DORA ist in Kraft — seit 17. Januar 2025

DORA-Compliance für den Finanzsektor

22.000+ Finanzunternehmen in der EU müssen IKT-Risiken managen, Vorfälle melden und Resilienztests durchführen. Kopexa bündelt DORA-Framework, Maßnahmenkatalog und Informationsregister in einer Plattform.

22.000+

Unternehmen betroffen

72h

Meldefrist bei IKT-Vorfällen

5 Säulen

der digitalen Resilienz

Kostenlose BeratungBin ich betroffen?
Made in EuropeBaFin-konformISO 27001 alignedOSCAL-basiert

Hintergrund

Was ist DORA und wen betrifft es?

DORA steht für Digital Operational Resilience Act (EU-Verordnung 2022/2554) und regelt die digitale operationale Resilienz des Finanzsektors. Die Verordnung ist seit dem 17. Januar 2025 unmittelbar anwendbar und betrifft über 22.000 Finanzunternehmen in der EU.

DORA ersetzt die bisherigen nationalen Aufsichtsanforderungen an die IT (in Deutschland: BAIT, VAIT, KAIT, ZAIT) durch einen einheitlichen europäischen Rahmen. Damit wird sichergestellt, dass alle Finanzunternehmen — von Großbanken bis zu Krypto-Dienstleistern — dieselben Standards für IKT-Sicherheit einhalten.

Die Verordnung umfasst 5 Säulen: IKT-Risikomanagement, IKT-Vorfallsmanagement und Meldepflicht, Resilienztests (einschließlich TLPT), IKT-Drittparteienrisiko und Informationsaustausch. Jede Säule definiert konkrete Anforderungen, die Finanzunternehmen erfüllen müssen.

Besonders bemerkenswert ist das Proportionalitätsprinzip (Artikel 4): Kleinstunternehmen im Finanzsektor (weniger als 10 Mitarbeitende, Umsatz unter 2 Mio. EUR) profitieren von einem vereinfachten IKT-Risikomanagementrahmen (Artikel 16) mit reduzierten Anforderungen.

Das IKT-Drittparteienrisiko (Artikel 28–44) geht deutlich über bisherige Regelungen hinaus: Finanzunternehmen müssen ein Informationsregister aller IKT-Drittanbieter führen, vertragliche Mindestanforderungen sicherstellen und Ausstiegsstrategien dokumentieren. Kritische IKT-Drittdienstleister (CTPPs) werden direkt von den europäischen Aufsichtsbehörden (ESAs) überwacht.

Die 5 Säulen von DORA

Kernbereiche der EU-Verordnung 2022/2554

  • IKT-Risikomanagement (Art. 5–16)
  • IKT-Vorfallsmanagement & Meldepflicht (Art. 17–23)
  • Resilienztests & TLPT (Art. 24–27)
  • IKT-Drittparteienrisiko (Art. 28–44)
  • Informationsaustausch (Art. 45)

Wen betrifft DORA?

21 Kategorien von Finanzunternehmen

  • Kreditinstitute, Wertpapierfirmen und Handelsplätze
  • Versicherungen, Rückversicherungen und Pensionskassen
  • Zahlungsinstitute und E-Geld-Institute
  • Krypto-Dienstleister und Kapitalverwaltungsgesellschaften

Welche Unternehmen fallen unter DORA?

Alle DORA-Anforderungen im Detail

Bisher BAIT/VAIT/KAIT/ZAIT reguliert?

Die bisherigen deutschen Aufsichtsanforderungen an die IT werden bis zum 1. Januar 2027 durch DORA abgelöst. Erfahre, was sich ändert und wie du die Migration planst.

BAIT/VAIT-Migration im Detail

Kostenloser DORA Readiness Check

Gilt DORA für dein Unternehmen?

Finde es in 3 Minuten heraus. Kostenlos und anonym.

DORA Readiness Check

Gilt DORA für dein Unternehmen?

Mit dem DORA Readiness Check von Kopexa findest du in wenigen Klicks heraus, ob und in welchem Umfang die EU-Verordnung für digitale operationale Resilienz (DORA) auf dich zutrifft.

  • Basierend auf den offiziellen DORA-Kriterien (EU 2022/2554).
  • Sofortige Einschätzung: Betroffenheit, Rahmen (voll oder vereinfacht) und geschätzte Umsetzungszeit.
  • Anonym, sicher und zur Orientierung.

Jetzt starten und deine DORA-Readiness prüfen.

Hinweis: Diese Ersteinschätzung basiert auf deinen Angaben und öffentlich zugänglichen Kriterien (NIS2). Sie ist nicht rechtsverbindlich und ersetzt keine Einzelfallprüfung.

Timeline

Der Weg zur DORA-Compliance

Schritt 1

Gap-Analyse

Ist-Zustand gegen die 5 DORA-Säulen bewerten. Lücken identifizieren und priorisieren.

Schritt 2

IKT-Risikorahmen

Governance-Struktur aufbauen, IKT-Sicherheitsstrategie definieren, Kontrollfunktion einrichten.

Schritt 35 Schritte

Informationsregister

Alle IKT-Drittanbieter erfassen, Verträge prüfen, Konzentrationsrisiken bewerten.

Schritt 4

Resilienztests

Testprogramm einrichten, Basis-Tests durchführen, TLPT-Pflicht prüfen.

Schritt 5

Audit-Readiness

Nachweise sammeln, Maßnahmen dokumentieren, Bereitschaft für die Aufsichtsprüfung herstellen.

Je früher du startest, desto schneller bist du compliant. Kopexa unterstützt dich bei jedem Schritt.

Checkliste ansehen

DORA-Säulen

Die 5 Säulen der digitalen operationalen Resilienz

Jede Säule adressiert einen Kernbereich der IKT-Sicherheit für Finanzunternehmen.

IKT-Risikomanagement

Art. 5–16

Umfassender Risikorahmen, Governance-Struktur und IKT-Sicherheitsstrategie für alle digitalen Systeme.

IKT-Vorfallsmanagement & Meldepflicht

Art. 17–23

Klassifizierung von IKT-Vorfällen und Meldefristen: 4h Erstmeldung, 72h Zwischenbericht, 30 Tage Abschluss.

Resilienztests & TLPT

Art. 24–27

Regelmäßige Basis-Tests und Threat-Led Penetration Testing (TLPT) für systemrelevante Institute.

IKT-Drittparteienrisiko

Art. 28–44

Vertragliche Anforderungen, Informationsregister, Konzentrationsrisiko und Ausstiegsstrategien für IKT-Dienstleister.

Informationsaustausch

Art. 45

Freiwilliger Austausch von Bedrohungsinformationen zwischen Finanzunternehmen zur kollektiven Resilienz.

Kostenlose Erstberatung

Wie Kopexa hilft

Von der Anforderung zur Umsetzung

IKT-Risikorahmen aufbauen?

Framework vorgeladen, Gap-Analyse auf Knopfdruck

Der vollständige DORA-Rahmen mit allen 5 Säulen ist in Kopexa vorgeladen. Beantworte Anforderungen direkt in der Plattform, identifiziere Lücken und tracke deinen Fortschritt.

  • DORA-Framework out-of-the-box
  • Gap-Analyse auf Knopfdruck
  • Cross-Mapping zu ISO 27001 und BAIT/VAIT

Informationsregister erstellen?

IKT-Drittparteien zentral verwalten

Das DORA-Informationsregister (Art. 28 Abs. 3) verlangt eine lückenlose Dokumentation aller IKT-Drittanbieter. Kopexa macht das einfach: Dienstleister erfassen, Verträge tracken, Bericht generieren.

  • IKT-Drittparteien-Register
  • Vertragsverwaltung
  • Jährlicher Meldebericht

Audit-Nachweis?

Evidence Collection & Export

Richtlinien, Nachweise und Berichte zentral verwalten. Bei der Prüfung durch die Aufsichtsbehörde exportierst du alles mit einem Klick — audit-ready.

  • Zentrale Nachweisführung
  • Policy-Management
  • Export-ready Audit-Reports

Alle Frameworks. Ein System.

Entwickelt von GRC-Experten für den europäischen Mittelstand

ISO 27001NIS2TISAXDORABSI GrundschutzDSGVOSOC 2KRITISPCI-DSSNIST CSF

Kopexa basiert auf OSCAL, dem offenen Standard des NIST für maschinenlesbare Compliance-Frameworks. Jedes Framework, jeder Standard, jede Regulierung: sofort verfügbar oder selbst gebaut mit unserem Framework Builder.

Content Hub

DORA vertiefen

Anforderungen

Alle DORA-Anforderungen im Überblick

IKT-Risikomanagement

Risikorahmen, Governance und Strategie (Art. 5–16)

Meldepflicht

IKT-Vorfälle melden: Fristen und Prozess (Art. 17–23)

Resilienztests

Basis-Tests und TLPT (Art. 24–27)

Drittparteienrisiko

IKT-Dienstleister managen (Art. 28–44)

Informationsregister

Das DORA-Informationsregister (Art. 28 Abs. 3)

Checkliste

10 Schritte zur DORA-Compliance

Kosten & Ablauf

Timeline, Budget und Ressourcen

BAIT/VAIT-Migration

Von BAIT/VAIT/KAIT/ZAIT zu DORA

Proportionalität

Vereinfachter Rahmen für Kleinstunternehmen (Art. 16)

ISO 27001 Mapping

Cross-Mapping und Dual-Compliance

Strafen

Sanktionen und Enforcement

Häufig gestellte Fragen zu DORA

Lass uns gemeinsam prüfen, wo du stehst

Kostenlos & unverbindlich. Antwort innerhalb von 24h.

Mit dem Absenden stimmst du unserer Datenschutzerklärung zu.