiten für die Reaktion auf Vorfälle abdecken. Manche Unternehmen führen sogar gemeinsame Tests mit ihren Lieferanten durch, um die Reaktionszeiten zu testen. Kurz gesagt: Wenn Sie Finanzsoftware für einen Kunden entwickeln, sind Sie nun Teil seiner Compliance-Verantwortung.

Abschließende Gedanken

Ich hoffe, Sie haben nach diesem Beitrag etwas mehr Vertrauen in DORA gewonnen – oder sich zumindest die richtigen Fragen gestellt. Und ehrlich gesagt ist das schon ein großer Schritt. Egal, ob Sie gerade erst mit der Verordnung beginnen oder schon mitten in der Umsetzung stecken – der Weg zur Einhaltung muss nicht überwältigend sein.

Wir von Innowise helfen Ihnen dabei, sich im DORA-Labyrinth zurechtzufinden, echte digitale Widerstandsfähigkeit aufzubauen und Ihr Unternehmen nicht nur jetzt, sondern vor allem, was danach kommt, zu schützen.

Siarhei Sukhadolski

FinTech-Experte

Siarhei leitet unsere FinTech-Strategie mit fundierten Branchenkenntnissen und einem klaren Blick für die digitale Finanzwelt. Er unterstützt Kunden bei der Bewältigung komplexer Regulierungen und technischer Entscheidungen und entwickelt Lösungen, die nicht nur sicher, sondern auch wachstumsorientiert sind.

Mehr erfahren

Inhaltsübersicht

Kontakt aufnehmen

Anruf vereinbaren oder füllen Sie das Formular unten aus und wir melden uns bei Ihnen, sobald wir Ihre Anfrage bearbeitet haben.

Name

Unternehmen

E-Mail

Telefon

Nachricht

Senden Sie uns eine Sprachnachricht

Fügen Sie die Dokumente bei

Datei hochladen

Sie können 1 Datei mit bis zu 2 MB anhängen. Gültige Dateiformate: pdf, jpg, jpeg, png.

Durch Klicken auf Senden erklären Sie sich damit einverstanden, dass Innowise Ihre personenbezogenen Daten gemäß unserer Datenschutzrichtlinie verarbeitet, um Ihnen relevante Informationen zukommen zu lassen. Mit der Angabe Ihrer Telefonnummer erklären Sie sich damit einverstanden, dass wir Sie per Sprachanruf, SMS und Messaging-Apps kontaktieren. Es können Gebühren für Anrufe, Nachrichten und Datenübertragung anfallen.

Sie können uns auch kontaktieren
über contact@innowise.com

Warum Innowise?

2500+

IT-Fachleute

93%

wiederkehrende Kunden

18+

Jahre Expertise

1300+

erfolgreiche Projekte

Fallstudien

Blog

Wie kann man an einer Kryptowährungsbörse gelistet werden?

Erforschen Sie den gesamten Prozess der Börsennotierung Ihrer Kryptowährungen, von den Börsenanforderungen bis hin zu Dokumenten, Integrationen und Marketing.

Dmitry Nazarevich

Jun 6, 2025

Blog

Cloud Datenverarbeitung im Bankwesen

Erfahren Sie, warum Banken Cloud-Technologien nutzen, um die Datensicherheit, die Einhaltung von Vorschriften, die betriebliche Flexibilität und das Kundenvertrauen zu verbessern.

Siarhei Sukhadolski

Apr. 4, 2025

Blog

Testservices für Mobile-Banking-Apps: Alles, was Sie wissen müssen

Wie man Bankanwendungen testet: Sicherheitsprüfungen, UX-Tipps und Compliance-Muss für Fintechs

Siarhei Sukhadolski

Jan 20, 2025

Blog

Wie maschinelles Lernen und künstliche Intelligenz im Finanzwesen eingesetzt werden

Erfahren Sie, wie Finanzinstitute AI zur Betrugsprävention, Risikobewertung und Trendprognose einsetzen.

Denis Jarosch

Jan 13, 2025

Blog

Überwachung von AML-Transaktionen

Erfahren Sie, wie AML-Systeme mit Risikoprofilen und AI-gesteuerten Warnmeldungen vor Geldwäsche schützen.

Siarhei Sukhadolski

Jan 13, 2025

Blog

Automatisierte Rechnungsverarbeitung: Alles was Sie wissen müssen

Erfahren Sie, wie mit AI-gestützten Rechnungstools die Datenerfassung digitalisiert, Genehmigungen automatisiert und Zahlungszyklen beschleunigt werden.

Siarhei Sukhadolski

Dez 31, 2024

Blog

Managed Services für Finanzinstitute

Kosten senken, Sicherheit erhöhen - das sind die Gründe, warum Finanzunternehmen auf Managed Services setzen.

Siarhei Sukhadolski

Dez 20, 2024

Blog

Einführung generativer KI im Bankwesen: Anwendungsfälle und mögliche Herausforderungen

Erfahren Sie, wie Banken die gen AI einsetzen, um Berichte zu erstellen, Angebote zu personalisieren, Chats zu automatisieren und Betrugsmuster zu erkennen.

Siarhei Sukhadolski

Dez 18, 2024

Blog