DORA Quick-Start

In 30 Tagen DORA-konform starten.

Ein praxisnaher Einstieg fuer Compliance-Offiziere, Risikomanager und IT-Sicherheitsverantwortliche in deutschen Finanzinstituten.

Management-Zusammenfassung

Tag 1–7: Selbstbewertung durchfuehren — Ist Ihr Institut Essential oder Important Entity?
Tag 8–14: Kritische Funktionen identifizieren — Welche Prozesse sind bei Stoerung geschaeftskritisch?
Tag 15–21: IKT-Risikoinventar aufbauen — Bestandsaufnahme der Systeme, Dienstleister und Abhaengigkeiten.
Tag 22–28: Testprogramm-Roadmap erstellen — Resilienztests fuer 2026 planen und budgetieren.
Tag 29–30: Governance-Dokumentation — Leitungsorgan informieren, Rollen klaeren, Erste Massnahmen priorisieren.

Essential vs. Important Entity: Selbstbewertung

Die DORA unterscheidet zwischen Essential und Important Entities mit unterschiedlichen Anforderungen. Diese Schnellbewertung hilft bei der Ersteinstufung.

Essential Entity

Trifft zu, wenn:

Kreditinstitut mit Bilanzsumme > 30 Mrd. EUR
Versicherung mit Praemien > 10 Mrd. EUR
Kritische Marktinfrastruktur (CSD, CCP)
Signifikante Systemrelevanz (BaFin-Einstufung)

Anforderungen: Vollstaendiger DORA-Bezug, TLPT alle 3 Jahre, umfassendes IKT-Risikomanagement

Important Entity

Trifft zu, wenn:

Kleinere Kreditinstitute (unter Thresholds)
Wertpapierfirmen und Zahlungsinstitute
Kleinere Versicherungen und Rueckversicherer
Krypto-Asset-Dienstleister

Anforderungen: Proportionalitaet angewendet, TLPT fakultativ, grundlegendes IKT-Risikomanagement

Kritische vs. Wichtige Funktionen: Einordnungshilfe

Die Unterscheidung bestimmt die Intensitaet der Resilienzanforderungen.

Merkmal	Kritische Funktion (kwF)	Wichtige Funktion
Stoerungsauswirkung	Unterbrechung wirkt sich auf EU-weite Finanzstabilitaet aus	Betrachtliches Risiko fuer Institut, keine systemische Bedrohung
Wiederanlaufzeit (RTO)	Maximal 2 Stunden fuer Kernfunktionen	Bis zu 24 Stunden akzeptabel
Testfrequenz	Jaehrliche Tests, TLPT alle 3 Jahre	Test nach Risikobewertung, kein TLPT-Zwang
Meldeanforderungen	Sofortige Meldung (bis 4h), detaillierte Folgemeldung	Standardmeldung (24h), weniger detailliert

Detaillierte Funktionsklassifizierung

5 Quick Wins fuer Q2 2026

Diese Massnahmen zeigen schnell Wirkung und schaffen Grundlage fuer umfassende DORA-Konformitaet.

IKT-Risikoinventar anlegen

Erfassen Sie alle kritischen Systeme, Dienstleister und Abhaengigkeiten in einer strukturierten Liste. Priorisieren Sie nach Geschaeftswirkung.

Aufwand: 3–5 Tage

Drittparteien-Risiko bewerten

Identifizieren Sie kritische IKT-Dienstleister. Ueberpruefen Sie Vertraege auf DORA-konforme Klauseln. Dokumentieren Sie Einwirkungsmoeglichkeiten.

Aufwand: 2–3 Tage

Vorfall-Meldeprozess definieren

Legen Sie Verantwortlichkeiten fuer Major Incidents fest. Definieren Sie Eskalationswege. Testen Sie den Prozess in einem Tischuebung.

Aufwand: 1 Tag

Testprogramm-Roadmap 2026

Planen Sie Resilienztests fuer das laufende Jahr. Budgetieren Sie fuer externe Penetrationstests. Priorisieren Sie kwF-Systeme.

Aufwand: 2–3 Tage

Informationsregister vorbereiten

Sammeln Sie Daten fuer das BaFin-Informationsregister. Dokumentieren Sie regulierte Taetigkeiten. Ordnen Sie EBA-Identifier zu.

Aufwand: 5–7 Tage

DORA Resource Hub

Alle wichtigen Ressourcen fuer Ihre DORA-Umsetzung auf einen Blick.

DORA Ueberblick

Alle Kapitel und Artikel im Detail

Testprogramm

12 Testarten und Frequenzmatrix

Reifegradmodell

Selbstbewertung auf 5 Stufen

Informationsregister

Readiness-Check und EBA-Identifiers

IKT-Risikomanagement

Rahmenwerk und Kontrollen

Drittparteienrisiko

Vertragsanforderungen und TPRM

Hauefige Fragen (FAQ)

Ist DORA fuer mein Institut verbindlich?

DORA ist seit 17. Januar 2025 fuer alle in der EU regulierten Finanzinstitute verbindlich. Das umfasst Kreditinstitute, Versicherungen, Zahlungsinstitute, Wertpapierfirmen, Krypto-Asset-Dienstleister und weitere. Selbst kleine Institute fallen unter den Anforderungen, koennen diese jedoch proportional anwenden.

Was ist der Unterschied zu MaRisk?

MaRisk bleibt die nationale aufsichtsrechtliche Grundlage fuer deutsche Institute. DORA ergaenzt diese auf EU-Ebene mit spezifischen IKT-Resilienz-Anforderungen. Beide sind zu beachten — wir haben die wichtigsten Ueberschneidungen und Ergaenzungen in unseren MaRisk-DORA-Mappings dokumentiert.

Muss ich einen TLPT durchfuehren?

Threat-Led Penetration Tests (TLPT) sind fuer Essential Entities alle 3 Jahre verpflichtend. Important Entities muessen keine TLPT durchfuehren, sollten jedoch angemessene Resilienztests (z.B. Penetrationstests, Red Team Exercises) implementieren. Die genauen Anforderungen haengen von Ihrer Einstufung und den kritischen Funktionen ab.

Was passiert bei Nicht-Einhaltung?

Die BaFin kann bei DORA-Verstoessen alle nach nationalem Recht vorgesehenen Massnahmen ergreifen, einschliesslich Anordnungen, Auflagen und Geldbussen. Die genauen Sanktionen richten sich nach dem MaRisk-Sanktionenregime. Ein proaktives, dokumentiertes DORA-Umsetzungsprogramm zeigt Aufsichtsbereitschaft und mindert Risiken.

Welche Rolle spielt ISO 27001?

ISO/IEC 27001:2022 unterstuetzt die DORA-Compliance, ersetzt sie aber nicht. Ein bestehendes ISMS bietet eine gute Grundlage fuer IKT-Risikomanagement, Incident Management und Security Controls. Wir haben in unserer Plattform Kontrollmappings zwischen ISO 27001 und DORA hinterlegt, die zeigen, welche ISO-Kontrollen DORA-Anforderungen abdecken.

Quellen und Stand

Review-Status: reviewed
Letzte Prüfung: 2026-05-13

EUR-Lex: DORA Verordnung (EU) 2022/2554 Stand: 2022-12-14
BaFin: DORA Umsetzung fuer deutsche Institute Stand: Abruf 2026-05-13
EBA: DORA Implementation Guidelines Stand: Abruf 2026-05-13

Diese Seite ist eine eigene Umsetzungshilfe auf Basis öffentlicher Quellen. Sie ersetzt keine Rechtsberatung und keine verbindliche Auslegung durch Aufsicht oder Rechtsberatung.