Digital Operational Resilience Act (DORA): die Anforderungen auf einen Blick

1. IKT-Risikomanagement
2. Vorfallmanagement und Meldepflichten
3. Tests digitaler Betriebsresilienz
4. IKT Drittanbieterrisiko
5. Informationsaustausch zu Bedrohungen

Unternehmen müssen ein dokumentiertes Rahmenwerk einführen, das sämtliche IKT-Assets, kritische Funktionen, Schnittstellen, Prozesse und Tools systematisch erfasst – unabhängig davon, ob diese intern betrieben oder von externen Dienstleistern bereitgestellt werden. Dieses sogenannte IKT-Rahmenwerk muss regelmäßig überprüft, aktualisiert und an neue Bedrohungslagen angepasst werden.

Um aktuellen Risiken und Angriffszenarien standzuhalten, braucht jedes Unternehmen eine durchdachte Sicherheitsstrategie, die sowohl technische Maßnahmen als auch organisatorische Prozesse umfasst. Besondere Verantwortung trägt dabei die Unternehmensleitung: Sie ist für die digitale Resilienzstrategie verantwortlich und muss sicherstellen, dass Risiken, angemessen gesteuert werden.

Das IKT-Risikomanagement umfasst mehrere Pflichtbereiche:

• Risikobewertung & Prävention: Risiken müssen kontinuierlich erkannt, bewertet und minimiert werden – etwa durch Schwachstellenanalysen, Threat Modelling oder Notfallkonzepte.
• Kontinuität & Wiederherstellung: Es sind Maßnahmen zu implementieren, die die Geschäftsfähigkeit nach Störungen wie Cyberangriffen oder Systemausfällen schnell wiederherstellen – z. B. durch Backups, Notfallpläne und regelmäßige Wiederherstellungstests.
• Monitoring & Protokollierung: Alle IKT-Systeme müssen lückenlos überwacht und protokolliert werden, um Vorfälle schnell zu erkennen und analysieren zu können.
• Change- und Patch-Management: Änderungen an Systemen – insbesondere Sicherheitsupdates – dürfen nur kontrolliert, getestet und dokumentiert eingeführt werden.
• Zugangs- und Zugriffskontrollen: Technische Schutzmaßnahmen wie Firewalls, Verschlüsselung, Multifaktor-Authentifizierung und rollenbasierte Zugriffsbeschränkungen sind zwingend erforderlich.

Diese Maßnahmen sorgen dafür, dass Unternehmen widerstandsfähiger gegenüber IKT-Risiken aufgestellt sind – und gleichzeitig regulatorisch auf der sicheren Seite bleiben.

Alle betroffenen Unternehmen und IKT-Dienstleister sind verpflichtet, schwerwiegende IKT-Vorfälle unverzüglich zu erfassen und innerhalb definierter Fristen an die zuständigen Behörden zu melden – in Deutschland primär an die BaFin. Dabei ist ein strukturierter Meldeprozess zu etablieren, der folgende Schritte umfasst:

• Erkennung und Bewertung: Jedes Unternehmen muss in der Lage sein, potenziell schwerwiegende Vorfälle zeitnah zu identifizieren, zu analysieren und deren Auswirkungen einzuschätzen – insbesondere in Bezug auf Kundendaten, Betriebsunterbrechungen und finanzielle Risiken.
• Meldung in drei Stufen: Vorgeschrieben ist eine Dreifachmeldung: (1) Frühwarnung unmittelbar nach Feststellung des Vorfalls, (2) Zwischenbericht mit weiteren Details sowie (3) Abschlussbericht, der die Ursachen, getroffenen Maßnahmen und Lehren aus dem Vorfall dokumentiert.
• Vorgaben zur Meldefrist: Die erste Meldung muss in der Regel innerhalb von 24 Stunden nach der Entdeckung des Vorfalls erfolgen. Weitere Fristen für Folgeberichte sind ebenfalls klar definiert.
• Meldepflicht auch bei Dienstleistern: Wird ein Vorfall durch einen externen IKT-Dienstleister verursacht, ist das betroffene Finanzunternehmen dennoch meldepflichtig. Es liegt also in der Verantwortung der regulierten Einrichtung, auch die Risiken aus ihrer Lieferkette zu überwachen und entsprechend zu berichten.

Mit diesem Meldewesen soll sichergestellt werden, dass die Aufsichtsbehörden ein klares Bild über die Bedrohungslage erhalten und im Ernstfall koordinierte Reaktionen im gesamten Finanzsystem möglich sind. Unternehmen sind gut beraten, ihre internen Prozesse frühzeitig an diese Anforderungen anzupassen und entsprechende Meldeverfahren zu etablieren.

Im Mittelpunkt steht das sogenannte Threat-Led Penetration Testing (TLPT) – also ein „bedrohungsgesteuertes Penetrationstestverfahren“. Dabei wird unter realitätsnahen Bedingungen geprüft, wie widerstandsfähig die kritischen Systeme und Prozesse eines Unternehmens gegenüber komplexen Cyberangriffen sind. Die Angriffe werden von qualifizierten externen Prüfern simuliert, die Angriffe realitätsnah simulieren – jedoch kontrolliert, dokumentiert und mit vorheriger Zustimmung des Unternehmens.

DORA verpflichtet Finanzunternehmen mit systemischer Relevanz, die von der Aufsicht als TPL-pflichtig eingestuft wurden dazu, TLPT-Tests mindestens alle drei Jahre durchzuführen. Diese Tests müssen:

• auf Basis aktueller Bedrohungslagen und branchenspezifischer Risiken geplant werden,
• alle kritischen Funktionen und Systeme umfassen,
• vorab von der zuständigen Aufsichtsbehörde genehmigt werden,
• durch zertifizierte externe Dienstleister durchgeführt werden,
• nach Abschluss dokumentiert und ausgewertet werden, inklusive klarer Maßnahmen zur Behebung aufgedeckter Schwachstellen.

Für weniger kritische Unternehmen sind vereinfachte Testverfahren vorgesehen, etwa herkömmliche Penetrationstests oder Red-Teaming-Aktivitäten. Unabhängig vom Umfang gilt: Alle Organisationen müssen regelmäßig überprüfen, ob ihre bestehenden Schutzmechanismen ausreichen – und Schwächen konsequent beheben.

Mit dieser Teststrategie will DORA sicherstellen, dass IT-Sicherheitsmaßnahmen nicht nur auf dem Papier stehen, sondern im Ernstfall auch unter realem Druck bestehen.

Kriterien für DORA konforme TLPT-Tests

Damit ein Threat-Led Penetration Test (TLPT) den Anforderungen der DORA Verordnung entspricht, muss er bestimmten formalen und inhaltlichen Kriterien genügen. Zunächst dürfen nur zertifizierte, unabhängige Anbieter die Tests durchführen, die nachweislich über die notwendige Fachkompetenz und regulatorische Anerkennung verfügen. Die Durchführung erfolgt auf Basis eines intelligence-basierten Ansatzes: Das heißt, die Angriffsvektoren werden auf Grundlage aktueller Bedrohungslagen und branchenspezifischer Risiken entwickelt – sogenannte „Red Teams“ simulieren gezielt Angriffe, die reale Bedrohungen widerspiegeln.

Der Test muss kritische Produktionssysteme und Prozesse einbeziehen, insbesondere solche, die für die Stabilität und Sicherheit der Finanzdienstleistungen wesentlich sind. Dabei gelten strenge Anforderungen an Vertraulichkeit, Kontrolle und Dokumentation: Unternehmen müssen jeden Test vollständig planen, intern freigeben, begleiten und im Nachgang auswerten. Die Ergebnisse werden sowohl dem Management als auch den Aufsichtsbehörden bereitgestellt. Zudem müssen betroffene Unternehmen mindestens alle drei Jahre einen TLPT-Test durchführen – oder häufiger, wenn es erhebliche Veränderungen an der IT-Landschaft gegeben hat.

Die genauen Anforderungen und Identifikationskriterien wurden im Juli 2024 in einem technischen Regulierungsstandard (RTS) konkretisiert. Dieser RTS legt u. a. fest:

• wie TLPT-geeignete Unternehmen ausgewählt werden,
• welche Anforderungen an interne und externe Tester gelten,
• welche Inhalte, Methoden und Phasen der Testdurchführung verbindlich sind,
• und wie die grenzüberschreitende Zusammenarbeit zwischen Aufsichtsbehörden geregelt wird.

Der RTS-Entwurf basiert auf dem TIBER-EU-Rahmen und wurde am 17. Juli 2024 an die Europäische Kommission übermittelt. Nach Veröffentlichung im Amtsblatt der EU tritt er in Kraft und schafft damit eine verbindliche Grundlage für TLPT-Verfahren innerhalb des DORA Rahmens.

Wer muss TLPT durchführen?

Im Gegensatz zu den allgemeinen Anforderungen an IKT-Tests richtet sich das Threat-Led Penetration Testing (TLPT) nur an eine kleine, besonders relevante Gruppe von Finanzunternehmen. Diese Unternehmen werden nicht pauschal, sondern gezielt durch die zuständige Aufsichtsbehörde, in Deutschland durch die BaFin und bei signifikanten Kreditinstituten durch die EZB, identifiziert und per Bescheid zur Durchführung eines TLPT verpflichtet. Grundlage dafür sind die in Artikel 26 Absatz 8 Unterabsatz 3 DORA definierten Kriterien.

Die Behörden stützen sich dabei auf folgende drei Hauptfaktoren:

• Auswirkungen auf den Finanzsektor: Etwa inwieweit die Dienstleistungen des Unternehmens für die Stabilität des Finanzsystems relevant sind.
• Systemisches Risiko und Stabilitätsbedenken: Einschließlich der Bedeutung auf EU- oder nationaler Ebene.
• IKT-Risikoprofil und Reifegrad: Technologische Merkmale, IT-Komplexität und bestehende Sicherheitsmaßnahmen spielen hier eine Rolle.

Bereits vor Vertragsabschluss ist eine Risikoprüfung (Due Diligence) vorgeschrieben. Dabei ist z. B. zu bewerten, wie stark das Unternehmen vom jeweiligen Dienstleister abhängig ist und welche möglichen Risiken daraus entstehen könnten.

Auch für die Verträge mit IKT-Dienstleistern macht DORA klare Vorgaben: Sie müssen z. B. Regelungen enthalten, die den Dienstleister verpflichten, im Falle von IT-Störungen oder Sicherheitsvorfällen zu unterstützen. Zudem müssen Unternehmen für kritische oder besonders wichtige Dienstleistungen eine Exit-Strategie vorweisen – also einen Plan, wie der Dienstleister notfalls ersetzt werden kann.

Alle bestehenden IKT-Dienstleisterbeziehungen sind in einem Informationsregister zu erfassen. Dieses hilft nicht nur bei der internen Übersicht, sondern dient auch den Aufsichtsbehörden dazu, kritische IKT-Dienstleister EU-weit zu identifizieren.

Zur Unterstützung bei der Umsetzung dieser Vorgaben stellt die BaFin eine nicht verpflichtende Aufsichtsmitteilung bereit, die sich auf bestehende nationale IT-Anforderungen (BAIT, VAIT, KAIT und ZAIT) bezieht. Diese enthält auch eine Übersicht der Mindestvertragsinhalte, die mit IT-Dienstleistern vereinbart werden sollten.

Das Informationsregister:

• Enthält alle Verträge mit IKT-Dienstleistern – auch solche mit Unterauftragnehmern.
• Bei kritischen Funktionen: auch die gesamte Dienstleistungskette bis zum ersten externen Subunternehmer außerhalb der Unternehmensgruppe.
• Muss auf Verlangen an die Aufsicht (z. B. BaFin) übermittelt werden.
• Dient auch der EU-weiten Einstufung kritischer IKT-Drittdienstleister.
• Erstübermittlung an die BaFin bis spätestens 28. April 2025, ab 2026 jährliche Meldung bis zum 31. März (Datenstand: 31. Dezember des Vorjahres).

Die Einreichung erfolgt digital über das MVP-Portal der BaFin – entweder als strukturierte Datei oder per Excel-Vorlage (für kleinere Unternehmen). Die Inhalte müssen den Validierungsregeln der ESAs entsprechen. Fehlerhafte Einreichungen müssen korrigiert und neu hochgeladen werden.

Weitere Meldepflichten zu DORA

Neben dem Register schreibt DORA zwei zusätzliche Meldungen vor:

1. Jährliche Anzeige neuer IKT-Verträge
   Die BaFin geht davon aus, dass diese Information mit dem Register miterfasst wird – keine separate Meldung erforderlich.
2. Anzeigepflicht bei kritischen Funktionen
   Jede geplante Vertragsvereinbarung über IKT-Dienstleistungen für kritische oder wichtige Funktionen muss vorab gemeldet werden. Gleiches gilt, wenn eine Funktion nachträglich als kritisch oder wichtig eingestuft wird.

Da diese Anzeigepflicht sich oft mit den bestehenden sektoralen Auslagerungsregeln überschneidet, wird die BaFin das Anzeigeformular im MVP-Portal entsprechend anpassen (Verfügbarkeit voraussichtlich im 2. Quartal 2025). Durch ein einfaches Häkchen im Formular können Finanzunternehmen dann beide Pflichten gleichzeitig erfüllen.

Für Ausnahmefälle (z. B. wenn keine Auslagerungsanzeige nötig ist) stellt die BaFin ein Excel-Formular zur Verfügung, das per Mail übermittelt werden muss.