DORA Content Hub
DORA Kosten und Ablauf
Was kostet die DORA-Umsetzung? Kostenaufschlüsselung nach Unternehmensgröße, Timeline und ROI von GRC-Tooling.
DORA Kosten und Ablauf: Realistisch planen
Die Umsetzung des Digital Operational Resilience Act (DORA) erfordert Investitionen in Personal, Technologie, Beratung und organisatorische Massnahmen. Die Kosten variieren erheblich je nach Unternehmensgroesse, bestehendem Reifegrad und Komplexitaet der IKT-Landschaft. Dieser Leitfaden schluessselt die Kostenfaktoren transparent auf und gibt realistische Timelines fuer verschiedene Unternehmenstypen.
Interne Kosten
Personalkosten
Der groesste Kostenfaktor ist der interne Personalaufwand. DORA erfordert Ressourcen in IT-Sicherheit, Risikomanagement, Compliance, Recht und Projektmanagement. Je nach Unternehmensgroesse sind das:
- Kleinstunternehmen: 0,5-1 FTE fuer 6-12 Monate — typischerweise der CISO oder Compliance-Beauftragte, der DORA als zusaetzliches Projekt uebernimmt
- Mittelstand: 1-3 FTE fuer 6-12 Monate — ein dediziertes Projektteam mit Unterstuetzung aus Fachabteilungen
- Grossbank / Versicherung: 3-10 FTE fuer 12-18 Monate — ein Programm mit mehreren Arbeitsstroemen, ggf. unterstuetzt durch externe PMO-Ressourcen
Schulungen
DORA verlangt in Art. 5 Abs. 4 die Schulung des Leitungsorgans und in Art. 13 Abs. 6 Awareness-Programme fuer alle Mitarbeiter. Rechne mit 5.000-30.000 EUR je nach Unternehmengroesse — fuer Management-Workshops, Mitarbeiterschulungen und ggf. Zertifizierungen fuer das DORA-Projektteam.
Toolkosten
Fuer die effiziente Umsetzung und laufende Pflege der DORA-Anforderungen benoetigen die meisten Unternehmen eine GRC-Plattform (Governance, Risk, Compliance). Dazu kommen ggf. Tools fuer Schwachstellenscans, SIEM, Incident-Ticketing und Vendor-Management. Die Bandbreite reicht von 10.000 EUR pro Jahr (Cloud-basierte GRC-Loesung fuer KMU) bis zu mehreren hunderttausend Euro (Enterprise-Plattformen mit Integration in bestehende Systemlandschaften).
Externe Kosten
Beratung
Viele Unternehmen setzen auf externe Beratung fuer die Gap-Analyse, Richtlinienerstellung und Implementierungsbegleitung. Tagessaetze fuer spezialisierte DORA-Berater liegen bei 1.500-2.500 EUR. Der Gesamtaufwand haengt vom Reifegrad ab:
- Hohes Reifegrad-Niveau: 20-50 Beratertage (Gap-Analyse + Delta-Umsetzung)
- Mittleres Reifegrad-Niveau: 50-120 Beratertage (umfassende Implementierungsbegleitung)
- Niedriges Reifegrad-Niveau: 100-250+ Beratertage (Aufbau von Grund auf)
Audits und Pruefungen
DORA selbst sieht keine formale Zertifizierung vor, aber die Aufsichtsbehoerden (BaFin in Deutschland) pruefen die Einhaltung im Rahmen regelmaessiger Pruefungen. Dazu kommen die jaehrlichen Pruefungen durch Wirtschaftspruefer (§ 44 KWG-Pruefungen). Die Kosten fuer DORA-bezogene Pruefungshandlungen liegen typischerweise bei 15.000-80.000 EUR pro Jahr — je nach Komplexitaet und Scope. Fuer TLPT-Penetrationstests (Art. 26-27) kommen alle drei Jahre zusaetzlich 100.000-500.000 EUR hinzu.
Gesamtkosten nach Unternehmenstyp
| Kategorie | Kleinstunternehmen | Mittelstand | Grossbank / Versicherung |
|---|---|---|---|
| Interner Personalaufwand | 30-60k EUR | 80-200k EUR | 250-800k EUR |
| Externe Beratung | 30-75k EUR | 75-250k EUR | 200-600k EUR |
| Tooling (GRC, SIEM, Testing) | 10-25k EUR/Jahr | 25-80k EUR/Jahr | 80-300k EUR/Jahr |
| Schulungen | 5-10k EUR | 10-25k EUR | 25-80k EUR |
| Pruefungen / Audits (jaehrlich) | 15-25k EUR | 25-50k EUR | 50-150k EUR |
| Gesamtkosten Erstjahr | 90-200k EUR | 200-600k EUR | 600k-2 Mio. EUR |
Unternehmen mit bestehender ISO 27001 Zertifizierung oder ausgereiften BAIT/VAIT-Prozessen liegen typischerweise am unteren Ende der Spanne, da ein erheblicher Teil der Anforderungen bereits abgedeckt ist. Das ISO 27001 Mapping zeigt, welche Anforderungen bereits erfuellt sind.
Timeline nach Unternehmenstyp
| Phase | Kleinstunternehmen (vereinfacht) | Mittelstand | Grossbank |
|---|---|---|---|
| Gap-Analyse | 1-2 Wochen | 2-4 Wochen | 4-8 Wochen |
| Governance & Strategie | 1-2 Wochen | 2-4 Wochen | 4-8 Wochen |
| Rahmenwerk-Implementierung | 4-8 Wochen | 8-16 Wochen | 16-32 Wochen |
| Test & Validierung | 2-3 Wochen | 3-6 Wochen | 6-12 Wochen |
| Gesamt | 2-4 Monate | 4-8 Monate | 8-16 Monate |
Kleinstunternehmen profitieren vom vereinfachten Rahmen nach Art. 16, der den Umfang erheblich reduziert. Details findest du auf unserer Seite zur Proportionalitaet.
ROI einer GRC-Plattform
Die Investition in eine GRC-Plattform wie Kopexa zahlt sich typischerweise innerhalb von 6-12 Monaten aus:
- 40-60 % weniger Personalaufwand: Vorgeladene Anforderungskataloge, automatisiertes Cross-Mapping und integriertes Evidence-Management ersetzen wochenlange manuelle Arbeit in Spreadsheets
- Reduzierte Beratungskosten: Wenn das Rahmenwerk bereits in der Plattform abgebildet ist, sinkt der Bedarf an externer Beratung fuer die Grundlagenarbeit
- Schnellere Audit-Readiness: Zentrale Dokumentation und Nachverfolgung verkuerzen die Vorbereitungszeit fuer Pruefungen erheblich
- Laufende Compliance-Pflege: DORA ist kein einmaliges Projekt. Die jaehrliche Aktualisierung des Informationsregisters, die Pflege von Richtlinien und die Dokumentation von Tests erfordern kontinuierlichen Aufwand — den eine Plattform drastisch reduziert
- Multi-Framework-Effizienz: Wer neben DORA auch ISO 27001, NIS2 oder BAIT/VAIT umsetzen muss, spart durch Cross-Mapping bis zu 40 % der Gesamtkosten
Kosten sparen: Praktische Tipps
- Bestehende Frameworks nutzen: ISO 27001, BAIT/VAIT und NIS2 haben erhebliche Ueberschneidungen mit DORA. Nutze die BAIT/VAIT-Migration als Ausgangspunkt
- Proportionalitaet nutzen: Kleinstunternehmen koennen den vereinfachten Rahmen nach Art. 16 anwenden und so erheblich Kosten sparen
- GRC-Tool statt Excel: Die Zeitersparnis durch automatisierte Kataloge und integriertes Nachweismanagement uebersteigt die Lizenzkosten typischerweise innerhalb weniger Monate
- Fruehzeitig starten: Zeitdruck fuehrt zu teuren externen Ressourcen und Notloesungen. Unsere Checkliste hilft bei der Planung
- Strafen einkalkulieren: Die Kosten der Nichteinhaltung uebersteigen die Implementierungskosten bei weitem. Informiere dich ueber die DORA-Strafen
Kosteneffizient compliant werden
Kopexa hilft dir, die DORA-Umsetzung kosteneffizient zu planen und durchzufuehren. Vorgeladene Anforderungskataloge, automatisiertes Cross-Mapping und integriertes Nachweismanagement sparen typischerweise 40-60 % des manuellen Aufwands. Im Erstgespraech ermitteln wir deinen Reifegrad und erstellen eine realistische Aufwandschaetzung.
Jetzt Kosten einschaetzen lassenWeitere DORA-Themen
DORA-Übersicht
Pillar Page und Gesamtüberblick
Anforderungen
Alle DORA-Anforderungen im Überblick
IKT-Risikomanagement
Risikorahmen, Governance und Strategie (Art. 5–16)
Meldepflicht
IKT-Vorfälle melden: Fristen und Prozess (Art. 17–23)
Resilienztests
Basis-Tests und TLPT (Art. 24–27)
Drittparteienrisiko
IKT-Dienstleister managen (Art. 28–44)
Informationsregister
Das DORA-Informationsregister (Art. 28 Abs. 3)
Checkliste
10 Schritte zur DORA-Compliance
BAIT/VAIT-Migration
Von BAIT/VAIT/KAIT/ZAIT zu DORA
Proportionalität
Vereinfachter Rahmen für Kleinstunternehmen (Art. 16)
ISO 27001 Mapping
Cross-Mapping und Dual-Compliance
Strafen
Sanktionen und Enforcement
Lass uns gemeinsam prüfen, wo du stehst
Kostenlos & unverbindlich