DORA - Digital Operational Resilience Act

DORA - Digital Operational Resilience Act

Digital Operational Resilience Act

DORA

Die EU-Verordnung DORA verpflichtet Finanzunternehmen zur Umsetzung robuster Maßnahmen im Bereich der Cybersicherheit und digitalen Resilienz.
Wir begleiten Sie bei der Umsetzung – mit klar strukturierten Prozessen, technischer Expertise und einem tiefen Verständnis regulatorischer Pflichten.
Sie suchen erfahrene Experten, die komplexe DORA-Anforderungen pragmatisch und anwendungsorientiert umsetzen?

Kostenlosen Beratungstermin vereinbaren
DORA - EU-Verordnung

DORA einfach erklärt

Unsere Leistungen zur DORA-Compliance

  • IKT-Risikomanagement: Entwicklung und Implementierung eines robusten Risikomanagementsystems
  • Resilienztests: Durchführung von Tests zur Bewertung und Verbesserung der digitalen Resilienz
  • Vorfallmanagement: Effektive Prozesse zur Erkennung, Meldung und Behandlung von IKT-Vorfällen
  • Drittanbieter-Management: Bewertung und Kontrolle von IKT-Dienstleistern zur Compliance-Sicherung
  • Informationsaustausch: Förderung des sicheren Austauschs mit relevanten Stakeholdern

Unsere Expertise im Überblick

Um Ihnen einen Einblick in erfolgreich umgesetzte Projekte und unsere Expertise zu geben, haben wir einige anonymisierte Referenzen für Sie zusammengestellt.

Sie möchten mehr darüber erfahren, wie wir Unternehmen in den Bereichen Cyber Security, NIS2, ISO27001, BCM und weiteren Themen erfolgreich unterstützen?

Entdecken Sie hier weitere ausgewählte Referenzprojekte aus verschiedenen Branchen:

Weitere Referenzen ansehen

DORA Referenzprojekte

Branche:
Versicherungswesen

Funktion:
Berater / Projektleiter

Verantwortungsbereiche:

  • Beratung & Projektsteuerung:
    Überprüfung, Priorisierung und Umsetzung des DORA-Projektplans in unterschiedlichen Workstreams.
  • Incident Prevention and Response:
    Vulnerability Management:
    Restrukturierung und Priorisierung des Projektplans; Umsetzung von Mängeln; Etablierung der Prozesse insb. mit externem Dienstleister; Konzeption und Einführung authentifizierter Schwachstellenscans.
    Security Operations:
    Restrukturierung und Priorisierung des Projektplans; Umsetzung von Mängeln; Etablierung der Prozesse insb. mit externem Dienstleister; Konzeption & Steuerung sowie Überwachung des externen Dienstleisters.
  • PAM & NPA:
    Privileged Access Management Proof of Concept; Einführung einer Privileged Access Management Software inkl. Konfiguration und Anbindungen an das PAM Tool.
  • Intrusion Detection & Data Loss Prevention:
    Priorisierung des Projektplans; Umsetzung von Mängeln; Etablierung der Prozesse insb. mit externem Dienstleister; Konzeption und Einführung von Intrusion Detection und Prevention Maturity und Compliance Assessment.
  • Resilience Testing:
    Priorisierung des Projektplans; Umsetzung von Mängeln; Etablierung der Prozesse insb. Penetration Testing; Konzeption und Einführung von regelmäßigen und risikobasierten Pentests.

Branche:
Banken / Finanzwesen

Funktion:
Berater / Projektleiter

Verantwortungsbereiche:

  • Cyber Security Reifegradanalyse:
    Durchführung einer umfassenden Reifegradanalyse im Bereich Cyber Security zur Identifizierung und Schließung von Sicherheitslücken.
  • Projektsupport Penetration Testing:
    Überarbeitung des Abgleichprozesses:
    Aufnahme des Ist-Zustands; Definition der Anforderungen und interne Abstimmung von Abgleichprozessen; Implementierung des optimierten Abgleichprozesses.
    Überarbeitung Penetrationstest-Konzept:
    Aufnahme des Ist-Zustands; Definition und interne Abstimmung; Umsetzung von Interim Maßnahmenprozessen und Erarbeitung des Soll Zustandes; Erstellung und Abstimmung von Berichtswesen, Key Risk Indicators (KRIs) und Key Performance Indicators (KPIs); Erarbeitung und Abstimmung einer langfristigen Roadmap.
  • Vorgaben für externe Unternehmen (Konzept):
    Erstellung und Abstimmung des Konzepts für externe Penetrationstests zur Sicherstellung der Qualität und Effektivität der Tests.
  • Entwurf von Second Line Vorgaben in folgenden Themengebieten:
    Anwendungsentwicklung, Asset Management, Behandlung von Sicherheitsvorfällen, Changemanagement, Berechtigungsmanagement, Informationsübertragung, physische Sicherheit, Protokollierung, etc.

Branche:
Banken / Finanzwesen

Funktion:
Projektverantwortlicher

Verantwortungsbereiche:

  • Cyber Security Reifegradanalyse:
    Durchführung einer umfassenden Reifegradanalyse gemäß DORA und NIS2-Draft.
  • Stakeholder-Kommunikation & Reporting:
    Regelmäßige Vorstellung der Analyseergebnisse an Vorstände, Aufsichtsräte, Regulatoren, Behörden und Betriebsräte.
  • Abstimmung mit Kontrollinstanzen:
    Enge Zusammenarbeit und Reifegradabgleich mit der First und Second Line of Defense.
  • Management-Empfehlungen & Maßnahmenplanung:
    Entwicklung konkreter Handlungsempfehlungen, Management Action Pläne und definierter Projektpakete zur Erhöhung des Reifegrads.
  • Operative Unterstützung & Behebung der identifizierten GAPs:
    Verbesserung der Schwachstellenscans auf authentifizierte Scans; Review und Detailierung (Threat based) von Playbooks im SIEM Umfeld; Bewertung von Frameworks und Prozessen zur Risikobewertung; Strategische Betrachtung und Beurteilung weiterer Technologien zur Verbesserung der Netzwerksicherheit (IDS / IPS), EDR-Konfiguration und Verteilung; Konzepte zu Data at Rest und Data in Transit.

Branche:
Banken / Finanzwesen

Funktion:
Projektverantwortlicher

Verantwortungsbereiche:

  • Richtlinien Konkretisierung in der 1st Line of Defense:
    Erstellung und Vervollständigung der Konzepte zur Umsetzung von 2nd Line Vorgaben in der 1st Line; Prozessdokumentation über die Umsetzung von 2nd Line Vorgaben in der 1st Line.
  • Security Incident Management Process:
    Erstellung der Richtliniendokumente; Grundgerüst an Prozesse des Security Incident Management dokumentieren; Verantwortlichkeiten entlang der Prozesse und Dokumente klären; Templates für Meldungen etc. vorbereiten; Abstimmung (Stakeholder / Richtlinien).
  • Data Loss Prevention Projektplan 2025:
    Anforderungsaufnahme; Richtlinien und Policies zu DLP; Durchführung eines Workshops; Erstellung einer GAP Analyse.
  • Privileged Access Management:
    Erarbeitung von unterschiedlichsten Themen im Bereichen Privileged Access Management; Durchführung von Marktanalysen für Tool-Einführungen; Anforderungsaufnahme; Durchführung einer GAP-Analyse.
  • Erstellung Konzepte zur sicheren Entwicklung:
    Erstellung von 7+ Entwicklungsrichtlinien mit den jeweiligen Entwicklungsbereichen; Kompletter Entwicklungsprozess von Drafterstellung bis hin zur finalen Abstimmung und Abnahme.
  • Second Line Vorgaben und Sollmaßnahmenkatalog:
    Prüfung und Aktualisierung von 20 bestehenden Second Line Vorgaben der DORA- und FINMA RS 23/01; Erstellung von fünf Second Line Vorgaben; Entwicklung eines Sollmaßnahmenkatalogs mit technischen Anforderungen.

Branche:
Banken / Finanzwesen

Funktion:
Berater

Verantwortungsbereiche:

  • Mitarbeit bei der Erstellung eines Cyber Security Maturity Assessment basierend auf NIST Cybersecurity Framework (CSF) 2.0
  • Mitarbeit bei der Erstellung von Anforderungsdefinition basierend auf dem Digital Operational Resilience Act (DORA)
  • Mitarbeit bei der Erstellung von GAP-Analysen zu NIST CSF 2.0 und DORA
  • Bewertung des Reifegrades bzw. der Compliance
  • Aufbereitung der identifizierten Findings & Erstellung einer Roadmap zur Verbesserung des Reifegrades und der Compliance

Branche:
Versicherungswesen

Funktion:
Berater

Verantwortungsbereiche:

  • Cyber Security Maturity Assessment basierend auf NIST Cybersecurity Framework (CSF) 2.0
  • Anforderungsdefinition basierend auf Digital Operational Resilience Act (DORA) und den Versicherungsaufsichtlichen Anforderungen an die IT (VAIT)
  • GAP-Analyse zu NIST CSF 2.0, DORA und VAIT
  • Bewertung des Reifegrades bzw. der Compliance
  • Aufbereitung der identifizierten Findings und Erstellung einer Roadmap zur Verbesserung des Reifegrades und der Compliance

Branche:
Banken / Finanzwesen

Funktion:
Projektmitarbeiter im Bereich Informationssicherheit und BCM

Verantwortungsbereiche:

  • Projektplanung Data Leakage Prevention (DLP):
    Entwicklung eines pragmatischen Projektplans zur Einführung und Umsetzung von DLP-Maßnahmen unter Berücksichtigung regulatorischer Anforderungen.
  • Informationssicherheitsrichtlinien:
    Erstellung und Abstimmung von Richtlinien zur Informationssicherheit inklusive Definition der Sollmaßnahmen zur Erfüllung der DORA-Vorgaben.
  • Business Continuity Management (BCM):
    Unterstützung bei der Weiterentwicklung und Umsetzung von BCM-Maßnahmen zur Erhöhung der organisatorischen Resilienz gegenüber IT-Sicherheitsvorfällen.

Branche:
Banken / Finanzwesen

Funktion:
Projektmitarbeiter im Bereich IT-Security Governance & PAM

Verantwortungsbereiche:

  • Sollmaßnahmenkatalog:
    Erstellung eines umfassenden Sollmaßnahmenkatalogs im Kontext regulatorischer Anforderungen.
  • Richtlinienentwicklung:
    Erstellung von Second Line Richtlinien als Grundlage für die Umsetzung in der First Line.
  • GAP-Analyse:
    Erstellung einer GAP – Analyse nach BAIT, DORA und ISO27001 im Bezug zu Second Line Richtlinien.
  • Privileged Access Management (PAM):
    Erstellung eines PAM-Projektplans; Erstellung eines Templates für Berechtigungskonzepte (Rollenkonzepte, Business Rollen, PAM etc.); Marktanalyse und Anforderungsaufnahme zur Einführung eines PAM-Tools.

Branche:
Banken / Finanzwesen

Funktion:
Projektmitarbeiter im Bereich Regulatorik & IT-Security

Verantwortungsbereiche:

  • Beratung zu DORA-Anforderungen:
    Fachliche Unterstützung bei der Umsetzung regulatorischer Anforderungen aus der DORA-Verordnung.
  • Richtlinienadaption:
    Anpassung und Individualisierung von Musterrichtlinien an die spezifischen Gegebenheiten des Instituts.
  • Identifikation und Authentifizierung von Schwachstellen:
    Unterstützung bei der Erkennung und Dokumentation technischer und organisatorischer Schwächen im Sicherheitskontext.
  • Kettenverantwortung:
    Übernahme definierter Aufgaben im Rahmen der regulatorischen Verantwortungszuweisung entlang der Dienstleisterkette.
  • Dokumentation & Umsetzung:
    Nachweisführung und Maßnahmenumsetzung zur Erfüllung regulatorischer Anforderungen.
Verpflichtend ab 2025

WAS IST DORA?

DORA (Digital Operational Resilience Act) ist eine EU-Verordnung (EU 2022/2554), die einen einheitlichen und rechtsverbindlichen Rahmen für das Management von Informations- und Kommunikationstechnologie-Risiken (IKT-Risiken) im Finanzsektor schafft. Ziel ist es, die digitale Resilienz von Finanzunternehmen nachhaltig zu stärken und sicherzustellen, dass sie auch bei schwerwiegenden Betriebsunterbrechungen ihre kritischen Funktionen aufrechterhalten können.

Im Fokus von DORA stehen nicht nur technische Schutzmaßnahmen, sondern auch organisatorische Anforderungen, wie z. B.:

  • Etablierung eines IKT-Risikomanagements mit klaren Verantwortlichkeiten
  • Einrichtung strukturierter Prozesse zur Erkennung, Meldung und Bewältigung von IKT-Vorfällen
  • Durchführung regelmäßiger Resilienztests (z. B. Penetrationstests)
  • Überwachung und Steuerung von IKT-Drittanbietern
  • Sicherstellung eines kontrollierten Informationsaustauschs mit Aufsichtsbehörden und Partnern
Digitale Resilienz wird zur Pflicht

Warum DORA für Sie relevant ist

DORA ist nicht nur ein IT-Thema. Die Verordnung stellt digitale Betriebsstabilität auf eine Stufe mit klassischen Risikokategorien wie Kredit- oder Marktpreisrisiken und fordert ein ganzheitliches IKT-Risikomanagement als Bestandteil der Gesamt-Governance.
IKT-Vorfälle müssen künftig nicht nur bewältigt, sondern auch gemeldet und dokumentiert werden. Versäumnisse können zu aufsichtsrechtlichen Konsequenzen, Bußgeldern oder Haftungsrisiken führen.

Wir unterstützen Sie dabei, die Anforderungen effizient und revisionssicher umzusetzen – mit pragmatischer Methodik und branchenspezifischem Know-how.

Digitale operationale Resilienz richtig prüfen & bewerten

Anwendungs- und Geltungsbereich

Die EU-Verordnung DORA betrifft nahezu alle regulierten Finanzunternehmen – unabhängig von Größe oder Geschäftsmodell. Gleichzeitig sieht sie für kleinere Unternehmen mit geringem Risiko vereinfachte Anforderungen vor.
Die folgende Übersicht zeigt, welche Unternehmen unter den vollen DORA-Rahmen fallen und wer laut Verordnung von Erleichterungen profitiert.

Pflicht zur vollständigen Umsetzung Vereinfachter DORA-Rahmen
Übergreifender Finanzsektor, u.a.:
– Kreditinstitute
– Zahlungsdienstleister
– Erst- und Rückversicherungsunternehmen
– Wertpapierfirmen
– E-Geld-Institute
– Handelsplätze
– …

Ausnahmen werden in Artikel 2 Absatz 3 DORA aufgeführt. 		Vereinfachter IKT-Risikomanagementrahmen gemäß Artikel 16 DORA für:
– Kleine Einrichtungen für betriebliche Altersvorsorge (EbAV)
– Kleine und nicht verflochtene Wertpapierfirmen
– Kleinstunternehmen:
    → weniger als 10 Mitarbeitende
    → Jahresumsatz oder Bilanzsumme ≤ 2 Mio. €

Ziele des DORA

  • Stärkung der Sicherheit:
    Erhöhung der Sicherheitsstandards im gesamten EU-Finanzsektor.
  • Steigerung der Resilienz:
    Förderung der digitalen operationalen Resilienz durch standardisierte Vorgehensweisen.
  • Harmonisierung:
    Vereinheitlichung der Anforderungen für Cybersicherheit und IKT-Risikomanagement über den Finanzsektor hinweg.
  • Proportionalitätsprinzip:
    Anpassung der Anforderungen unter Berücksichtigung der Unternehmensgröße und des Risikoprofils.
  • Kohärente Aufsicht:
    Einführung eines einheitlichen Aufsichtsansatzes zur Sicherstellung konsistenter Sicherheits- und Resilienzpraktiken.
  • Förderung des Informationsaustausches:
    Stärkung der Zusammenarbeit und des Austauschs von Informationen zwischen Finanzunternehmen.

DORA hat 5 Kernthemen

IKT-Risikomanagement

(Artikel 5-16)

Vorschriften und Richtlinien zur Identifizierung, Bewertung, Steuerung und Überwachung von IKT-Risiken.

Meldung IKT-bezogener Vorfälle

(Artikel 17-23)

Anforderungen an Finanzunternehmen, bedeutende IKT-bezogene Vorfälle an die zuständigen Behörden zu melden.

Digitale operationale Resilienz-Tests

(Artikel 24-27 )

Vorgaben für regelmäßige Tests der digitalen operationalen Resilienz, einschließlich Penetrationstests und anderer Methoden.

Management von IKT-Drittanbieter Risiken

(Artikel 28-44 )

Richtlinien und Prozesse zur Überwachung und Kontrolle von Risiken, die mit dem Einsatz von IKT-Drittanbietern, einschließlich Cloud-Diensten verbunden sind.

Informationsaustausch

(Artikel 45)

Förderung des freiwilligen Austausches von Informationen und Erkenntnissen über
Cyberbedrohungen zwischen Finanzunternehmen, um deren Situationsbewusstsein und digitale operationale Resilienz zu verbessern.

DORA Quick Check

Wir prüfen, ob Ihr Unternehmen von DORA betroffen ist und ermitteln, wo Sie mit einfachen Mitteln und wenig Aufwänden viel für eine DORA Compliance erreichen können.

Unser DORA Quick Check ist eine High-Level-Analyse der DORA Compliance inkl. GAP Übersicht zur Verbesserung der DORA Compliance.

Eine Ergebnispräsentation mit einer Übersicht der DORA Compliance gehört natürlich dazu.

Der Aufwand bewegt sich je nach Größe und Komplexität Ihrer Organisation zwischen 5-15 Personentage (PT).

DORA DEEP CHECK

Bei einem DORA Deep Check handelt es sich um eine tiefgreifende Prüfung der GAPs zu DORA inkl. Abstimmung und Erstellung eines Mitigationsplans bzw. einer Roadmap zur Priorisierung und Behebung der aufgeworfenen GAPs.

Alle Abweichungen zu DORA werden einer Risikobewertung sowie einer Aufwandsindikation zur Behebung unterzogen.

Darüberhinausgehend werden Best Practice Maßnahmen in Anlehnung an den Risikoappetit Ihrer Organisation empfohlen.

Der Aufwand bewegt sich je nach Größe und Komplexität Ihrer Organisation zwischen 15-80 Personentage (PT).

FAQs

DORA ist am 17. Januar 2025 in Kraft getreten und gilt unmittelbar in allen EU-Mitgliedstaaten. Es gibt keine Übergangsfristen. Unternehmen müssen die Anforderungen seit diesem Datum erfüllen.

DORA gilt für nahezu alle regulierten Finanzunternehmen in der EU. Darunter Banken, Versicherungen, Zahlungsdienstleister, Wertpapierfirmen, E-Geld-Institute, Handelsplätze und Krypto-Dienstleister. Auch IKT-Drittanbieter, die kritische Dienste für diese Institute bereitstellen, unterliegen indirekt einer Aufsicht. Für Kleinstunternehmen mit geringem Risiko gelten vereinfachte Anforderungen (siehe Anwendungs- und Geltungsbereich).

DORA-Konformität bedeutet die umfassende Umsetzung der regulatorischen Vorgaben zur digitalen operationellen Resilienz. Finanzunternehmen sind verpflichtet, ihre IT-Risiken systematisch zu identifizieren, zu steuern und kontinuierlich zu überwachen. Dazu zählen unter anderem die strukturierte Dokumentation interner Prozesse, die zeitnahe Meldung relevanter IKT-Vorfälle sowie regelmäßige Belastbarkeitstests der Systeme und Anwendungen.

Kernanforderungen umfassen dabei:

  • Implementierung eines ganzheitlichen IKT-Risikomanagements mit klaren Verantwortlichkeiten
  • Erfassung und Meldung von IKT-bezogenen Vorfällen gegenüber den zuständigen Aufsichtsbehörden
  • Kontinuierliche Überwachung und Steuerung von kritischen Drittanbietern
  • Sicherstellung eines kontrollierten und transparenten Informationsaustauschs mit Aufsichtsbehörden und relevanten Partnern

Unternehmen sollten:

  • Eine umfassende Bewertung ihrer aktuellen IKT-Risiken durchführen (GAP-Analyse)
  • Verantwortlichkeiten für DORA definieren
  • Ein robustes IKT-Risikomanagementsystem implementieren
  • Verträge mit Drittanbietern überprüfen und anpassen
  • Mitarbeiter schulen und sensibilisieren
  • Regelmäßige Tests und Audits planen

IKT-Drittanbieter, die als kritisch für den Geschäftsbetrieb eines Finanzunternehmens eingestuft werden, unterliegen im Rahmen von DORA einer verstärkten regulatorischen Kontrolle. Sie müssen gewährleisten, dass ihre Leistungen den Anforderungen an Sicherheit, Verfügbarkeit und Betriebsstabilität entsprechen. Zudem werden sie – bei Einstufung als kritisch – direkt von den europäischen Aufsichtsbehörden überwacht, um systemische Risiken frühzeitig zu erkennen und zu begrenzen.

Verstöße gegen DORA können zu aufsichtsrechtlichen Maßnahmen, Bußgeldern oder im Extremfall zur Einschränkung der Geschäftstätigkeit führen. Zudem kann eine mangelnde Resilienz das Vertrauen von Kunden, Partnern und Investoren massiv beeinträchtigen. Ein funktionierendes DORA-Setup ist daher nicht nur Pflicht, sondern auch ein Wettbewerbsvorteil.

Finanzunternehmen müssen erhebliche IKT-Störungen oder Sicherheitsvorfälle zeitnah und strukturiert an ihre zuständigen Aufsichtsbehörden melden. Der Meldeprozess erfolgt auf Basis klar definierter Kriterien und Zeitrahmen. Die technischen Standards für Inhalt, Format und Übermittlungswege dieser Meldungen werden von den europäischen Aufsichtsbehörden (ESAs) konkretisiert und sind verbindlich umzusetzen.

Während Standards wie ISO 27001 freiwillig und allgemein sind, ist DORA rechtsverbindlich und branchenspezifisch für Finanzunternehmen. DORA umfasst neben technischen Sicherheitsmaßnahmen auch Vorgaben zu Governance, Meldepflichten und der Überwachung von Drittanbietern und geht damit deutlich über bestehende Frameworks hinaus.

Rufen Sie uns an

Sie erreichen uns telefonisch von Montags - Freitags von 08:00 - 18:00 Uhr, um über Ihr Anliegen zu einer DORA Thematik zu sprechen.

Telefon: +4921732653550

Kostenlosen Termin buchen

Buchen Sie sich direkt ein kostenloses Erstgespräch um herauszufinden wie wir Ihnen beim Thema DORA helfen können.

Kostenlosen Onlinetermin via Microsoft Teams buchen

SCHREIBEN SIE UNS IHR DORA ANLIEGEN VIA E-MAIL

Schreiben Sie uns gern auch eine E-Mail die wir i.d.R. innerhalb von 24 Stunden beantworten.

kontakt(AT)apollon-security.com

Sie haben Fragen, wünschen einen Rückruf oder ein individuelles Angebot?

This site is protected by hCaptcha and the hCaptcha Privacy Policy and Terms of Service apply.