DORA Digitale Resilienz im Finanzsektor
Der Digital Operational Resilience Act verpflichtet Finanzunternehmen, ihre IT gegen Ausfälle und Angriffe widerstandsfähig zu machen – inklusive bedrohungsorientierter Penetrationstests. Wir liefern die technischen Tests dazu.
Was ist DORA?
DORA (Digital Operational Resilience Act, Verordnung (EU) 2022/2554) ist eine EU-Verordnung, die die digitale operationale Resilienz des Finanzsektors stärkt. Sie gilt unmittelbar in allen Mitgliedstaaten und ist seit dem 17. Januar 2025 anzuwenden.
DORA bündelt die Anforderungen an das IKT-Risikomanagement in einem einheitlichen Rahmen und ruht auf fünf Säulen: IKT-Risikomanagement, Behandlung und Meldung von IKT-Vorfällen, Testen der digitalen operationalen Resilienz, Management des Drittparteienrisikos und Informationsaustausch.
Rechtsgrundlage
EU 2022/2554
Anzuwenden seit
17. Januar 2025
Geltung
Unmittelbar (Verordnung)
Welche Pflichten bringt DORA mit sich?
DORA verlangt einen regelmäßigen, risikobasierten Testzyklus. Bedeutende Finanzunternehmen müssen zudem alle drei Jahre ein bedrohungsorientiertes Penetrationstesting (TLPT) nach dem TIBER-EU-Rahmen durchführen.
Scoping
Welche kritischen Funktionen und Systeme sind betroffen?
Resilienz-Assessment
Bewertung des IKT-Risikomanagements und der Testlandschaft
Penetrationstests / TLPT
Technische Tests bis hin zu bedrohungsorientierten Angriffssimulationen
Findings beheben
Schwachstellen schließen, Resilienz nachweislich erhöhen
Berichte & Wiederholung
Dokumentation für Aufsicht und regelmäßige Re-Tests
Wie wir Ihre DORA-Tests durchführen
DORA macht regelmäßiges, realistisches Testen zur Pflicht. Genau das ist unser Kerngeschäft – von der Schwachstellenanalyse bis zur bedrohungsorientierten Angriffssimulation.
Penetrationstests
Manuelle, tiefgehende Sicherheitstests Ihrer Anwendungen, APIs und Infrastruktur als Teil Ihres DORA-Testprogramms.
Threat-Led Penetration Testing
Bedrohungsorientierte Angriffssimulationen in Anlehnung an den TIBER-EU-Rahmen – realistische Szenarien gegen Ihre kritischen Funktionen.
Schwachstellen- & Resilienz-Assessment
Strukturierte Bewertung Ihrer IKT-Systeme und ihrer Widerstandsfähigkeit gegen Ausfälle und Angriffe.
Aufsichtskonforme Berichte
Detaillierte, nachvollziehbare Testberichte mit Risikobewertung und Maßnahmen – vorlagefähig gegenüber der Aufsicht.
Wer ist von DORA betroffen?
DORA gilt für nahezu den gesamten Finanzsektor sowie für kritische IKT-Drittdienstleister, die diese Unternehmen beliefern.
Banken & Kreditinstitute
Klassische Banken, Zahlungsinstitute und E-Geld-Institute.
Versicherungen
Versicherungs- und Rückversicherungsunternehmen sowie Vermittler.
Wertpapier & Krypto
Wertpapierfirmen, Handelsplätze und Anbieter von Krypto-Dienstleistungen.
IKT-Drittdienstleister
Cloud-Anbieter und IT-Dienstleister, die kritische Dienste für den Finanzsektor erbringen.
Unser Vorgehen
Ein klar strukturierter Prozess – von der ersten Beratung bis zum prüffähigen Nachweis.
Erstgespräch & Scoping
Kostenlos: Wir bestimmen die kritischen Funktionen und den passenden Testumfang nach DORA.
Resilienz-Assessment
Bewertung Ihres IKT-Risikomanagements und Ihrer bestehenden Testlandschaft.
Penetrationstest / TLPT
Durchführung der technischen Tests – bis hin zu bedrohungsorientierten Angriffssimulationen.
Bericht & Maßnahmen
Aufsichtskonformer Bericht mit CVSS-Bewertung und priorisierten Empfehlungen.
Re-Test & Zyklus
Kostenloser Retest nach Behebung und Planung des regelmäßigen DORA-Testzyklus.
Weitere Standards & Regularien
Wir decken die gängigen Sicherheits- und Compliance-Anforderungen ab. Sehen Sie sich verwandte Themen an.
Häufige Fragen
DORA betrifft Sie? Sprechen wir darüber.
Kostenlose Erstberatung – wir analysieren Ihre Ausgangslage und zeigen den schnellsten Weg zur Konformität.
Kostenlose Erstberatung anfragen