Mehr Cybersicherheit im Finanzsektor: der komplette Leitfaden zum Digital Operational Resilience Act (DORA)

DORA ist kein weiteres Formular zum Abhaken. Es ist eine EU-Verordnung, die Finanzunternehmen harte Pflichten auferlegt: ICT-Risikomanagement, die Meldung von Vorfällen, die Aufsicht über Dienstleister und regelmäßige Resilienztests, darunter bedrohungsgeleitete Penetrationstests (TLPT). Für die Einhaltung ist die Geschäftsleitung verantwortlich, und diese Verantwortung reicht weit über die IT-Abteilung hinaus. Dieser Beitrag zeigt, was DORA konkret ändert, für wen sie gilt und wie Sie Ihr Unternehmen ohne Last-Minute-Hektik vorbereiten.
Was DORA ist und für wen sie gilt
Der Digital Operational Resilience Act (DORA) ist Teil des EU-Pakets für digitale Finanzen. Die Verordnung vereinheitlicht die Regeln zur operationalen Resilienz im gesamten EU-Finanzsektor und gilt unmittelbar, ohne dass ein eigenes nationales Gesetz nötig ist.
Sie betrifft einen weiten Kreis: Banken, Versicherer, Wertpapierfirmen, Zahlungsdienstleister und dazu die kritischen ICT-Dienstleister im Hintergrund, etwa Cloud-Anbieter. Wenn Sie im Finanzbereich tätig sind oder solche Unternehmen beliefern, gilt DORA höchstwahrscheinlich auch für Sie.
Der Termin steht fest: Die Vorschriften gelten seit dem 17. Januar 2025. Das ist bereits eine laufende Pflicht, und eine Lücke kann hier einen Vertrag kosten oder ein Prüfergebnis verhageln.
Warum es DORA gibt
Der Finanzsektor läuft komplett auf Technik: Cloud, Online-Zahlungen, eng vernetzte Dienstleister. Jedes dieser Glieder vergrößert die Angriffsfläche.
Fällt ein Cloud-Anbieter aus oder gelingt ein Angriff auf ein Zahlungssystem, ist das weit mehr als ein IT-Problem. Es bedeutet gestoppte Überweisungen, für Kunden nicht erreichbare Konten und ein reales Risiko für die Marktstabilität. DORA verlangt, dass ein Unternehmen ein solches Szenario aushält und sich schnell davon erholt.
Die fünf Säulen von DORA
- ICT-Risikomanagement. Ein Rahmen für das Management technologischer Risiken, verankert in der Unternehmensstrategie. Für Risikoappetit und Aufsicht ist die Geschäftsleitung zuständig.
- Meldung von Vorfällen. Die Pflicht, wesentliche ICT-Vorfälle nach einheitlichen Regeln zu klassifizieren und den zuständigen Behörden zu melden.
- Resilienztests, einschließlich TLPT. Regelmäßige Schwachstellenbewertungen und Penetrationstests. Bedeutende Unternehmen müssen mindestens alle drei Jahre bedrohungsgeleitete Tests (TLPT) durchführen.
- Aufsicht über ICT-Dienstleister. Die Lieferkette abbilden und Dienstleister kontrollieren. Kritische Drittanbieter können einer direkten Aufsicht auf EU-Ebene unterliegen.
- Informationsaustausch. Wissen über Bedrohungen im Sektor teilen, damit die Schwäche eines Unternehmens nicht zum Problem aller wird.
TLPT: Tests am realen Angreiferverhalten
TLPT (Threat-Led Penetration Testing) sind Penetrationstests nach den Szenarien echter Angreifer. Statt eines allgemeinen Scans bildet das Team die Taktiken, Techniken und Prozeduren (TTP) der Gruppen nach, die den Finanzsektor tatsächlich angreifen.
Bedeutende Unternehmen müssen TLPT mindestens alle drei Jahre durchführen. Ein guter Test geht über die Technik hinaus und nimmt auch Menschen und Prozesse in den Blick: Social Engineering, die Simulation einer Innentäter-Bedrohung und die Prüfung, wie das Verteidigungsteam auf einen Angriff in Echtzeit reagiert.
Ein TLPT beantwortet die Frage, die die Geschäftsleitung wirklich umtreibt: Würden wir einen gezielten Angriff überstehen, und wo bricht unsere Verteidigung? Das ist aussagekräftiger als eine bloße Liste von Lücken und der realistischste Reifegrad-Check, den man ohne echten Vorfall bekommen kann.
Red Team, Blue Team, Purple Team
TLPT bringt oft zwei Perspektiven zusammen. Das Red Team spielt den Angreifer. Das Blue Team verteidigt: Es überwacht das Netzwerk, erkennt und reagiert. Das Purple Team ist die Arbeitsform, in der beide Seiten zusammenarbeiten, sodass jede gefundene Lücke sofort in bessere Erkennungsregeln und eine schnellere Reaktion übergeht.
Für Sie heißt das eines: Der Test soll mehr leisten, als zu zeigen, dass jemand hineinkommt. Er soll die Fähigkeit Ihres Teams, einen Angriff zu erkennen und zu stoppen, messbar verbessern.
So bereiten Sie Ihr Unternehmen auf DORA vor
- Kartieren Sie Ihre ICT-Dienstleister. Klären Sie, wer Ihre Daten und Prozesse verarbeitet, und verankern Sie die DORA-Konformität sowie ein Auditrecht in den Verträgen.
- Bringen Sie die Meldung von Vorfällen in Ordnung. Ein klarer Reaktionsplan, eine Klassifizierung der Vorfälle und ein Meldeverfahren, geübt und nicht nur beschrieben.
- Planen Sie die Tests. Ein Zeitplan für Schwachstellenbewertungen und Penetrationstests, für bedeutende Unternehmen zusätzlich ein TLPT-Zyklus.
- Holen Sie die Geschäftsleitung ins Boot. DORA macht das Leitungsorgan für ICT-Risiken verantwortlich. Es genehmigt Budget und Sicherheitsrichtlinie.
- Schulen Sie Ihre Leute, nicht nur die IT. Führungskräfte und Mitarbeitende an der ersten Linie sind der häufigste Angriffsvektor.
Von der Pflicht zum Vorteil
DORA fügt sich mit NIS2 und der DSGVO zu einem Bild der digitalen Resilienz. Unternehmen, die sie als Liste von Verboten behandeln, tragen die Kosten und haben sonst nichts davon. Wer sie nutzt, um den eigenen Sicherheitsreifegrad wirklich anzuheben, gewinnt ein Argument für Gespräche mit Kunden und der Aufsichtsbehörde.
Sie wissen nicht, ob Ihr Unternehmen als bedeutendes Unternehmen gilt und ob Sie TLPT brauchen? Vereinbaren Sie eine kostenlose Beratung. In 30 Minuten klären wir im Gespräch mit einem Berater den Umfang der DORA-Anforderungen für Ihre Organisation und die nächsten Schritte bis zum Audit.
Vereinbaren Sie eine kostenlose Beratung, und wir bestimmen den Umfang der DORA-Anforderungen und einen TLPT-Testplan für Ihre Organisation.