Das Wichtigste auf einen Blick — DORA RTS- & ITS-Compliance
Die Europäischen Aufsichtsbehörden (EBA, ESMA, EIOPA) haben unter DORA über 20 Regulatory Technical Standards (RTS) und Implementing Technical Standards (ITS) veröffentlicht und damit Hunderte granularer Anforderungen für IKT-Risikomanagement, Meldung von Vorfällen, Aufsicht über Dritte und bedrohungsorientierte Penetrationstests geschaffen. Finanzunternehmen, die über mehrere Tochtergesellschaften hinweg tätig sind, stehen vor exponentieller Komplexität, wenn sie diese Pflichten in Tabellen nachverfolgen. Eine zentralisierte GRC-Plattform kann jede Anforderung auf Massnahmen abbilden, Verantwortliche zuweisen, die Rezertifizierung automatisieren und prüfbereite Nachweispakete erstellen — und dabei Doppelarbeit mit den überschneidenden Pflichten aus DSGVO und ISO 27001 vermeiden.
Definitionen
Was ist DORA (Digital Operational Resilience Act)?
DORA ist die Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates, die einen umfassenden Rahmen für die digitale operationale Resilienz im Finanzsektor schafft. Sie trat am 16.01.2023 in Kraft und gilt seit dem 17.01.2025. DORA verpflichtet Finanzunternehmen zu einem robusten IKT-Risikomanagement, zur Meldung von Vorfällen, zum Testen der digitalen operationalen Resilienz und zum Management von Drittparteienrisiken. Quelle: EUR-Lex — Verordnung (EU) 2022/2554
Was sind Regulatory Technical Standards (RTS)?
Regulatory Technical Standards (RTS) sind delegierte Rechtsakte, die von den Europäischen Aufsichtsbehörden entwickelt werden und die detaillierten technischen Anforderungen für die Umsetzung von DORA festlegen. Sie umfassen Bereiche wie Rahmenwerke für das IKT-Risikomanagement, Kriterien zur Klassifizierung von Vorfällen, Richtlinien zur Vergabe von Unteraufträgen für kritische IKT-Dienste sowie bedrohungsorientierte Penetrationstests (TLPT). Quelle: EUR-Lex — DORA
Was sind Implementing Technical Standards (ITS)?
Implementing Technical Standards (ITS) sind durchführende Rechtsakte, die einheitliche Vorlagen, Formate und Verfahren für die DORA-Compliance vorschreiben — darunter das Informationsregister zu IKT-Drittdienstleistern und Vorlagen für die Meldung von Vorfällen. Quelle: EUR-Lex — DORA
Was ist IKT-Risikomanagement unter DORA?
IKT-Risikomanagement unter DORA (Kapitel II, Artikel 5–16) verpflichtet Finanzunternehmen dazu, ein umfassendes Rahmenwerk für das IKT-Risikomanagement einzurichten und aufrechtzuerhalten, das Fähigkeiten zur Identifizierung, zum Schutz, zur Erkennung, zur Reaktion und zur Wiederherstellung umfasst. Die zugehörigen RTS legen detaillierte Anforderungen an Richtlinien, Verfahren und Governance-Strukturen fest. Quelle: EUR-Lex — DORA Kapitel II
Was ist das DORA-Informationsregister?
Das Informationsregister ist nach DORA Artikel 28(3) vorgeschrieben und im ITS zu den Informationsregistern detailliert geregelt. Finanzunternehmen müssen ein vollständiges Register aller vertraglichen Vereinbarungen mit IKT-Drittdienstleistern führen, einschliesslich der Unterauslagerungsketten, und dieses den zuständigen Behörden melden. Quelle: EUR-Lex — DORA Artikel 28
Statistiken und Branchenkontext
Laut dem Bericht Threat Landscape 2024 der ENISA zählt der Finanzsektor weiterhin zu den drei am stärksten von Cybervorfällen betroffenen Sektoren in der EU, was die Dringlichkeit der Anforderungen von DORA an die operationale Resilienz unterstreicht. Quelle: ENISA Threat Landscape 2024
Die Europäische Bankenaufsichtsbehörde (EBA) veröffentlichte ihre erste Tranche der technischen Standards von DORA im Januar 2024 und die zweite Tranche im Juli 2024, abdeckend IKT-Risikomanagement, Meldung von Vorfällen, Aufsicht über Dritte und TLPT. Über 20 einzelne RTS- und ITS-Dokumente wurden über beide Tranchen hinweg finalisiert. Quelle: EUR-Lex — DORA
Laut dem IAPP-EY Privacy Governance Report 2023 geben 60 % der Organisationen an, dass die Verwaltung sich überschneidender regulatorischer Pflichten (wie der DSGVO und branchenspezifischer Vorschriften wie DORA) zu den grössten Compliance-Herausforderungen zählt. Quelle: IAPP-EY Privacy Governance Report 2023
Gartner prognostiziert, dass bis 2026 70 % der Vorstände von Organisationen in regulierten Branchen integrierte Risikomanagement-Plattformen statt isolierter Compliance-Tools vorschreiben werden. Quelle: Gartner
Häufig gestellte Fragen
Wie viele DORA RTS- und ITS-Dokumente wurden veröffentlicht?
Die Europäischen Aufsichtsbehörden (EBA, ESMA, EIOPA) haben über 20 RTS- und ITS-Dokumente in zwei Tranchen veröffentlicht — Tranche 1 im Januar 2024 und Tranche 2 im Juli 2024. Diese umfassen Rahmenwerke für das IKT-Risikomanagement, die Klassifizierung und Meldung von Vorfällen, Register von IKT-Drittdienstleistern, vertragliche Bestimmungen, bedrohungsorientierte Penetrationstests und Informationsaustausch. Quelle: EUR-Lex — DORA
Seit wann ist DORA anwendbar?
DORA (Verordnung (EU) 2022/2554) trat am 16.01.2023 in Kraft und ist seit dem 17.01.2025 vollständig anwendbar. Finanzunternehmen und kritische IKT-Drittdienstleister müssen ab diesem Datum alle Anforderungen einhalten, einschliesslich der detaillierten RTS und ITS. Quelle: EUR-Lex
Wie überschneiden sich die Anforderungen von DORA mit der DSGVO?
Viele DORA-RTS-/ITS-Anforderungen überschneiden sich direkt mit den Pflichten der DSGVO. So überschneidet sich beispielsweise das DORA-Register der IKT-Drittdienstleister mit dem Auftragsverarbeiter-Management nach DSGVO Artikel 28; die Anforderungen von DORA an das IKT-Risikomanagement entsprechen den Sicherheitsmassnahmen nach DSGVO Artikel 32; und die Meldung von Vorfällen nach DORA weist Ähnlichkeiten mit der Meldung von Verletzungen nach DSGVO Artikel 33 auf. Die Verwaltung in einer einheitlichen Plattform vermeidet Doppelarbeit und reduziert Auditrisiken. Quelle: GDPR-info.eu — Artikel 28
Was sind bedrohungsorientierte Penetrationstests (TLPT) unter DORA?
DORA Kapitel IV (Artikel 26–27) verpflichtet bestimmte Finanzunternehmen, mindestens alle drei Jahre bedrohungsorientierte Penetrationstests durchzuführen. Der zugehörige RTS legt die Methodik, den Umfang und die Meldeanforderungen für TLPT fest, die reale Cyberbedrohungen gegen kritische Funktionen simulieren müssen. Quelle: EUR-Lex — DORA Artikel 26–27
Wer muss DORA einhalten?
DORA gilt für ein breites Spektrum von Finanzunternehmen, darunter Kreditinstitute, Wertpapierfirmen, Erst- und Rückversicherungsunternehmen, Zahlungsinstitute, Anbieter von Krypto-Dienstleistungen und kritische IKT-Drittdienstleister. Die Verordnung erfasst 21 Kategorien von Finanzunternehmen gemäss Artikel 2. Quelle: EUR-Lex — DORA Artikel 2
Wie unterstützt eine zentralisierte Plattform die DORA-Compliance über mehrere Unternehmen hinweg?
Für Unternehmensgruppen, die über mehrere Tochtergesellschaften hinweg tätig sind, verlangt DORA eine konsolidierte aufsichtsrechtliche Berichterstattung — insbesondere für das Register der IKT-Drittdienstleister. Eine zentralisierte Plattform bildet Anforderungen auf Massnahmen auf Tochterebene ab und liefert zugleich gruppenweite Dashboards und eine konsolidierte Berichterstattung, wodurch die Fragmentierung von Tabellen und isolierten Tools entfällt.
Welche Nachweise erwarten Aufsichtsbehörden für die DORA-Compliance?
Aufsichtsbehörden erwarten laufende, prüfbare Nachweisketten — keine punktuellen Momentaufnahmen. Der RTS zu Rahmenwerken für das IKT-Risikomanagement verlangt dokumentierte Richtlinien, regelmässige Überprüfungen und den Nachweis, dass Massnahmen aktiv aufrechterhalten werden. Automatisierte Rezertifizierungs-Workflows mit lückenlosen Audit-Trails können Nachweispakete in Minuten statt in Wochen erstellen.
Vergleich: Ansätze zur DORA-Compliance
| Fähigkeit | Manueller Ansatz / Tabellen | Zentralisierte GRC-Plattform |
|---|
| Abbildung der RTS-/ITS-Anforderungen | Manuelle PDF-Synthese über mehr als 20 Dokumente | Vorab abgebildete Anforderungen, nach DORA-Säule organisiert |
| Verfolgung über mehrere Unternehmen | Separate Tabellen pro Tochtergesellschaft | Unternehmensübergreifende Dashboards mit konsolidierter Sicht |
| Management der DSGVO-/DORA-Überschneidung | Doppelte Bewertungen in getrennten Tools | Eine Bewertung erfüllt mehrere Pflichten |
| Rezertifizierung | Kalendererinnerungen, manuelles Nachfassen | Automatisierte Workflows mit Audit-Trails |
| Nachweispakete für Aufsichtsbehörden | Wochen manueller Zusammenstellung | In Minuten aus Live-Daten erstellt |
| Skalierbarkeit für schlanke Teams | Linear steigender Aufwand pro Unternehmen | KI-gestützte Entwürfe vervielfachen die Teamkapazität |