DORA-Compliance

DORA RTS- und ITS-Anforderungen: Ein praxisnaher Leitfaden zur operativen Umsetzung der Compliance in Ihrer gesamten Organisation

Aktualisiert am 2026-06-23
Das Wichtigste auf einen Blick: Priverion ist eine in der Schweiz gehostete GRC-Plattform, die jede DORA-RTS-/ITS-Anforderung gemeinsam mit Ihrem bestehenden Datenschutzprogramm abbildet, verfolgt und rezertifiziert.

Sie haben DORA auf Verordnungsebene erfasst. Nun haben die ESA über 20 RTS- und ITS-Dokumente mit Hunderten granularer Anforderungen veröffentlicht — und Ihr Team versinkt in Tabellen, während es versucht, diese über alle Unternehmen hinweg nachzuverfolgen. Es geht auch besser.

Die Regulatory Technical Standards und Implementing Technical Standards von DORA übersetzen übergeordnete Pflichten in präzise, prüfbare Massnahmen rund um IKT-Risikomanagement, Meldung von Vorfällen, Aufsicht über Dritte, bedrohungsorientierte Penetrationstests und Informationsaustausch. Für Organisationen, die Compliance über mehrere Tochtergesellschaften und Rechtsordnungen hinweg verwalten, wächst die operative Komplexität exponentiell. Priverion bietet Ihnen eine Plattform, um jede DORA-RTS-/ITS-Anforderung gemeinsam mit Ihrem bestehenden Datenschutzprogramm abzubilden, zuzuweisen, zu verfolgen und zu rezertifizieren — kein neues Tool, keine Migration, keine Einarbeitungshürde.

So funktioniert es — buchen Sie eine 15-minütige Tour

Vertrauen von Compliance-Teams aus regulierten Branchen

In der Schweiz gehostet · DSGVO-konform · Verschlüsselung auf Enterprise-Niveau · Keine Kundendaten für das KI-Training

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Warum Teams sich schwertun

Die Verordnung war nur der Anfang. In den RTS und ITS wird Compliance konkret.

DORA hat den Rahmen geschaffen, doch die eigentliche operative Last steckt in den delegierten und durchführenden Rechtsakten. Die ESA haben zwei Tranchen technischer Standards finalisiert, die exakte Anforderungen an Rahmenwerke für das IKT-Risikomanagement, an die Klassifizierung und Meldefristen von Vorfällen, an Register von IKT-Drittdienstleistern, an vertragliche Bestimmungen und mehr festlegen. Für ein Gruppenunternehmen, das über mehrere Tochtergesellschaften hinweg tätig ist, muss jeder Standard ausgelegt, auf Massnahmen abgebildet, Verantwortlichen zugewiesen und fortlaufend rezertifiziert werden.

Über 20 veröffentlichte RTS- und ITS-Dokumente

RTS-/ITS-Dokumente, die von den ESA (EBA, ESMA, EIOPA) per Januar 2025 veröffentlicht wurden

Umfang und Granularität

Über zwanzig RTS- und ITS-Dokumente enthalten Hunderte einzelner Anforderungen, jede mit unterschiedlichen Compliance-Fristen und Meldeformaten. Kein einzelnes Dokument liefert Ihnen eine konsolidierte Checkliste. Ihr Team übersetzt regulatorische PDFs manuell in operative Aufgaben — über jedes Unternehmen Ihrer Gruppe hinweg.

So unterstützt Priverion:

Vorab abgebildete RTS-/ITS-Anforderungen, nach DORA-Säule organisiert, über alle Unternehmen hinweg Verantwortlichen zugewiesen und mit automatisierter Rezertifizierungsverfolgung — damit entfällt der Aufbau einer eigenen konsolidierten Checkliste.

Basierend auf den ESA-Abschlussberichten zu den technischen Standards von DORA, Tranche 1 (Jan. 2024) und Tranche 2 (Juli 2024)

47 ersetzte Tabellen

Tabellen, die ein Unternehmen mit 12 Tochtergesellschaften vor dem Wechsel zu Priverion nutzte

Komplexität über mehrere Unternehmen

Jede Tochtergesellschaft kann eine andere IKT-Infrastruktur, andere Drittdienstleister und andere Risikoprofile haben — doch die Muttergesellschaft benötigt für die aufsichtsrechtliche Berichterstattung eine konsolidierte Sicht. Wenn der ITS zum Register der IKT-Drittdienstleister eine gruppenweite Sicht verlangt, werden fragmentierte Tools und Tabellen zur Belastung statt zum Behelf.

So unterstützt Priverion:

Unternehmensübergreifendes Data Mapping und gruppenweite Dashboards liefern Muttergesellschaften eine konsolidierte aufsichtsrechtliche Berichterstattung und bewahren zugleich die Granularität auf Tochterebene. Eine Plattform, vollständige Transparenz.

Die Gründungsgeschichte von Priverion — ein Schweizer Unternehmen, das die DSGVO über 12 Tochtergesellschaften verwaltet

60 Prozent weniger Verwaltungsaufwand für Compliance

Reduktion des Compliance-Verwaltungsaufwands, erreicht von einem Flugzeughersteller in den ersten 6 Monaten

Überschneidung mit bestehenden Pflichten

Viele DORA-RTS-/ITS-Anforderungen überschneiden sich direkt mit der DSGVO — Verarbeitungsverzeichnis, DSFA für IKT-Systeme, Aufsicht über Auftragsverarbeiter. Sie in getrennten Tools zu verwalten, schafft Doppelarbeit, Inkonsistenz und Auditrisiken. Ihre Lieferantenbewertungen für DSGVO Artikel 28 und Ihr DORA-Drittparteienregister nach Kapitel V bewerten dieselben Dienstleister durch unterschiedliche Brillen.

So unterstützt Priverion:

Ihr bestehendes Verarbeitungsverzeichnis, Ihre DSFA/TIA und Ihre Lieferantenrisikobewertungen fliessen direkt in die DORA-Compliance-Workflows ein. Eine Bewertung, mehrere regulatorische Pflichten erfüllt — ohne Doppelarbeit.

Kundenergebnis eines Flugzeugherstellers — erste 6 Monate auf der Priverion-Plattform

100 Prozent Rezertifizierungsquote des Verarbeitungsverzeichnisses

Rezertifizierungsquote des Verarbeitungsverzeichnisses, die ein Schweizer Versicherer durch automatisierte Workflows erreichte

Rezertifizierung und Nachweise

Aufsichtsbehörden erwarten eine laufende Rezertifizierung und prüfbare Nachweisketten — keine punktuellen Momentaufnahmen. Der RTS zu Rahmenwerken für das IKT-Risikomanagement verlangt dokumentierte Richtlinien, regelmässige Überprüfungen und den Nachweis, dass Massnahmen aktiv aufrechterhalten werden. Tabellen können die prüfbereiten Nachweispakete, die Aufsichtsbehörden erwarten, nicht liefern.

So unterstützt Priverion:

Automatisierte Rezertifizierungs-Workflows mit lückenlosen Audit-Trails. Erstellen Sie Nachweispakete für Aufsichtsbehörden in Minuten statt Wochen — dieselbe Fähigkeit, mit der ein Medizintechnikunternehmen über 200 Stunden bei der Vorbereitung auf ISO 27001 einsparte.

Kundenergebnis eines Schweizer Versicherers — vollständig automatisierte Rezertifizierung auf Priverion

Über 200 eingesparte Stunden

Von einem Medizintechnikunternehmen bei der ISO-27001-Vorbereitung mit Priverion eingesparte Stunden

Ressourcenknappheit

Finanzunternehmen aus dem Mittelstand und IKT-Drittdienstleister verfügen nicht über 50-köpfige GRC-Teams. Dennoch verlangen die RTS und ITS denselben Umfang an Dokumentation, Tests und Aufsicht wie von den grössten Banken. Ihr Compliance-Team braucht eine Plattform, die seine Kapazität vervielfacht — kein weiteres Tool, das die Arbeitslast erhöht.

So unterstützt Priverion:

KI-gestützte Entwürfe für DSFA, Risikobewertung und regulatorisches Mapping bedeuten, dass Ihr schlankes Team mit der Kapazität einer dreimal so grossen Abteilung arbeitet. KI unterstützt menschliche Entscheidungen — sie ersetzt sie nie, und es werden keine Kundendaten für das Training von Modellen verwendet.

Kundenergebnis eines Medizintechnikunternehmens — ISO-27001-Vorbereitung auf der Priverion-Plattform

Über 200 Stunden bei der Verwaltung des Verarbeitungsverzeichnisses eingespart

Eingesparte Stunden bei der Verwaltung des Verarbeitungsverzeichnisses

Ein Medizintechnikunternehmen sparte über 200 Stunden bei der Vorbereitung auf ISO 27001 — Zeit, die zuvor mit dem manuellen Zusammentragen von Verarbeitungstätigkeiten über alle Abteilungen hinweg verbracht wurde.

60 Prozent weniger Verwaltungsaufwand für Compliance

Reduktion des Compliance-Verwaltungsaufwands

Ein Flugzeughersteller erreichte in den ersten 6 Monaten eine 60-prozentige Reduktion des Compliance-Verwaltungsaufwands — ohne Preisüberraschungen pro Nutzer oder pro Modul.

3 Monate vor dem Zeitplan bei ISO 27001

Vorsprung im Zeitplan bei ISO 27001

Ein Medizintechnikunternehmen beschleunigte den Zeitplan für die ISO-27001-Zertifizierung um 3 Monate dank der prüfbereiten Nachweispakete und der automatisierten Dokumentation von Priverion.

Priverion vs. OneTrust

Datenschutzmanagement auf Enterprise-Niveau ohne den Enterprise-Aufwand

Mittelständische Unternehmen brauchen keine ausufernde Plattform, die für die Beschaffungszyklen der Fortune 100 gebaut wurde. Sie brauchen etwas, das über jede Tochtergesellschaft hinweg funktioniert — ab dem ersten Tag.

Priverion

Schweizer Datensouveränität — standardmässig

In der Schweiz entwickelt und gehostet. Die gesamte Datenverarbeitung bleibt innerhalb der Schweizer Infrastruktur — ohne Ausnahmen, ohne Aufpreis für europäische Datenhaltung. In einer Welt nach Schrems II ist das kein Feature. Es ist eine rechtliche Grundlage.

Einsatzbereit in Wochen, nicht in Quartalen

Eine fokussierte Benutzeroberfläche für Datenschutzbeauftragte und Compliance-Verantwortliche, die echte Datenschutzprogramme führen — nicht für Berater, die Plattformen konfigurieren. Ihr Team wird schnell produktiv, weil die Oberfläche der tatsächlichen Datenschutzarbeit folgt.

Planbare Preise, die mit Ihnen wachsen

Preisgestaltung nach Anzahl der Unternehmen und Organisationsgrösse — nicht pro Nutzer, nicht pro Modul. Fügen Sie Teammitglieder hinzu, ohne eine Budgetprüfung auszulösen. Keine Erweiterungsfallen, keine überraschenden Rechnungen.

Alles in einer Plattform

Verarbeitungsverzeichnis, DSFA/TIA, Lieferantenrisiko, Incident-Management, Bearbeitung von Betroffenenanfragen, Data Mapping, KI-Register — alles inbegriffen. Keine separat zu erwerbenden Module, kein Feature-Gating. Ein Login, vollständige gruppenweite Transparenz.

KI, die unterstützt, nie entscheidet

KI-gestützte DSFA-Entwürfe, Risikobewertung und regulatorisches Mapping — alles verarbeitet innerhalb der Schweizer Infrastruktur. Jedes KI-Ergebnis erfordert eine menschliche Prüfung, bevor es zu einem Compliance-Nachweis wird. Es werden keine Kundendaten für das Training von Modellen verwendet.

Typische Enterprise-GRC-Plattform

Datenhaltung als Zusatzverkauf

Die meisten Enterprise-Plattformen haben ihren Hauptsitz in den USA und hosten primär dort. Eine europäische Datenhaltung — sofern verfügbar — gibt es als Premium-Stufe oder regionales Add-on. Ihr Rechtsteam verbringt Zeit damit, Übermittlungsmechanismen zu prüfen, statt sich auf das eigentliche Datenschutzprogramm zu konzentrieren.

Einführungszyklen von 6 Monaten

Komplexe Plattformen erfordern dedizierte Einführungsberater, mehrstufige Rollouts und umfangreiche Konfiguration, bevor Ihr erstes Verarbeitungsverzeichnis live geht. Für mittelständische Teams ohne ein 10-köpfiges Datenschutzbüro ist das ein Zeitrahmen — und ein Budget —, das nicht passt.

Preise pro Nutzer und pro Modul

Enterprise-GRC-Plattformen berechnen pro Platz, pro Modul, pro Funktion. Sie möchten eine Koordinationsperson für einen Geschäftsbereich hinzufügen? Das ist eine weitere Lizenz. Sie wünschen sich Incident-Management neben Ihrem Verarbeitungsverzeichnis? Das ist ein weiteres Modul. Die Kosten wachsen unvorhersehbar, während Ihr Programm reift.

Breite statt Tiefe

Viele Enterprise-Plattformen umspannen ESG, Ethik, Drittparteienrisiko und mehr — was beeindruckend klingt, bis Sie merken, dass das Datenschutzmodul eines von fünfzehn ist und mit geteilter Aufmerksamkeit entwickelt wurde. Sie bezahlen für eine GRC-Suite, obwohl Sie ein Datenschutzprogramm benötigen, das über Ihre Gruppe hinweg wirklich funktioniert.

Black-Box-Automatisierung

KI-gestützte Funktionen mit begrenzter Transparenz darüber, wo Daten verarbeitet werden, wie Modelle trainiert werden oder welches Mass an menschlicher Aufsicht besteht. Wenn eine Aufsichtsbehörde fragt, wie Sie zu einer Risikobewertung gelangt sind, ist „die KI hat entschieden“ keine akzeptable Antwort.

So funktioniert es

Vom Verordnungstext zur operativen Massnahme — in einer Plattform

Priverion speichert nicht nur Ihre Compliance-Dokumentation. Es strukturiert DORA RTS- und ITS-Anforderungen in Workflows, die Ihr Team zuweisen, verfolgen, rezertifizieren und nachweisen kann — über jedes Unternehmen Ihrer Gruppe hinweg.

Vorab abgebildete RTS-/ITS-Anforderungen

Jeder technische Standard von DORA wird in einzelne Anforderungen aufgeschlüsselt, nach Säule organisiert (IKT-Risikomanagement, Meldung von Vorfällen, Aufsicht über Dritte, TLPT, Informationsaustausch). Kein Übersetzen regulatorischer PDFs in Tabellen mehr. Die Anforderungen kommen strukturiert an, mit klar verständlichen Hinweisen, auf die Ihre Geschäftsbereiche reagieren können.

Unternehmensübergreifende Zuweisung und Verfolgung

Weisen Sie Anforderungen bestimmten Verantwortlichen über Tochtergesellschaften hinweg zu. Jedes Unternehmen verfolgt seinen eigenen Compliance-Status, während die Muttergesellschaft eine konsolidierte gruppenweite Sicht behält. Wenn eine Aufsichtsbehörde Ihr Register der IKT-Drittdienstleister anfordert, erstellen Sie es aus Live-Daten — und nicht, indem Sie zwölf Geschäftsbereichen hinterherlaufen.

Automatisierte Rezertifizierungszyklen

DORA verlangt fortlaufende Compliance, keine einmaligen Bewertungen. Priverion löst Rezertifizierungs-Workflows automatisch auf Basis der Fristen aus, die jeder RTS vorgibt. Massnahmenverantwortliche erhalten Erinnerungen, schliessen Überprüfungen ab, und die Plattform protokolliert alles — so entsteht der durchgehende Audit-Trail, den Aufsichtsbehörden erwarten.

Prüfbereite Nachweispakete

Erstellen Sie umfassende Nachweispakete für Aufsichtsbehörden in Minuten. Jede Massnahmenbewertung, Rezertifizierung, Lieferantenprüfung und Richtlinienänderung ist mit Zeitstempel versehen und versioniert. Dieselbe Fähigkeit, mit der ein Medizintechnikunternehmen über 200 Stunden bei der ISO-27001-Vorbereitung einsparte, lässt sich direkt auf die DORA-Bereitschaft anwenden.

DSGVO und DORA in einem Workflow

Ihr DSGVO-Verarbeitungsverzeichnis, Ihre DSFA und Ihre Lieferantenrisikobewertungen decken bereits viel von dem ab, was DORA verlangt. Priverion bildet die Überschneidungen ab, sodass eine Lieferantenbewertung sowohl die Pflichten aus DSGVO Artikel 28 als auch aus DORA Kapitel V erfüllt. Keine Doppelarbeit, keine widersprüchlichen Nachweise, keine Compliance-Silos.

KI-gestütztes regulatorisches Mapping

KI hilft dabei zu erkennen, welche RTS-/ITS-Anforderungen auf jedes Unternehmen zutreffen — basierend auf dessen Risikoprofil, IKT-Infrastruktur und Beziehungen zu Dritten. Jeder KI-generierte Vorschlag erfordert eine menschliche Prüfung, bevor er zu einem Compliance-Nachweis wird. Es werden keine Kundendaten für das Training von Modellen verwendet. Die gesamte Verarbeitung bleibt innerhalb der Schweizer Infrastruktur.

Kundenergebnisse

Was geschieht, wenn Compliance-Teams aufhören, gegen ihre Tools zu kämpfen

Diese Organisationen ersetzten fragmentierte Tabellen und überteuerte Plattformen durch ein einziges System zur Verwaltung des Datenschutzprogramms. Das hat sich verändert.

„Wir verbrachten den Grossteil unserer Compliance-Verwaltungszeit damit, Geschäftsbereichen über mehrere Tochtergesellschaften hinweg Aktualisierungen des Verarbeitungsverzeichnisses hinterherzulaufen — heute ist die Rezertifizierung vollständig automatisiert. Unsere Datenschutzbeauftragte konzentriert sich nun auf strategische Datenschutzarbeit statt auf die Pflege von Tabellen.“

60 % weniger Compliance-Verwaltungsaufwand — erste 6 Monate

Flugzeughersteller

Luftfahrthersteller mit mehreren Tochtergesellschaften, Schweiz

„Eine 100-prozentige Rezertifizierung des Verarbeitungsverzeichnisses schien unmöglich, als wir es manuell verwalteten. Mit automatisierten Workflows wird jede Verarbeitungstätigkeit termingerecht überprüft — und wir haben den Audit-Trail, um es zu belegen.“

100 % Rezertifizierungsquote des Verarbeitungsverzeichnisses, vollständig automatisiert

Schweizer Versicherer

Automatisierte Rezertifizierung über alle Gruppenunternehmen

„Wir sparten über 200 Stunden bei der Vorbereitung auf ISO 27001 — Zeit, die mit dem manuellen Zusammentragen von Verarbeitungstätigkeiten und dem Erstellen von Nachweispaketen über alle Abteilungen hinweg verbracht worden wäre. Priverion beschleunigte unsere Zertifizierung um drei Monate.“

Über 200 Stunden eingespart, ISO-27001-Zertifizierung 3 Monate vor dem Zeitplan

Medizintechnikunternehmen

Gesundheitstechnologie, Schweiz

Kostenloser Download

DORA-RTS-/ITS-Compliance-Checkliste für Organisationen mit mehreren Unternehmen

Schluss mit dem Quervergleich regulatorischer Texte über Tochtergesellschaften hinweg. Diese Checkliste bildet jede DORA-RTS- und ITS-Anforderung auf die Datenschutz- und Risiko-Workflows ab, die Sie bereits verwalten — damit Ihr Team genau weiss, wo die Lücken sind.

Das steckt in der Checkliste:

  • Vollständige Abbildung aller 13 RTS- und 2 ITS-Anforderungen unter DORA — klar verständliche Zusammenfassungen, die Ihre Geschäftsbereiche wirklich nachvollziehen
  • Vorlage für eine unternehmensweise Lückenbewertung, konzipiert für Gruppen, die Compliance über mehrere Tochtergesellschaften und Rechtsordnungen hinweg verwalten
  • Querverweis-Leitfaden, der zeigt, wo sich DORA-Anforderungen mit DSGVO, ISO 27001 und NIST überschneiden — damit Sie keine bereits erledigte Arbeit doppelt machen
  • Rahmenwerk zur Risikobewertung von IKT-Dritten, abgestimmt auf die Anforderungen von DORA an die Aufsicht über Lieferanten — bereit für die Einbindung in Ihren bestehenden Workflow zum Lieferantenmanagement

Kostenloses PDF. Keine Demo erforderlich. Wir senden es an Ihr Postfach.

FAQ

Häufige Fragen zur DORA-RTS-/ITS-Compliance

Antworten für Compliance-Verantwortliche, die prüfen, wie sich die technischen Standards von DORA in ihrer Organisation operativ umsetzen lassen.

Was sind DORA RTS- und ITS-Anforderungen?

Die Regulatory Technical Standards (RTS) und Implementing Technical Standards (ITS) von DORA sind delegierte Rechtsakte, die von den Europäischen Aufsichtsbehörden (EBA, ESMA, EIOPA) veröffentlicht werden und die übergeordneten Pflichten von DORA in präzise, prüfbare Anforderungen übersetzen. Sie umfassen Rahmenwerke für das IKT-Risikomanagement, die Klassifizierung und Meldung von Vorfällen, Register von IKT-Drittdienstleistern, vertragliche Bestimmungen, bedrohungsorientierte Penetrationstests sowie Vereinbarungen zum Informationsaustausch. Per Januar 2025 haben die ESA über 20 RTS- und ITS-Dokumente in zwei Tranchen veröffentlicht.

Wer muss DORA RTS und ITS einhalten?

DORA gilt für Finanzunternehmen, darunter Kreditinstitute, Wertpapierfirmen, Versicherungsunternehmen,