DORA – Digital Operational Resilience Act

Was ist DORA?

Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung, die für Finanzunternehmen und ihre IT-Dienstleister verbindliche Anforderungen an die digitale Resilienz schafft. Ziel ist es, den Umgang mit ICT-Risiken zu vereinheitlichen und die Stabilität des Finanzsystems zu stärken – auch in Krisen oder bei Cyberangriffen.

DORA betrifft nicht nur Banken und Versicherungen, sondern u. a. auch Kapitalverwaltungsgesellschaften, Zahlungsdienstleister, Krypto-Dienstleister und deren kritische Dienstleister. Die Verordnung ist seit Januar 2023 in Kraft und gilt ab dem 17. Januar 2025 verbindlich – mit hohen Erwartungen an Umsetzungsstand und Prüfungsfähigkeit.
 

Wen betrifft DORA konkret?

  • Banken und Finanzdienstleister
  • Versicherungen und Rückversicherungen
  • Kapitalverwaltungsgesellschaften und Verwahrstellen
  • Zahlungsinstitute und E-Geld-Institute
  • Krypto-Dienstleister (MiCA-relevant)
  • IT-Dienstleister mit kritischer Relevanz („Critical Third Parties“)
     

Meine Leistungen im Rahmen von DORA

Ich unterstütze Unternehmen bei der Umsetzung von DORA – mit einem klaren Fokus auf die operative Umsetzung und in enger Zusammenarbeit mit den internen Fachbereichen.
Meine Leistung beginnt nicht mit abstrakter Theorie oder PowerPoint, sondern mit einem belastbaren Vorgehen, das intern tragfähig ist und externen Prüfungen standhält.

 

Mein DORA-Beratungsansatz umfasst:

  • GAP-Analyse auf Basis des aktuellen Umsetzungsstands
  • Entwicklung eines Zielbilds und realistischer Umsetzungsplanung
  • Integration regulatorischer Anforderungen in bestehende Prozesse
  • Begleitung von Umsetzungsprojekten in enger Abstimmung mit den internen Linien
  • Unterstützung bei der Vorbereitung auf Prüfungen und Audits
  • Anpassung an bestehende Governance- und Sicherheitsstrukturen
  • Berücksichtigung angrenzender Anforderungen (MaRisk, BAIT, ISO 27001 etc.)


Operative Umsetzung statt abstrakter Theorie

Ich arbeite bewusst nicht mit Standard-Templates oder generischen Best Practices. Jedes Unternehmen braucht eine individuell passende Lösung – abgestimmt auf seine Prozesse, Strukturen und Risikolage.

Deshalb arbeite ich eng mit den Fachbereichen, der IT und dem Informationssicherheitsmanagement zusammen – von der Analyse über die Planung bis zur Umsetzung.
Der Wissenstransfer in die Linie ist integraler Bestandteil meiner Arbeit. Mein Ziel ist nicht, möglichst viele Aufgaben extern zu lösen, sondern Strukturen zu schaffen, die intern tragfähig sind.

 

Ihr Vorteil mit Kegayo

  • Tiefe Umsetzungserfahrung mit DORA-Anforderungen
  • Regulatorik mit IT- und Prozessverständnis verbunden
  • Zusammenarbeit auf Augenhöhe mit Fach- und IT-Bereichen
  • Fokus auf Umsetzung, nicht auf Folien
  • Nachhaltige Lösungen, die Prüfungen standhalten

 

Sie möchten Ihre Organisation fit für DORA machen?
Dann sprechen Sie mich an – ich begleite Sie vom ersten Check bis zur auditfesten Umsetzung.

[Jetzt Kontakt aufnehmen]

 

[Fortsetzung: Was fordert DORA konkret? Die wichtigsten Handlungsfelder:]

Was fordert DORA konkret? Die wichtigsten Handlungsfelder:

Ich habe DORA-Projekte erfolgreich von Anfang bis Ende begleitet – inklusive Analyse, Zielbild, Umsetzung und Übergabe an die Linie. Basierend auf dieser Erfahrung weiß ich, welche Themen besonders kritisch sind – und wie man sie praxisnah umsetzt. Die vier wichtigsten Handlungsfelder sind:

I. IKT-Risikomanagement

Das IKT-Risikomanagement bildet das Herzstück von DORA – und ist besonders umfangreich. Es umfasst alle technischen, organisatorischen und prozessualen Maßnahmen, um Risiken im Zusammenhang mit Informations- und Kommunikationstechnologie zu erkennen, zu bewerten, zu kontrollieren und zu überwachen.

Wichtige Teilbereiche:

  • Resilienzstrategie: Aufbau und regelmäßige Überprüfung
  • Berechtigungsmanagement / Identity & Access Management (mehr dazu)
  • Asset-Management und Systeminventar
  • Schwachstellenmanagement und Patch-Management
  • Netzwerksegmentierung und Schutzmaßnahmen

Ich unterstütze intensiv bei der Erstellung einer tragfähigen IKT-Resilienzstrategie – abgestimmt auf Ihr Geschäftsmodell, Ihre IT-Strukturen und regulatorische Vorgaben.
Darüber hinaus begleite ich die Operationalisierung dieser Strategie in konkret anwendbare Richtlinien, Prozesse und Methoden, die sich im Alltag bewähren und von Prüfstellen nachvollziehbar akzeptiert werden.

II. IKT-bezogene Vorfälle

DORA verlangt ein strukturiertes Management für IKT-Störungen und Sicherheitsvorfälle – inklusive klarer Prozesse zur Erkennung, Bewertung, Eskalation und Meldung.

 

Ich helfe bei:

  • Aufbau / Anpassung von Incident-Management-Prozessen
     
  • Definition von Schwellenwerten für meldepflichtige Vorfälle
     
  • Anbindung an die Meldekanäle der BaFin oder relevanter Aufsichtsbehörden
     
  • Dokumentation, Ursachenanalyse und Lessons Learned-Prozesse

III. Testen der digitalen operationalen Resilienz

DORA verpflichtet Unternehmen dazu, regelmäßig ihre digitale Widerstandsfähigkeit zu testen – in Abhängigkeit von Größe, Geschäftsmodell und Risikoprofil. Auch kleinere und mittlere Finanzdienstleister sind hier gefordert.

Typische Testformate sind:

  • Business-Continuity-Tests
  • Notfallübungen
  • Schwachstellenanalysen
  • Phishing-Simulationen
  • technische Penetrationstests (soweit angemessen)

Ich unterstütze nicht bei der Durchführung einzelner Tests, sondern bei dem, was regulatorisch entscheidend ist:
der Erstellung eines Resilienztest-Konzepts (Richtlinie) gemäß DORA-Vorgaben und der jährlichen Resilienztestplanung (Testkalender) – inklusive Testarten, Zuständigkeiten, Testabdeckung und Dokumentationserfordernissen.
Damit schaffen Sie eine belastbare Grundlage, die sowohl internen Anforderungen als auch externen Prüfungen standhält.

IV. Risiken durch Drittdienstleister

Der Umgang mit IKT-Drittdienstleistern wird durch DORA deutlich verschärft. Unternehmen müssen ein zentrales Informationsregister führen, in dem alle IKT-Dienstleistungsverträge und deren Kritikalität dokumentiert sind.

Zusätzlich sind Vertragsinhalte zu überprüfen und ggf. anzupassen – insbesondere hinsichtlich:

  • Zugriff auf Informationen und Systeme
  • Meldepflichten bei Vorfällen
  • Exit-Strategien und Abhängigkeiten
  • Untervergabe (Sub-Sub-Ketten)

Ich helfe bei der Einführung des Registers, der Klassifizierung von Dienstleistern und der Vertragsbewertung.

Praxisnahe Umsetzung statt Theorie

Diese Anforderungen klingen zunächst theoretisch – doch sie lassen sich mit dem richtigen Ansatz praktikabel und wirksam umsetzen. 

 

Mein Ziel:
IKT-Risiko- und Resilienzmanagement, das in die Praxis passt – und bei Prüfungen überzeugt.

 

 

Möchten Sie wissen, wo Ihr Unternehmen aktuell steht?
Ich biete Ihnen eine strukturierte GAP-Analyse mit klaren Handlungsempfehlungen – abgestimmt auf Ihre Organisation, Ihre Ressourcen und Ihre regulatorischen Anforderungen.

 

[Jetzt Kontakt aufnehmen]

Wir benötigen Ihre Zustimmung zum Laden der Übersetzungen

Wir nutzen einen Drittanbieter-Service, um den Inhalt der Website zu übersetzen, der möglicherweise Daten über Ihre Aktivitäten sammelt. Bitte überprüfen Sie die Details in der Datenschutzerklärung und akzeptieren Sie den Dienst, um die Übersetzungen zu sehen.