DORA-Verordnung Leitfaden

Was ist die DORA-Verordnung? Alles, was Finanzunternehmen wissen müssen

Der Digital Operational Resilience Act der EU ist am 17.01.2025 vollumfänglich anwendbar geworden und verändert grundlegend, wie Finanzunternehmen und ihre IKT-Dienstleister digitale Risiken steuern müssen. Wenn Ihre Organisation im Finanzsektor über mehrere Unternehmen, Tochtergesellschaften oder Rechtsräume hinweg tätig ist, ist das Verständnis von DORA nicht optional. Nichteinhaltung zieht aufsichtsrechtliche Sanktionen, vertragliche Störungen und Reputationsschäden nach sich.

Laden Sie die kostenlose DORA-Readiness-Checkliste herunter

Vertraut von Compliance-Teams, die Folgendes verwalten

50+

Konzerneinheiten

Swiss-Hosted

Datensouveränität

ISO 27001

ausgerichtete Plattform

DSGVO-konform

durch Design

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
DORA verstehen

Was ist DORA und warum ist es jetzt relevant?

Der Digital Operational Resilience Act (Verordnung (EU) 2022/2554) ist das Regelwerk der EU, das sicherstellen soll, dass Finanzunternehmen IKT-bedingten Störungen standhalten, auf sie reagieren und sich von ihnen erholen können. Er ersetzt einen Flickenteppich nationaler Leitlinien durch ein einheitliches, harmonisiertes Anforderungspaket, das seit dem 17.01.2025 durchsetzbar ist.

Vor DORA war das IKT-Risikomanagement im Finanzsektor durch sektorspezifische Leitlinien geregelt: die EBA-Leitlinien zum IKT- und Sicherheitsrisikomanagement, die EIOPA-Leitlinien zur Auslagerung an Cloud-Dienstleister sowie verschiedene nationale Aufsichtserwartungen. Das Ergebnis: uneinheitliche Standards, regulatorische Arbitrage und systemische blinde Flecken, wenn kritische IKT-Dienstleister mehrere Finanzunternehmen über Grenzen hinweg bedienten.

DORA ändert dies grundlegend. Es schafft ein einheitliches Regelwerk, das für alle Teilsektoren des EU-Finanzwesens gilt: Banken, Versicherungen, Investment, Zahlungsdienste, Krypto-Werte und mehr, mit direkten Anforderungen an die IKT-Drittdienstleister, von denen diese Unternehmen abhängen.

Für Organisationen, die Compliance über mehrere Unternehmen und Rechtsräume hinweg verwalten, bringt DORA sowohl Komplexität als auch Chancen mit sich. Die Komplexität ergibt sich aus der Koordination von fünf miteinander verknüpften Säulen über jede Tochtergesellschaft hinweg. Die Chance besteht darin, endlich über einen klaren, einheitlichen Standard zu verfügen, auf dem Sie Ihr Programm für operationale Resilienz aufbauen können.

Geltungsbereich

Wer muss DORA einhalten?

DORA gilt für praktisch alle regulierten Finanzunternehmen in der EU sowie für die IKT-Dienstleister, von denen sie abhängen. Die Europäische Kommission schätzt, dass über 22'000 Unternehmen in den Geltungsbereich fallen.

Finanzunternehmen (Artikel 2)

  • Kreditinstitute (Banken)
  • Zahlungsinstitute und E-Geld-Institute
  • Wertpapierfirmen und Verwaltungsgesellschaften
  • Erst- und Rückversicherungsunternehmen
  • Zentralverwahrer
  • Zentrale Gegenparteien und Transaktionsregister
  • Anbieter von Krypto-Dienstleistungen
  • Schwarmfinanzierungs-Dienstleister
  • Einrichtungen der betrieblichen Altersversorgung
  • Ratingagenturen und Verbriefungsregister

IKT-Drittdienstleister

  • Cloud-Dienstleister, die Finanzunternehmen bedienen
  • Anbieter von Datenanalyse und Rechenzentren
  • Softwareanbieter (SaaS, Kernbankensysteme usw.)
  • Anbieter von IKT-Infrastruktur
  • Managed-Security-Service-Provider
  • Kritische IKT-Drittdienstleister, die von den ESAs benannt werden, unterliegen dem neuen EU-weiten Aufsichtssystem mit direkten Aufsichtsbefugnissen

Grundsatz der Verhältnismässigkeit: DORA gilt verhältnismässig: Kleinstunternehmen und bestimmte Unternehmen unterliegen vereinfachten Anforderungen nach den Artikeln 16(1) und 25(1). Doch Verhältnismässigkeit bedeutet keine Befreiung.

Die 5 Säulen von DORA

Was DORA tatsächlich verlangt, und warum Konzerne mit mehreren Einheiten am meisten zu kämpfen haben

Die Anforderungen von DORA erstrecken sich über fünf miteinander verknüpfte Säulen. Für Organisationen, die Compliance über mehrere Tochtergesellschaften und Rechtsräume hinweg verwalten, vervielfacht sich die Komplexität jeder Säule. Folgendes muss Ihr Compliance-Programm abdecken.

SAEULE 1

Rahmenwerk für das IKT-Risikomanagement

Die Artikel 5-16 schreiben ein umfassendes Rahmenwerk für das IKT-Risikomanagement mit direkter Verantwortlichkeit des Leitungsorgans vor. Ihre Organisation muss Prozesse zur Identifizierung, zum Schutz, zur Erkennung, zur Reaktion und zur Wiederherstellung dokumentieren, einschliesslich der Verwaltung von Altsystemen, und zwar über jede Einheit hinweg.

Die Herausforderung bei mehreren Einheiten: Jede Tochtergesellschaft benötigt ihr eigenes dokumentiertes Rahmenwerk, doch für die aufsichtsrechtliche Prüfung ist Konsistenz auf Konzernebene erforderlich.

4 Stunden

Maximale Zeit zur Erkennung und Klassifizierung eines schwerwiegenden IKT-Vorfalls nach dessen Feststellung. Klassifizierungskriterien nach DORA Artikel 17

SAEULE 2

Meldung und Klassifizierung von Vorfällen

Die Artikel 17-23 verlangen eine harmonisierte Klassifizierung von Vorfällen sowie einen strengen Meldezeitplan: Erstmeldung innerhalb von 4 Stunden nach der Klassifizierung, Zwischenbericht innerhalb von 72 Stunden und Abschlussbericht innerhalb eines Monats. Die freiwillige Meldung erheblicher Cyber-Bedrohungen wird ebenfalls gefördert.

Die Herausforderung bei mehreren Einheiten: Ein einzelner IKT-Vorfall kann mehrere Tochtergesellschaften gleichzeitig betreffen, jede mit ihrer eigenen Meldepflicht gegenüber unterschiedlichen nationalen Behörden.

72 Stunden

Frist für den Zwischenbericht über einen Vorfall an die zuständige Behörde. Meldeanforderungen nach DORA Artikel 19

SAEULE 3

Tests der digitalen operationalen Resilienz

Die Artikel 24-27 verlangen regelmässige Tests von IKT-Systemen, von grundlegenden Schwachstellenbewertungen für alle Unternehmen bis hin zu fortgeschrittenen bedrohungsorientierten Penetrationstests (TLPT) alle drei Jahre für systemisch bedeutende Institute. Testprogramme müssen alle kritischen IKT-Systeme und -Anwendungen abdecken.

Die Herausforderung bei mehreren Einheiten: Die Koordination von TLPT-Uebungen über gemeinsam genutzte Infrastruktur hinweg, die mehrere Tochtergesellschaften bedient, erfordert eine zentralisierte Planung und ein zentrales Nachweismanagement.

Alle 3 Jahre

Mindesthäufigkeit für bedrohungsorientierte Penetrationstests bei bedeutenden Finanzunternehmen. DORA Artikel 26

SAEULE 4

Management von IKT-Drittparteienrisiken

Die Artikel 28-44 legen strenge Anforderungen an das Management von IKT-Drittdienstleistern fest. Finanzunternehmen müssen ein Register aller IKT-Auslagerungsvereinbarungen führen, eine vorvertragliche Due-Diligence-Prüfung durchführen, verpflichtende Vertragsklauseln aufnehmen und die Leistung sowie das Risiko der Dienstleister kontinuierlich überwachen.

Die Herausforderung bei mehreren Einheiten: Derselbe Cloud-Dienstleister kann 15 Tochtergesellschaften unter 15 verschiedenen Verträgen bedienen; ohne zentralisiertes Lieferantenmanagement bleiben Lücken unsichtbar, bis eine Aufsichtsbehörde sie aufdeckt.

22'000+

Finanzunternehmen und IKT-Dienstleister, die DORA unterliegen. Schätzungen der Europäischen Kommission, 2022

SAEULE 5

Vereinbarungen zum Informationsaustausch

Artikel 45 ermutigt Finanzunternehmen, Erkenntnisse über Cyber-Bedrohungen und Schwachstelleninformationen mit Branchenkollegen über vertrauenswürdige Vereinbarungen auszutauschen. Obwohl freiwillig, stärkt die Teilnahme an Informationsaustausch-Gemeinschaften die kollektive Resilienz und zeigt Aufsichtsbehörden ein proaktives Risikomanagement.

Die Herausforderung bei mehreren Einheiten: Der Austausch von Bedrohungserkenntnissen zwischen Tochtergesellschaften in unterschiedlichen Rechtsräumen erfordert Data-Governance-Massnahmen, um eine versehentliche Verletzung der DSGVO oder von Vertraulichkeitspflichten zu vermeiden.

17.01.2025

Datum der vollumfänglichen Anwendung von DORA: alle fünf Säulen in allen EU-Mitgliedstaaten durchsetzbar. Verordnung (EU) 2022/2554

DER ROTE FADEN

Jede Säule wird mit jeder zusätzlichen Tochtergesellschaft anspruchsvoller

Für Konzerne, die Compliance über mehrere Einheiten hinweg verwalten, addieren die fünf Säulen von DORA nicht nur Anforderungen, sie vervielfachen sie. Zentralisierte Lieferantenregister, koordinierte Vorfallmeldungen und konsistente Risiko-Rahmenwerke werden in Tabellenkalkulationen unmöglich.

Vereinbaren Sie eine 30-minütige Demo
Wichtige Termine

DORA-Zeitachse: Von der Verabschiedung bis zur Durchsetzung

November 2022
DORA verabschiedet vom Europäischen Parlament und vom Rat als Verordnung (EU) 2022/2554, veröffentlicht im Amtsblatt der EU.
16.01.2023
Inkrafttreten. Zweijährige Umsetzungsphase beginnt. Die ESAs (EBA, ESMA, EIOPA) beginnen mit der Entwicklung technischer Regulierungsstandards (RTS) und technischer Durchführungsstandards (ITS).
Im Verlauf von 2023-2024
Entwicklung und Konsultation von RTS/ITS. Die ESAs veröffentlichen Standardentwürfe zu IKT-Risikomanagement, Vorlagen für die Meldung von Vorfällen, TLPT-Rahmenwerken und dem Informationsregister für IKT-Drittdienstleister.
17.01.2025
Datum der vollumfänglichen Anwendung. Alle fünf Säulen durchsetzbar. Die zuständigen nationalen Behörden beginnen mit ihren Aufsichtstätigkeiten. Finanzunternehmen müssen ihre IKT-Risiko-Rahmenwerke, Vorfallmeldeprozesse, Testprogramme und Lieferantenregister bereithalten.
Ab 2025
Laufende Durchsetzung und Aufsicht. Die ESAs benennen kritische IKT-Drittdienstleister. Aufsichtsprüfungen beginnen. Unternehmen müssen kontinuierliche Compliance nachweisen, nicht nur eine Bereitschaft zu einem bestimmten Zeitpunkt.

200+

Eingesparte Stunden beim Management des Verarbeitungsverzeichnisses

Medtec lenkte über 200 Stunden von der manuellen Pflege des Verarbeitungsverzeichnisses auf die Vorbereitung der ISO 27001 um und erreichte die Zertifizierung 3 Monate vor dem Zeitplan.

60%

Weniger Verwaltungsaufwand für Compliance

Ein Flugzeughersteller reduzierte den Verwaltungsaufwand für Compliance in den ersten 6 Monaten um 60 %, mit vorhersehbarer Preisgestaltung auf Basis von Unternehmen statt Gebühren pro Nutzer.

3 Mt.

Vor dem Zeitplan bei der ISO 27001

Medtec erreichte die ISO-27001-Zertifizierung 3 Monate vor dem geplanten Zeitrahmen, dank der prüfbereiten Nachweispakete von Priverion.

Warum Unternehmen wechseln

Die OneTrust-Alternative, gebaut für die Realität des Mittelstands

Enterprise-Plattformen verkaufen Ihnen Komplexität, die Sie nicht brauchen, zu Preisen, die Sie nicht rechtfertigen können. Folgendes ändert sich, wenn Ihr Datenschutz-Tool darauf ausgelegt ist, wie Organisationen mit mehreren Einheiten tatsächlich arbeiten.

Das typische Erlebnis mit Enterprise-Plattformen

Hosting und Datenresidenz

US-Hauptsitz, Daten werden oft ausserhalb der EU verarbeitet. Nach Schrems II entsteht dadurch ein Uebermittlungsrisiko, das Sie gegenüber den Aufsichtsbehörden dokumentieren und rechtfertigen müssen.

Preismodell

Preisgestaltung pro Nutzer und pro Modul, die anschwillt, sobald Sie Tochtergesellschaften einbinden. Budgetüberraschungen bei jedem Verlängerungszyklus. Funktionen hinter Tarif-Upgrades versteckt.

Implementierung

6- bis 12-monatige Einführungen, die dedizierte Berater erfordern. Sie zahlen für die Plattform, bevor Sie sie auch nur für eine einzige Tochtergesellschaft konfiguriert haben.

Benutzererlebnis

Gebaut für GRC-Teams mit dediziertem Verwaltungspersonal. Verantwortliche in den Geschäftsbereichen sträuben sich gegen die Einführung, weil die Oberfläche schon für das Einreichen einer Verarbeitungstätigkeit eine Schulung erfordert.

Plattformumfang

Ausuferndes Paket, das ESG, Ethik, Drittparteienrisiken und mehr abdeckt. Sie bezahlen für alles, nutzen einen Bruchteil und brauchen trotzdem Behelfslösungen für das Datenschutzmanagement über mehrere Einheiten hinweg.

Das Erlebnis mit Priverion

Swiss-Hosted, europäische Datenresidenz

Alle Daten werden innerhalb der Schweizer Infrastruktur verarbeitet. In einer Welt nach Schrems II ist Swiss Hosting kein Marketing-Häkchen, sondern ein rechtlicher Vorteil für grenzüberschreitende Datenübermittlungen. Ein Risiko weniger zu dokumentieren.

Vorhersehbare, konzernbasierte Preisgestaltung

Preisgestaltung auf Basis der Anzahl der Unternehmen und der Organisationsgrösse, nicht pro Nutzer oder pro Modul. Binden Sie jeden Geschäftsbereichsverantwortlichen ein, ohne die Kosten klettern zu sehen. Keine Expansionsfallen bei der Verlängerung.

In Wochen einsatzbereit, nicht in Monaten

Ein Flugzeughersteller erreichte innerhalb der ersten 6 Monate eine Reduktion des Compliance-Verwaltungsaufwands um 60 %. Die meisten Kunden betreiben innerhalb weniger Wochen nach Vertragsabschluss produktive Workflows.

Basierend auf dem Einsatz bei einem Flugzeughersteller, erste 6 Monate

Konzipiert für die Menschen, die die Arbeit tatsächlich machen

Geschäftsbereichsverantwortliche führen Rezertifizierungen des Verarbeitungsverzeichnisses ohne Schulung durch. KI-gestütztes Verfassen übernimmt die Schwerstarbeit bei Datenschutz-Folgenabschätzungen (DSFA) und der Risikobewertung. Ihr Datenschutzbeauftragter konzentriert sich auf Strategie statt auf die Pflege von Tabellen.

All-in-One-Datenschutzplattform, nichts, was Sie nicht brauchen

Verarbeitungsverzeichnis, DSFA, Lieferantenrisiko, Vorfallmanagement, Bearbeitung von Betroffenenanfragen, einheitsübergreifendes Data-Mapping, KI-Register: alles für das konzernweite Datenschutzmanagement in einer einzigen Plattform. Wir decken weder ESG noch Cookie-Einwilligung ab. Wir gehen dort in die Tiefe, wo es darauf ankommt.

Ehrliche Anmerkung: Wir sind nicht für Unternehmen mit nur einer Einheit gebaut, und wir bieten keine 200 Integrationen. Wir integrieren uns tief in die Systeme, die für Datenschutz-Workflows wichtig sind: HR, Beschaffung, IT-Asset-Management, statt oberflächliche Konnektoren anzubieten, die Wartungsaufwand erzeugen.

Vereinbaren Sie eine 30-minütige Demo
DORA-Readiness-Checkliste

Ihre Checkliste zur DORA-Compliance-Bereitschaft

Nutzen Sie diese Checkliste, um die Bereitschaft Ihrer Organisation über alle fünf DORA-Säulen hinweg zu bewerten. Bei Konzernen mit mehreren Einheiten muss jeder Punkt sowohl auf Ebene der Tochtergesellschaft als auch auf Konzernebene beurteilt werden.

Säule 1: IKT-Risikomanagement

  • 1. Dokumentiertes Rahmenwerk für das IKT-Risikomanagement, vom Leitungsorgan für jede Einheit genehmigt
  • 2. Definierte Rollen und Verantwortlichkeiten für das IKT-Risikomanagement, einschliesslich einer dedizierten Massnahmenfunktion
  • 3. Vollständiges Inventar der IKT-Assets, -Systeme und ihrer Abhängigkeiten über alle Einheiten hinweg
  • 4. Pläne zur Geschäftskontinuität und Notfallwiederherstellung, die IKT-bedingte Störungen abdecken
  • 5. Jährlicher Prüf- und Aktualisierungsprozess für das Rahmenwerk des IKT-Risikomanagements

Säule 2: Vorfallmeldung

  • 6. Klassifizierungsprozess für Vorfälle, abgestimmt auf die Kriterien von DORA Artikel 18 (betroffene Kunden, Datenintegrität, Kritikalität der Dienste, Dauer)
  • 7. Meldeworkflows, die die Fristen von 4 Stunden für die Erstmeldung, 72 Stunden für den Zwischenbericht und 1 Monat für den Abschlussbericht einhalten können
  • 8. Koordinationsprozess für Vorfälle, die mehrere Tochtergesellschaften mit unterschiedlichen nationalen Behörden betreffen
  • 9. Prozess zur Ursachenanalyse von Vorfällen mit Dokumentation der gewonnenen Erkenntnisse

Säule 3: Resilienztests

  • 10. Jährliches Testprogramm, das Schwachstellenbewertungen, Netzwerksicherheitstests und szenariobasierte Tests abdeckt
  • 11. Eingerichtetes TLPT-Programm (sofern als bedeutendes Unternehmen eingestuft) mit qualifizierten externen Testern
  • 12. Verfolgung der Behebung aller Feststellungen aus Testaktivitäten mit definierten Zeitvorgaben

Säule 4: Management von Drittparteienrisiken

  • 13. Vollständiges Register aller Vereinbarungen mit IKT-Drittdienstleistern, einschliesslich konzerninterner Dienste
  • 14. Vorvertraglicher Due-Diligence-Prozess für neue IKT-Dienstleister, der Risikobewertung und Konzentrationsrisiko abdeckt
  • 15. Bestehende Verträge auf verpflichtende Klauseln geprüft (Prüfrechte, Ausstiegsstrategien, Datenstandort, Weiterauslagerung)
  • 16. Laufender Ueberwachungsprozess für Leistung und Compliance der IKT-Dienstleister
  • 17. Ausstiegsstrategien für alle kritischen oder wichtigen IKT-Dienstleistungsvereinbarungen dokumentiert

Säule 5: Informationsaustausch

  • 18. Bewertung abgeschlossen, ob an Vereinbarungen zum Austausch von Bedrohungserkenntnissen teilgenommen werden soll
  • 19. Bei Teilnahme: Data-Governance-Massnahmen vorhanden, um DSGVO- und Vertraulichkeitspflichten bei geteilten Erkenntnissen zu steuern
  • 20. Interner Prozess zur Verteilung relevanter Bedrohungserkenntnisse über Tochtergesellschaften und Geschäftsbereiche hinweg

Brauchen Sie Hilfe bei der Koordination der DORA-Compliance über mehrere Einheiten hinweg?

Sehen Sie, wie Priverions konzernweites Lieferantenrisikomanagement, Vorfall-Workflows und prüfbereite Nachweispakete Organisationen mit mehreren Einheiten helfen, DORA-Bereitschaft ohne Tabellenchaos aufzubauen.

Vereinbaren Sie eine 30-minütige Demo
FAQ

Häufig gestellte Fragen zu DORA

Was ist die DORA-Verordnung?

DORA (Digital Operational Resilience Act) ist die EU-Verordnung 2022/2554, die einheitliche Anforderungen an die Sicherheit der Netzwerk- und Informationssysteme von Finanzunternehmen und ihren kritischen IKT-Drittdienstleistern festlegt. Sie ist seit dem 17.01.2025 vollumfänglich anwendbar und ersetzt einen Flickenteppich sektorspezifischer Leitlinien durch ein einheitliches harmonisiertes Rahmenwerk.

Wer muss DORA einhalten?

DORA gilt für praktisch alle regulierten Finanzunternehmen in der EU, darunter Banken, Versicherungen, Wertpapierfirmen, Zahlungsinstitute und Anbieter von Krypto-Dienstleistungen, sowie für ihre kritischen IKT-Drittdienstleister. Die Europäische Kommission schätzt, dass über 22'000 Unternehmen in den Geltungsbereich fallen. Die Verordnung gilt verhältnismässig, mit vereinfachten Anforderungen für Kleinstunternehmen, doch Verhältnismässigkeit bedeutet keine Befreiung.

Was sind die 5 Säulen von DORA?

Die fünf Säulen sind: (1) Rahmenwerk für das IKT-Risikomanagement (Artikel 5-16), (2) Meldung und Klassifizierung von Vorfällen (Artikel 17-23), (3) Tests der digitalen operationalen Resilienz (Artikel 24-27), (4) Management von IKT-Drittparteienrisiken (Artikel 28-44) und (5) Vereinbarungen zum Informationsaustausch (Artikel 45). Jede Säule hat spezifische Anforderungen, die sowohl auf Einheits- als auch auf Konzernebene erfüllt werden müssen.

Wann ist DORA in Kraft getreten?

DORA ist am 16.01.2023 in Kraft getreten, mit einer zweijährigen Umsetzungsphase. Seit dem 17.01.2025 ist sie vollumfänglich anwendbar, womit alle fünf Säulen nun in allen EU-Mitgliedstaaten durchsetzbar sind. Die ESAs (EBA, ESMA, EIOPA) entwickelten im Verlauf von 2023-2024 technische Regulierungsstandards und technische Durchführungsstandards, um detaillierte Umsetzungshinweise bereitzustellen.

Welche Sanktionen drohen bei Nichteinhaltung von DORA?

DORA ermächtigt die zuständigen nationalen Behörden, verwaltungsrechtliche Sanktionen und Abhilfemassnahmen zu verhängen, einschliesslich regelmässiger Zwangsgelder. Für kritische IKT-Drittdienstleister im Rahmen des EU-Aufsichtssystems können die Sanktionen bis zu 1 % des durchschnittlichen weltweiten Tagesumsatzes für jeden Tag der Nichteinhaltung betragen, für bis zu sechs Monate. Ueber finanzielle Sanktionen hinaus schafft die Nichteinhaltung Reputationsrisiken und potenzielle vertragliche Störungen mit Finanzunternehmen als Kunden.

Wie wirkt sich DORA auf IKT-Drittdienstleister aus?

DORA verpflichtet Finanzunternehmen, Register aller IKT-Auslagerungsvereinbarungen zu führen, eine vorvertragliche Due-Diligence-Prüfung durchzuführen, verpflichtende Vertragsklauseln aufzunehmen (zu Prüfrechten, Ausstiegsstrategien, Datenstandort und Weiterauslagerung) und die Leistung der Dienstleister zu überwachen. Kritische IKT-Drittdienstleister, die von den ESAs benannt werden, unterliegen einem neuen EU-weiten Aufsichtssystem mit direkten Aufsichtsbefugnissen, eine bedeutende Aenderung gegenüber dem bisherigen Modell der indirekten Aufsicht.

In welchem Verhältnis steht DORA zur DSGVO?

DORA und die DSGVO sind sich ergänzende Regelwerke. DORA konzentriert sich auf die operationale IKT-Resilienz von Finanzunternehmen, während die DSGVO den Schutz personenbezogener Daten abdeckt. Ein IKT-Vorfall im Sinne von DORA, der personenbezogene Daten betrifft, löst zugleich Meldepflichten bei Datenschutzverletzungen nach der DSGVO aus (72-Stunden-Meldung an die Aufsichtsbehörden nach Artikel 33). Organisationen benötigen abgestimmte Prozesse zur Reaktion auf Vorfälle, die beide Regelwerke gleichzeitig erfüllen, was insbesondere für Konzerne mit mehreren Einheiten, die an mehrere Behörden melden, eine Herausforderung darstellt.

Hören Sie auf, Datenschutz-Compliance in Tabellen zu verwalten. Verwalten Sie sie richtig.

Ein Flugzeughersteller reduzierte den Verwaltungsaufwand für Compliance in den ersten sechs Monaten um 60 %. AXA erreichte eine zu 100 % automatisierte Rezertifizierung des Verarbeitungsverzeichnisses. Medtec sparte über 200 Stunden bei der Vorbereitung der ISO 27001.

In 30 Minuten zeigen wir Ihnen genau, wie konzernweites Datenschutzmanagement funktioniert, wenn es für Organisationen mit mehreren Einheiten gebaut ist, nicht nachträglich aufgesetzt wurde. Swiss-Hosted. KI-gestützt mit vollständiger menschlicher Aufsicht. Vorhersehbare Preisgestaltung ohne Fallen pro Nutzer.

Vereinbaren Sie eine 30-minütige Demo

Wochen, nicht Monate

Durchschnittliche Zeit bis zum Go-live

50+ Einheiten

Bewährte konzernweite Skalierung

100 % Swiss-Hosted

Europäische Datenresidenz garantiert

Keine Verpflichtung erforderlich. Kein Verkaufsdruck. Nur ein klarer Blick darauf, was möglich ist.