DORA-Compliance: Digitale operationelle Resilienz für Finanzunternehmen

DORA — die Verordnung über die digitale operationelle Resilienz (Verordnung 2022/2554/EU) — ist eine verbindliche EU-Verordnung, die seit dem 17. Januar 2025 für Finanzunternehmen in der gesamten EU gilt und Banken, Versicherungsunternehmen, Wertpapierfirmen, Zahlungsinstitute, E-Geld-Institute, Krypto-Asset-Dienstleister und als kritisch eingestufte IKT-Drittanbieter umfasst. DORA verlangt von diesen Unternehmen die Implementierung eines umfassenden IKT-Risikomanagement-Rahmens, die Meldung schwerwiegender IKT-Vorfälle an die zuständigen Behörden (einschließlich Banco de España und CNMV für spanische Unternehmen), die regelmäßige Prüfung der digitalen operationellen Resilienz einschließlich bedrohungsgesteuerter Penetrationstests (TLPT) sowie die Verwaltung von IKT-Drittparteirisiken durch konforme Vertragsvereinbarungen nach Artikel 30 der Verordnung. Die Nichteinhaltung wird von nationalen zuständigen Behörden überwacht und sanktioniert.

Unser Team für die Einhaltung von Finanzvorschriften kombiniert tiefgreifende Kenntnisse der DORA-Verordnung mit praktischer Erfahrung bei der Implementierung von IKT-Risikomanagement-Rahmen in Finanzunternehmen.

Diese Dienstleistung ist Teil unserer Rechtsberatungspraxis.

Warum DORA mehr als eine Dokumentationsübung ist

DORA (Digital Operational Resilience Act, Verordnung 2022/2554) gilt seit Januar 2025 direkt in der gesamten EU. Anders als viele Compliance-Rahmen beschränkt sich DORA nicht auf Dokumentationsanforderungen – sie verlangt echte operative Änderungen in der Art, wie Finanzunternehmen ihre Technologie steuern, Vorfälle verwalten und Verträge mit ihren Anbietern schließen. Die Erfahrungen der ersten Anwendungsmonate bestätigen eine uneinheitliche Branchenbereitschaft, mit wesentlichen Lücken insbesondere bei der IKT-Anbieter-Vertragscompliance und der operativen Kapazität zur Einhaltung der Vorfallmeldefristen.

Die vier Säulen in der Praxis

Der nach Artikel 6 DORA erforderliche IKT-Risikomanagement-Rahmen verlangt vorstandsgenehmigte IKT-Risikorichtlinien, eine vollständige Inventarisierung kritischer IKT-Systeme und -Assets, eine regelmäßige Risikobeurteilungsmethodik und einen Geschäftskontinuitätsplan speziell für technologische Störungen. Für viele mittelgroße Finanzunternehmen ist dieses Niveau formeller IKT-Governance tatsächlich neu – operatives IT-Management existierte, nicht aber der strukturierte Rahmen, den DORA fordert. Unser Ansatz baut auf dem auf, was bereits existiert, vermeidet Doppelarbeit und minimiert den Implementierungsaufwand.

Das IKT-Drittparteirisiko ist der zweite wesentliche Komplexitätsbereich. Nahezu jedes Finanzunternehmen ist heute von Cloud-Anbietern, SaaS-Plattformen und spezialisierten Softwareanbietern abhängig, die für den täglichen Betrieb unerlässlich sind. DORA stellt für diese Beziehungen detaillierte Vertragspflichten, einschließlich Prüfungsrechten, die viele globale Anbieter nicht standardmäßig gewähren, und einem vollständigen Register aller IKT-Anbieterverträge. Wir koordinieren eng mit dem Drittparteirisikomanagement und den Rechtsteams, die diese Verträge verhandeln.

TLPT und fortgeschrittene Resilienzprüfung

Für größere Unternehmen, die Threat-Led Penetration Tests unterliegen, koordinieren wir den End-to-End-Prozess: Auswahl eines zertifizierten Red-Team-Anbieters, Festlegung des Umfangs mit der Aufsichtsbehörde, Durchführung der Tests über kritische Funktionen und Systeme und Erstellung des Abschlussberichts mit einem dokumentierten Sanierungsplan. DORA ist explizit, dass TLPT-Ergebnisse – einschließlich identifizierter Schwachstellen – mit dem Aufseher geteilt und von einem konkreten Sanierungszeitplan begleitet werden müssen. Die Koordinationsanforderungen zwischen dem Unternehmen, dem Tester und dem Aufseher sind erheblich, und ein frühzeitiges Engagement mit der Aufsichtsbehörde ist unerlässlich, um Prozessverzögerungen zu vermeiden.

Beziehung zu NIS2 und anderen Rahmen

Finanzunternehmen, die DORA unterliegen, sind in den von DORA geregelten Bereichen von NIS2 ausgenommen. Für Gruppen mit sowohl finanziellen als auch nicht-finanziellen Aktivitäten kartieren wir die jeweiligen Anwendungsbereiche, um zu identifizieren, wo ein einzelner Governance-Rahmen beiden Verordnungen dienen kann und wo eine separate Behandlung erforderlich ist. Wir integrieren die DORA-Compliance auch mit NIS2-Compliance-Programmen für Gruppen, die beides benötigen, und stellen sicher, dass Sicherheitsinvestitionen über regulatorische Anforderungen hinweg genutzt und nicht dupliziert werden.

Vorfallmeldung: operative Herausforderung der 24-Stunden-Frist

Die DORA-Vorfallsmeldepflichten sind operativ anspruchsvoll. Eine Frühwarnung muss die zuständige Behörde (Banco de España oder CNMV, je nach Unternehmenstyp) innerhalb von 24 Stunden nach Erkennung eines schwerwiegenden IKT-Vorfalls erreichen — vor der vollständigen Analyse, vor der Ursachenbestimmung und oft bevor der Vorfall vollständig eingedämmt ist. Der 72-Stunden-Zwischenbericht erfordert mehr Substanz, und der abschließende Ein-Monats-Bericht muss eine umfassende Darstellung von Auswirkung, Ursache und Behebungsmaßnahmen liefern.

Organisationen, die diese Fristen einhalten wollen, müssen das entsprechende interne Erkennungs-, Eskalierungs- und Koordinationsprotokoll vor dem Vorfall entwickeln — nicht danach. Das bedeutet: klare Definition, was ein “schwerwiegender IKT-Vorfall” im Sinne von DORA ist (die regulatorischen technischen Standards der EBA präzisieren diese Kriterien), ein Rund-um-die-Uhr-Bereitschaftsteam, das die erste Einschätzung in Stunden tätigen kann, und vorbereitete Berichtsvorlagen, die die regulatorisch geforderten Informationsfelder strukturieren.

IKT-Drittparteiverträge nach Art. 30 DORA: Umstrukturierung der Lieferkette

Die Anforderungen von Art. 30 DORA an IKT-Drittparteiverträge sind für viele Finanzunternehmen der aufwendigste Teil der Implementierung. DORA verlangt, dass Verträge mit IKT-Drittanbietern vollständige Prüfungsrechte des Finanzunternehmens und seiner Aufsichtsbehörden enthalten, SLA-Definitionen für Verfügbarkeit und Wiederherstellung, klare Daten-Portabilitätsklauseln bei Vertragsbeendigung und Subauftragskontrollmechanismen. Viele globale Cloud- und SaaS-Anbieter gewähren diese Rechte nicht in ihren Standard-Vertragswerken.

Wir begleiten die systematische Überarbeitung des gesamten IKT-Lieferantenportfolios: Klassifizierung der Anbieter nach Kritikalität für den Betrieb, Gap-Analyse der bestehenden Vertragsklauseln gegenüber den DORA-Anforderungen und Verhandlung von Vertragsänderungen mit Anbietern. Für kritische Anbieter, die wesentliche Vertragsbedingungen nicht akzeptieren, entwickeln wir den Migrationsplan zu DORA-konformen Alternativen. Diese Arbeit koordinieren wir eng mit dem Drittparteirisikomanagement-Service und dem Rechtsteam.

Cybersicherheits-Audit als DORA-Vorbereitung

Für Unternehmen in der Vorbereitungsphase ist ein strukturierter Cybersicherheits-Audit der effizienteste Weg zur Identifizierung der wesentlichen Lücken gegenüber dem DORA-IKT-Risikomanagement-Rahmen. Der Audit bewertet die bestehenden Kontrollen gegenüber den DORA-Anforderungen nach Art. 9 (IKT-Schutz), Art. 11 (Geschäftskontinuität), Art. 12 (Backup und Wiederherstellung) und Art. 13 (Lernen und Weiterentwicklung) und liefert einen priorisierten Sanierungsplan mit realistischen Zeitschätzungen und Ressourcenbedarfen.

Regelungsrahmen: DORA und technische Standards

Verordnung 2022/2554/EU (DORA): Direkt anwendbare EU-Verordnung seit 17. Januar 2025. Sieben Kapitel, 64 Artikel. Delegiert technische Details an EBA, ESMA, EIOPA zur Ausarbeitung von RTS (Regulatorischen Technischen Standards) und ITS (Implementierenden Technischen Standards).

EBA-RTS zu IKT-Risikoklassifizierung und Vorfallmeldung (EU 2024/1502): Präzisiert die Klassifizierungskriterien für schwerwiegende IKT-Vorfälle, die Meldeformulare und die Fristen für die drei Meldephasen.

EBA-RTS zu IKT-Drittparteirisiko (EU 2024/1504): Detaillierte Anforderungen an das IKT-Drittpartei-Register, Due-Diligence-Bewertungsmethodik und Überwachungsrahmen für kritische IKT-Dienstleistungen.

EBA/ESMA/EIOPA TLPT-Leitlinien (JC 2023/91): Framework für bedrohungsgesteuerte Penetrationstests, Anforderungen an TLPT-Anbieter und Prozess der Abstimmung mit der zuständigen Behörde.

Banco de España und CNMV Umsetzungsleitlinien (2024-2025): Beide spanischen Aufsichtsbehörden haben sektorspezifische Guidance zur Umsetzung von DORA für die von ihnen überwachten Institute veröffentlicht, einschließlich der nationalen Meldewege für IKT-Vorfälle.

Praxisbeispiel mit Zahlen: Zahlungsinstitut 200 Mitarbeiter

Profil: Spanisches Zahlungsinstitut, Banco de España reguliert, 200 Mitarbeiter, 35 IKT-Anbieter (davon 8 als kritisch klassifiziert, einschließlich 2 große Cloud-Anbieter und 3 Payment-Processing-Plattformen).

Gap-Analyse Ergebnis: 23 Implementierungslücken. Kritischste: (1) Kein formelles IKT-Risiko-Inventar mit Asset-Klassifizierung. (2) 6 von 8 kritischen Anbieterverträgen fehlten Prüfungsrechts-Klauseln. (3) Vorfallklassifizierungsprotokoll nicht an DORA-EBA-RTS-Kriterien ausgerichtet. (4) Kein Board-genehmigter IKT-Geschäftskontinuitätsplan. (5) TLPT-Pflicht-Scope noch nicht mit Banco de España abgestimmt.

Implementierungsplan: 9 Monate, 3 Phasen. Phase 1 (Monate 1-3): IKT-Inventar, kritische Anbieterklassifizierung, Vorfallprotokoll-Redesign. Phase 2 (Monate 4-6): Vertragsverhandlung mit 6 Anbietern (4 Erfolge, 2 Migrationen initiiert), Board-IKT-Governance-Rahmen verabschiedet. Phase 3 (Monate 7-9): TLPT-Scope-Abstimmung mit BdE, Resilienzprüfungsprogramm etabliert, Dokumentation finalisiert.

Ergebnis: BdE-Prüfung im Rahmen der DORA-Erstaufsichtswelle ohne wesentliche Beanstandungen abgeschlossen. 2 kritische Anbieter auf DORA-konforme Alternativen migriert. Investition: 145.000 EUR (Beratung + Vertragsverhandlungen + Systemmigration). Vermiedenes Sanktionsrisiko: bis zu 5,2 Mio. EUR (10% Nettoumsatz).

Betroffene Branchen und Unternehmenstypen

Häufige Fehler Top 5 bei der DORA-Implementierung

1. IKT-Risikomanagement als IT-Projekt behandeln: DORA verlangt vorstandsgenehmigte Governance. Unternehmen, die die Implementierung ausschließlich an die IT-Abteilung delegieren, ohne formelle Board-Beteiligung, erfüllen die Governance-Anforderungen des Art. 5 nicht.

2. Kritische IKT-Anbieter unterschätzt: Viele Unternehmen klassifizieren nur 2-3 Anbieter als kritisch, wenn die DORA-Methodik tatsächlich 8-15 ergibt. Unterklassifizierung führt zu Lücken im IKT-Drittpartei-Register und unzureichenden Vertragsanforderungen.

3. Meldeprotokoll nur auf dem Papier: Ein Vorfallmeldeprotokoll, das in der Praxis die 24-Stunden-Erstmeldefrist nicht einhalten kann, ist non-compliant. Tabellenübungen (Tabletop-Exercises) zur Validierung des Protokolls unter realistischen Bedingungen sind unerlässlich.

4. Anbietervertragsüberarbeitung zu spät gestartet: Vertragsverhandlungen mit globalen Cloud-Anbietern können 3-6 Monate dauern. Unternehmen, die diese Verhandlungen erst nach Ablauf der DORA-Deadline starten, sind in einer Compliance-Lücke.

5. TLPT-Pflicht nicht rechtzeitig mit Aufsicht abgestimmt: Unternehmen, die unter die TLPT-Pflicht fallen, müssen den Umfang, die Tester-Qualifikation und den Zeitplan mit der zuständigen Behörde abstimmen, bevor der Test beginnt. Diese Abstimmung braucht Zeit und kann nicht kurzfristig initiiert werden.

Geografische Abdeckung

DORA ist unmittelbar anwendbares EU-Recht und gilt einheitlich in allen EU-Mitgliedstaaten. Für Unternehmensgruppen mit Finanzentitäten in mehreren EU-Ländern koordinieren wir den gruppenweiten DORA-Compliance-Ansatz — mit dem Ziel, Synergien zwischen nationalen Umsetzungen zu nutzen und die Anforderungen der jeweiligen nationalen Aufsichtsbehörden (Banco de España, BaFin, AMF, FCA für UK-Post-Brexit-Entsprechungen) zu harmonisieren.

Kostentransparenz: DORA-Implementierungskosten

IKT-Governance auf Vorstandsebene: Art. 5 DORA

DORA Art. 5 stellt explizite Anforderungen an die Vorstand-Governance für IKT-Risiken — eine Anforderung, die vielen Finanzunternehmen neu ist. Der Vorstand muss:

• Die IKT-Risikostrategie genehmigen und regelmäßig überprüfen
• Den IKT-Risikomanagement-Rahmen genehmigen und seine Effektivität überwachen
• Die angemessene Ressourcenausstattung für IKT-Sicherheit sicherstellen
• Klare Verantwortlichkeiten für IKT-Risikomanagement im Management zuweisen
• Ausreichende Kenntnisse über IKT-Risiken haben, um effektive Aufsicht zu gewährleisten

BMC bereitet Vorstände von Finanzunternehmen auf diese DORA-Governance-Anforderungen vor: IKT-Risikoschulungen für Vorstandsmitglieder, Gestaltung der Vorstandsberichterstattung zu IKT-Risiken, Definition des IKT-Risikoappetits und Implementierung der Governance-Dokumentation, die der Aufseher im Rahmen von Prüfungen erwartet.

Lektionen aus den ersten DORA-Aufsichtsinteraktionen 2025

Die ersten DORA-Prüfungsinteraktionen in Spanien (Banco de España, CNMV) und anderen EU-Ländern (EBA, nationale Aufsichtsbehörden) haben einige Muster ergeben:

Aufsichtsfokus: Aufsichtsbehörden prüfen prioritär (1) die Vollständigkeit des IKT-Drittpartei-Registers und die Aktualität der Kritikalitätsbewertung, (2) die operative Kapazität zur Einhaltung der Vorfallmeldefristen (nicht nur das Protokoll auf dem Papier, sondern die nachgewiesene Übung), und (3) die Qualität der obligatorischen Vertragsklauseln für kritische IKT-Anbieter.

Häufige Beanstandungen: Unvollständige IKT-Inventare (Assets, die nicht als kritisch klassifiziert wurden, aber es hätten sein sollen), Vertragsklauseln ohne echte Prüfungsrechte (nur nominale Klauseln ohne Durchsetzungsmechanismus), und Governance-Dokumentation ohne nachweisbare Board-Genehmigung.

Empfehlung für 2025/2026: Finanzunternehmen, die noch keine formale DORA-Gap-Analyse abgeschlossen haben, sollten dies priorisieren. Die Erstaufsichtswelle konzentriert sich auf die größten Institute, aber mittelgroße Zahlungsinstitute, Versicherungsvermittler und Wertpapierfirmen sind im Laufe von 2026 zunehmend im Prüfungsfokus.

Verbindung zu Cyber-Versicherung und Vorfallreaktion

DORA-Compliance verbessert direkt die Cyber-Versicherungsposition eines Unternehmens: Versicherer im Bereich Cyber-Risiken verwenden die DORA-Compliance als Risikoindikator. Unternehmen mit dokumentierten IKT-Risikomanagement-Rahmen, Resilienzprüfungsprogrammen und IKT-Drittpartei-Überwachung erhalten bessere Prämien und umfangreichere Deckung. BMC koordiniert die DORA-Compliance-Arbeit mit unserem Cyber-Versicherungs-team, um sicherzustellen, dass die DORA-Dokumentation die Versicherungsanforderungen optimal unterstützt.

Unternehmensgrößen-Segmentierung und verhältnismäßige Compliance

DORA führt das Verhältnismäßigkeitsprinzip ein (Art. 4 DORA): Anforderungen müssen der Größe, dem Risikoprofil und der Komplexität des Unternehmens entsprechen. Dies bedeutet in der Praxis:

Kleine und nicht-verbundene Finanzunternehmen (Art. 16 DORA): Ein vereinfachter IKT-Risikomanagement-Rahmen ist zulässig. Kleinere Zahlungsinstitute, kleine Wertpapierfirmen und kleine Fondsverwalter können mit einem weniger umfangreichen System compliant sein als systemrelevante Banken. BMC entwickelt verhältnismäßige DORA-Compliance-Lösungen, die regulatorisch ausreichend und gleichzeitig für kleine Finanzunternehmen administrierbar sind.

Systemrelevante Institute: Für systemrelevante Kreditinstitute, große Versicherungsgruppen und zentrale Gegenparteien gelten die vollständigen DORA-Anforderungen ohne Vereinfachungen, einschließlich TLPT-Pflicht (alle 3 Jahre) und direkte Überwachungsinteraktion mit ESA.

Vergleichstabelle DORA-Anforderungen nach Unternehmensprofil:

Sanktionsregime und Aufsichtspraxis in Spanien

Banco de España (BdE): Zuständig für Kreditinstitute, Zahlungsinstitute, E-Geld-Institute. Das BdE hat 2024 ein formelles DORA-Aufsichtsprogramm eingeführt und kann direkte DORA-Inspektionen, Informationsanfragen und bei Verstößen Verwaltungssanktionen nach Ley 10/2014 und dem DORA-delegierten nationalen Sanktionsrahmen verhängen.

CNMV (Comisión Nacional del Mercado de Valores): Zuständig für Wertpapierfirmen, OGAW, AIF-Manager, MiCA-Krypto-Dienstleister. Die CNMV hat angekündigt, DORA-Compliance als Teil ihrer regulären Supervisory Review and Evaluation Processes (SREP) zu integrieren.

DGSFP (Dirección General de Seguros y Fondos de Pensiones): Zuständig für Versicherungsunternehmen und Rentenfonds.

Sanktionshöhen: Das spanische Sanktionsregime delegiert auf sektorielles Recht. Für Kreditinstitute (Ley 10/2014): bis zu 10% des jährlichen Nettoumsatzes oder das Doppelte des Vorteils aus dem Verstoß als absolute Obergrenze. Bei einer mittleren Zahlungsplattform mit 50 Mio. EUR Umsatz entspricht dies bis zu 5 Mio. EUR potenzieller Sanktion für wesentliche DORA-Verstöße.

DORA und Cloud-Strategie: besondere Herausforderungen für Finanzunternehmen

Die Abhängigkeit von großen Cloud-Anbietern (AWS, Microsoft Azure, Google Cloud) ist für die meisten Finanzunternehmen unvermeidlich — und stellt gleichzeitig eine der komplexesten DORA-Compliance-Herausforderungen dar:

Prüfungsrechte in der Praxis: DORA Art. 30 (c) verlangt, dass Finanzunternehmen das Recht haben, IKT-Drittanbieter zu prüfen. Große Cloud-Anbieter gewähren keine individuellen Prüfungsrechte, sondern verweisen auf ihre eigenen Zertifizierungen (SOC 2, ISO 27001, CSA STAR). Die EBA hat klargestellt, dass pooled auditing (gemeinschaftliche Prüfungen) und Third-Party-Attestierungen diese Anforderung im Fall von systemisch relevanten Cloud-Anbietern erfüllen können — aber nur, wenn die Zertifizierungen den tatsächlichen Umfang der von DORA geforderten Prüfung abdecken.

Exit-Planung: Art. 30 (d) verlangt, dass Verträge klare Ausstiegsklauseln enthalten, einschließlich der Pflicht des Anbieters, bei der Datenmigration zu assistieren. Diese Klauseln sind in Standard-Cloud-Verträgen selten ausreichend detailliert. BMC verhandelt Exit-Klauseln, die technisch und rechtlich den DORA-Anforderungen entsprechen.

Konzentrationsrisiko: DORA Art. 29 verlangt, dass Finanzunternehmen IKT-Konzentrationsrisiken überwachen — die Abhängigkeit von einem einzelnen Anbieter für kritische Dienste. Bei signifikanter Cloud-Konzentration bei einem einzigen Anbieter müssen die Risiken dokumentiert, bewertet und gegenüber der Aufsicht transparent gemacht werden.

BMC entwickelt für seine DORA-Mandate eine spezifische Cloud-Compliance-Strategie: Mapping aller Cloud-Dienste auf DORA-relevante kritische Funktionen, Gap-Analyse der bestehenden Cloud-Verträge, und Verhandlungsstrategie mit den großen Cloud-Anbietern im Rahmen ihrer DORA-Amendment-Addenda (AWS, Azure und GCP bieten inzwischen DORA-spezifische Vertragsanhänge an). Diese Addenda erfüllen die Anforderungen des Art. 30 in der Regel für Standard-IaaS/PaaS-Dienste, bedürfen aber für spezifische kritische Anwendungen zusätzlicher Verhandlungen zu SLA-Definitionen, Datenspeicherortnachweisen und Recovery-Time-Guarantees.

Erste Schritte: DORA-Compliance mit BMC beginnen

Die DORA-Compliance ist ein mehrstufiger Prozess, der mit einer strukturierten Gap-Analyse beginnt. BMC bietet eine kostenlose Ersteinschätzung an: In einem 60-minütigen Gespräch identifizieren wir die kritischsten Compliance-Lücken Ihres Unternehmens gegenüber DORA und empfehlen die prioritären Sofortmaßnahmen. Das Ergebnis ist ein klarer Überblick über den DORA-Compliance-Stand und die empfohlenen nächsten Schritte — ohne Verpflichtung zu einem weitergehenden Mandat.

Verbindung zwischen DORA und NIS2 für gemischte Unternehmensgruppen

Für Finanzunternehmen, die Teil größerer Unternehmensgruppen mit sowohl finanziellen als auch nicht-finanziellen Einheiten sind, entstehen Governance-Komplexitäten:

Finanzentitäten: unterliegen DORA (lex specialis, von NIS2 ausgenommen) Nicht-finanzielle Einheiten derselben Gruppe (z.B. IT-Service-Tochter, Versicherungs-Holding): können unter NIS2 fallen

BMC kartiert die Anwendungsschnittmengen für Gruppen mit gemischten Entitäten und gestaltet einen gruppenweiten IKT-Governance-Rahmen, der DORA und NIS2-Anforderungen koordiniert — mit dem Ziel, parallele Governance-Strukturen zu vermeiden und Synergien zwischen den Compliance-Investitionen zu nutzen. Das IKT-Risikomanagement-Framework und die Vorfallmeldeprotokolle können für finanzierende und nicht-finanzierende Einheiten weitgehend harmonisiert werden, auch wenn die regulatorischen Meldewege unterschiedlich sind.