DORA-Checkliste: 10 Schritte zur Compliance

DORA-Checkliste: In 10 Schritten zur Compliance

Der Digital Operational Resilience Act (DORA) ist seit dem 17. Januar 2025 verbindlich. Die Umsetzung erfordert ein systematisches Vorgehen über alle fuenf Saeulen der Verordnung hinweg. Diese Checkliste bietet dir einen klaren Fahrplan mit zehn konkreten Schritten — vom ersten Assessment bis zur Audit-Readiness. Jeder Schritt referenziert die relevanten DORA-Artikel und gibt eine realistische Zeitschaetzung.

Schritt 1: Gap-Analyse durchfuehren

Ziel: Den Ist-Zustand gegen alle fuenf DORA-Saeulen bewerten und die groessten Luecken identifizieren.

Relevante Artikel: Art. 5-45 (gesamte Verordnung)

Zeitrahmen: 2-4 Wochen

Arbeite systematisch jeden DORA-Artikel durch und dokumentiere fuer jeden Anforderungsbereich, ob und in welchem Umfang eine Umsetzung bereits erfolgt ist. Priorisiere die Luecken nach Kritikalitaet und Aufwand. Kopexa bietet hierfuer einen vorgeladenen DORA-Anforderungskatalog, der dir sofort zeigt, wo Handlungsbedarf besteht.

Schritt 2: Governance-Struktur aufsetzen

Ziel: Klare Verantwortlichkeiten fuer das IKT-Risikomanagement definieren und die Geschäftsleitung formal einbinden.

Relevante Artikel: Art. 5 (Governance), Art. 6 Abs. 4 (Kontrollfunktion)

Zeitrahmen: 1-2 Wochen

DORA verlangt ausdruecklich, dass die Geschäftsleitung die letzte Verantwortung fuer das IKT-Risikomanagement traegt. Definiere die DORA-Projektorganisation: Wer ist CISO, wer steuert das Projekt, wer berichtet an die Geschäftsleitung? Stelle sicher, dass das Leitungsorgan ausreichend geschult wird (Art. 5 Abs. 4) und regelmaessig über den DORA-Fortschritt informiert wird.

Schritt 3: IKT-Sicherheitsstrategie entwickeln

Ziel: Eine übergreifende Strategie fuer digitale operationelle Resilienz formulieren und vom Leitungsorgan genehmigen lassen.

Relevante Artikel: Art. 6 Abs. 8 (Digitale Resilienzstrategie)

Zeitrahmen: 2-3 Wochen

Die Strategie muss Ziele fuer Informationssicherheit, den Risikomanagementrahmen, die Risikobereitschaft sowie Plaene fuer Kommunikation, Schulungen und Drittparteienmanagement umfassen. Sie ist mindestens jährlich zu überprüfen und bei wesentlichen Aenderungen der IKT-Landschaft oder Bedrohungslage zu aktualisieren.

Schritt 4: IKT-Risikorahmen implementieren

Ziel: Den vollständigen IKT-Risikomanagementrahmen gemaess Art. 6-15 aufbauen.

Relevante Artikel: Art. 6-15 (Identifikation, Schutz, Erkennung, Reaktion, Lernen)

Zeitrahmen: 4-8 Wochen

Dies ist der aufwaendigste Schritt. Erstelle ein vollständiges Inventar aller IKT-Assets und Abhaengigkeiten (Art. 8), implementiere Schutzmassnamen (Art. 9), etabliere Erkennungsmechanismen (Art. 10) und definiere Business-Continuity- und Wiederherstellungsplaene (Art. 11-12). Details findest du auf unserer Seite zum IKT-Risikomanagement.

Schritt 5: Vorfallsmanagement aufbauen

Ziel: Prozesse fuer Erkennung, Klassifizierung und Meldung von IKT-Vorfaellen etablieren.

Relevante Artikel: Art. 17-23 (Vorfallsmanagement und Meldepflichten)

Zeitrahmen: 2-4 Wochen

Definiere Klassifizierungskriterien fuer IKT-Vorfaelle, richte Meldekanale ein (4h/72h/30d-Fristen) und trainiere das Incident-Team. Stelle sicher, dass automatisierte Alarme in dein SIEM oder Monitoring integriert sind. Dokumentiere den gesamten Prozess von der Erkennung bis zum Abschlussbericht. Mehr auf unserer Seite zur Meldepflicht.

Schritt 6: Informationsregister fuehren

Ziel: Ein vollständiges Register aller vertraglichen Vereinbarungen mit IKT-Drittdienstleistern erstellen und pflegen.

Relevante Artikel: Art. 28 Abs. 3 (Informationsregister)

Zeitrahmen: 3-6 Wochen

Das Informationsregister muss alle IKT-Drittdienstleister erfassen — einschliesslich Subunternehmer in der Kette. Fuer jeden Dienstleister: Art der Leistung, unterstuetzte Geschaeftsfunktionen, Vertragslaufzeit, Datenlokalisierung und Bewertung der Kritikalitaet. Das Register ist jährlich an die Aufsichtsbehoerde zu melden. Details auf unserer Seite zum Informationsregister.

Schritt 7: Drittparteienrisiko bewerten

Ziel: IKT-Drittdienstleister klassifizieren, Vertraege prüfen und Konzentrationsrisiken analysieren.

Relevante Artikel: Art. 28-30 (Drittparteienmanagement), Art. 29 (Konzentration)

Zeitrahmen: 3-6 Wochen

Pruefe bestehende Vertraege gegen die Mindestanforderungen aus Art. 30: Sind SLAs definiert? Gibt es Audit-Rechte? Ist die Datenlokalisierung geregelt? Gibt es Exit-Klauseln? Bewerte Konzentrationsrisiken — wenn ein einzelner Cloud-Provider mehrere kritische Funktionen unterstuetzt, erfordert DORA Maßnahmen zur Risikominderung. Definiere Exit-Strategien fuer alle kritischen Dienstleister. Mehr auf unserer Seite zum Drittparteienrisiko.

Schritt 8: Testprogramm etablieren

Ziel: Ein risikobasiertes Testprogramm fuer digitale operationelle Resilienz aufsetzen.

Relevante Artikel: Art. 24-27 (Resilienztests, TLPT)

Zeitrahmen: 2-4 Wochen (Planung), dann fortlaufend

Definiere einen jährlichen Testplan: Schwachstellenscans, Penetrationstests, Netzwerksicherheitstests, Performance-Tests und Szenarioanalysen. Falls dein Unternehmen fuer TLPT bestimmt wird, plane alle drei Jahre einen bedrohungsgesteuerten Penetrationstest auf Basis des TIBER-EU-Rahmens. Stelle sicher, dass Testergebnisse dokumentiert und in den Risikomanagementprozess eingespeist werden. Mehr auf unserer Seite zu Resilienztests.

Schritt 9: Schulungsprogramm durchfuehren

Ziel: Alle relevanten Mitarbeiter und die Geschäftsleitung in DORA-Anforderungen schulen.

Relevante Artikel: Art. 5 Abs. 4 (Schulung Leitungsorgan), Art. 13 Abs. 6 (Awareness-Programme)

Zeitrahmen: 2-3 Wochen

DORA verlangt ausdruecklich, dass Mitglieder des Leitungsorgans regelmaessig geschult werden, um IKT-Risiken zu verstehen und zu bewerten. Darüber hinaus muessen alle Mitarbeiter in IKT-Sicherheit geschult werden — mit besonderem Fokus auf Vorfallserkennung und Meldewege. Dokumentiere alle Schulungen mit Inhalten, Teilnehmern und Datum.

Schritt 10: Audit-Readiness herstellen

Ziel: Nachweisfaehigkeit gegenüber BaFin und Wirtschaftsprüfern sicherstellen.

Relevante Artikel: Art. 6 Abs. 5 (Berichterstattung), Art. 19 Abs. 4 (Meldepflicht)

Zeitrahmen: 2-4 Wochen

Fuehre einen internen Audit gegen alle DORA-Anforderungen durch. Stelle sicher, dass fuer jeden Artikel ausreichend Nachweise vorliegen: genehmigte Richtlinien, Testberichte, Schulungsnachweise, Informationsregister und Vertragsdokumentation. Pruefe, ob die Meldekanaele zur Aufsichtsbehoerde funktionieren. Bereite dich auf typische Prueffragen der BaFin vor und dokumentiere den gesamten DORA-Reifegrad.

Zeitvergleich: Mit Kopexa vs. ohne Tool

Die Zeitersparnis resultiert vor allem aus vorgeladenen Anforderungskatalogen, automatisiertem Cross-Mapping und integriertem Evidence-Management. Detaillierte Kosteninformationen findest du auf unserer Seite zu DORA Kosten und Ablauf.

Proportionalitaet beachten

Nicht alle Schritte gelten in vollem Umfang fuer alle Finanzunternehmen. DORA sieht in Art. 4 ein Proportionalitaetsprinzip vor: Die Anforderungen orientieren sich an Groesse, Risikoprofil, Art und Komplexitaet der IKT-Dienste. Kleinstunternehmen gemaess Art. 16 können einen vereinfachten IKT-Risikomanagementrahmen anwenden. Mehr dazu auf unserer Seite zur Proportionalitaet.