Einleitung: Warum DORA‑Compliance jetzt entscheidet
DORA‑Compliance ist keine Zukunftsaufgabe mehr, sondern Voraussetzung, um Bestandskunden zu halten, Neugeschäft zu sichern und Sanktionen zu vermeiden. Seit dem 17. Januar 2025 gilt der Digital Operational Resilience Act (DORA) in allen EU‑Mitgliedstaaten unmittelbar. Für FinTech‑Start‑ups und agile Finanz‑IT‑Teams heißt das: Aufsichtsbehörden verlangen belastbare Nachweise zur digitalen Resilienz, von der Cloud‑Infrastruktur bis zur Lieferkette.
Kurz gesagt: Wer seine Resilienz dokumentiert, gewinnt Vertrauen und Marktzugang. Wer zu spät kommt, riskiert unnötige Kosten und Imageschäden.
Was genau regelt DORA – und was nicht? – und was nicht?
DORA-Compliance: Regulierung vs. Rahmenwerk
DORA ist eine unmittelbar geltende EU‑Verordnung. Anders als die NIS2‑Richtlinie muss sie nicht erst in nationales Recht überführt werden. Dadurch entsteht ein Level Playing Field für alle Finanzunternehmen, vom E‑Geld‑Institut bis zur Krypto‑Plattform. Trotzdem lässt DORA Gestaltungsspielraum: Das Proportionalitätsprinzip erlaubt, Anforderungen risikobasiert anzupassen. Für DORA‑Compliance zählt also nicht die Unternehmensgröße, sondern das Impact‑Profil Ihrer digitalen Services.
Harmonisierung der Aufsicht bei der DORA-Compliance
Vor DORA existierten über 20 unterschiedliche nationale Vorgaben für IKT‑Risiken. Jetzt übernehmen die drei europäischen Aufsichtsbehörden (EBA, ESMA, EIOPA) eine koordinierende Rolle. Sie definieren technische Standards (RTS/ITS) und überwachen kritische IKT‑Dienstleister zentral. Für FinTech‑Start‑ups vereinfacht das den Audit‑Prozess: Ein einmal erreichtes DORA‑Compliance‑Level gilt EU‑weit.
Wer fällt unter DORA‑Compliance?
Von DORA-Compliance betroffene Finanzunternehmen
- Kredit‑ und E‑Geld‑Institute
- Zahlungs‑ und Kontoinformationendienste
- Wertpapierfirmen, Handelsplätze, CCPs
- Krypto‑Dienstleister und Token‑Issuer
- Versicherer, Rückversicherer, Pensionskassen
- Alternative Investment‑Fonds (soweit nicht ausgenommen)
Ausnahmen & Sonderfälle bei der DORA-Compliance
Micro‑InsurTechs oder kleine Vermittler mit <15 Mitarbeitenden können ausgenommen sein. Doch Vorsicht: Wenn Ihre Lösung kritische Prozesse einer Bank stützt, gelten volle Pflichten. Prüfen Sie frühzeitig, ob „vereinfachtes IKT‑Risikomanagement“ greift oder nicht, denn das ist ein Kernschritt der DORA‑Compliance‑Analyse.
Die fünf Säulen der DORA‑Compliance
1. IKT‑Risikomanagement
Ein belastbares Framework inklusive Governance, Asset‑Inventar, Patch‑Management und Verschlüsselung in allen Datenzuständen. DORA‑Compliance verlangt Nachweise für Wirksamkeit, nicht nur Policies.
2. Behandlung & Meldung von IKT‑Vorfällen
Ein dreistufiger Meldeprozess, harmonisiert mit EZB und ESAs. FinTechs müssen Schwerwiegendes binnen Stunden reporten und Kunden aktiv informieren. Automatisierte SIEM‑Workflows verkürzen Ihre Mean‑Time‑to‑Report.
3. Tests der digitalen Resilienz für DORA-Compliance
Vom jährlichen Schwachstellen‑Scan bis zum TLPT (Threat‑Led Pen Test) alle drei Jahre. Je höher Ihr Systemimpact, desto intensiver das Testregime. Für DORA‑Compliance sollten Sie eine mehrjährige Test‑Roadmap planen.
4. IKT‑Drittparteien‑Risikomanagement
Vertragliche Mindestklauseln, Ausstiegsstrategien und ein zentrales Register aller Cloud‑ und SaaS‑Provider. Ohne konsequentes Lieferanten‑Scoring bleibt Ihre DORA‑Compliance lückenhaft.
5. Informationsaustausch zu Cyberbedrohungen
Teilnahme an Threat‑Intelligence‑Communities wird zur Pflicht. FinTech‑Ökosysteme profitieren: Gemeinsame Indicator‑Feeds verkürzen Time‑to‑Detect.
Proportionalität: Wie viel DORA‑Compliance braucht ein Start‑up?
DORA skaliert mit Ihrem Risiko‑Footprint. Ein SaaS‑FinTech mit 30 Mitarbeitern, das nur Non‑Critical‑Payment‑Data verarbeitet, kann auf vereinfachte Meldewege und reduzierte TLPT‑Anforderungen zurückgreifen. Ein Cloud‑Banking‑Provider dagegen muss volle DORA‑Compliance erreichen – inklusive 3LoD‑Modell und Board‑Level‑Reporting. Nutzen Sie Business‑Impact‑Analysen, um eine belastbare Risikotaxonomie zu erstellen.
Kompaktplan für eine verspätete DORA‑Compliance (Juni 2025 – Dezember 2025)
| Phase | Ziel | Zeitraum |
| Kick‑off & Gap‑Analyse | Ist‑Stand erfassen, Scope definieren | Juni 2025 |
| Remediation‑Sprint | Kritische Lücken schließen, Policies aktualisieren | Juli–August 2025 |
| Implement & Automatisieren | Tooling ausrollen, Incident‑Runbooks testen | September 2025 |
| Audit‑Vorbereitung | Internes Audit, TLPT‑Scoping | Oktober 2025 |
| Externes Review | Vorlage bei Aufsicht, Abschlussberichte | November 2025 |
| Continuous Improvement | Lessons Learned, Roadmap 2026 | Dezember 2025 |
Starten Sie jetzt, um bis Jahresende eine prüffähige DORA‑Compliance nachzuweisen. Komplexe Organisationen sollten parallel externe Expertise hinzuziehen.
Praktische Roadmap zur DORA‑Compliance zur DORA‑Compliance
Governance & Budget
- C‑Level‑Mandat mit klarem Reporting‑Intervall.
- Schulungen für Board‑Mitglieder: IKT‑Risiko 101.
Tool‑Stack für DORA-Compliance
- ISMS‑Plattformen wie CRISAM, Drata oder Sprinto für Policy‑Automatisierung.
- SIEM/SOAR für Echtzeit‑Incident‑Erkennung.
- GRC‑Tools für Lieferanten‑Register und Vertrags‑Scoring.
Prozesse & Dokumentation
- Asset‑Management inklusive Cloud‑Ressourcen‐Tagging.
- Incident‑Runbook inkl. RACI‑Matrix – Schritt‑für‑Schritt‑Handbuch, das jedem Task klare Rollen zuweist (Responsible, Accountable, Consulted, Informed).
- TLPT‑Playbook nach TIBER‑EU – vollständiger Fahrplan für Threat‑Led Penetration Tests im von der EZB anerkannten Format.
Testing & Continuous Improvement
- Quartalsweise Schwachstellen‑Scans.
- Jährliche Red‑Team‑Übung.
- Lessons‑Learned‑Workshops für iterative DORA‑Compliance.
Kosten‑Nutzen‑Analyse für FinTechs
| Kostenblock | Schätzung (<100 MA) | Potenzieller Nutzen |
| Toollizenz (ISMS + SIEM) | 25–40 T€ p.a. | Automatisierte Nachweise, schnellere Audits |
| TLPT alle 3 Jahre | 30–60 T€ | Schwachstellen vor Hackern finden |
| interne Stunden | 0,2 FTE | Know‑how‑Aufbau, Kulturwandel |
Eine Studie der EU‑Kommission kalkuliert 0,003 % der Bilanzsumme als jährlichen Compliance‑Aufwand – weniger als die Median‑Kosten eines einzigen Phishing‑Vorfalls.
Häufige Stolpersteine und Best Practices bei DORA-Compliance
- Scope‑Creep: Zu viele Systeme ohne Risiko‑Priorisierung einbinden.
- Paper‑ISMS: Policies ohne gelebte Prozesse.
- Lieferanten‑Black‑Box: Fehlende Einsicht in Sub‑Tier‑4 Clouds.
- Fehlender TLPT‑Plan: Ressourcen erst im Audit‑Endspurt einkalkuliert.
Pro‑Tipp: Setzen Sie ein DORA‑Compliance‑Scrum‑Board auf – jede Anforderung wird zu einem User‑Story‑Ticket mit Akzeptanzkriterien.
Tools & Services, die Ihre DORA‑Compliance beschleunigen
ISMS‑Automatisierer um DORA-Compliance zu erreichen
- CRISAM – voll integriertes Information Security Management System
- Drata – Echtzeit‑Kontrollen & Auditor‑Portal.
- Vanta – Auto‑Collect für Cloud‑Stacks.
Threat‑Intelligence
- MISP‑Community – Open‑Source‑Plattform für IOC‑Sharing.
- FS‑ISAC – Branchennetzwerk für Finanz‑Threat‑Feeds.
Pen‑Testing & TLPT für DORA-Compliance
- TIBER‑EU zertifizierte Anbieter – europaweit anerkannt.
- Red‑Team‑as‑a‑Service – monatliche Adversary‑Simulationen.
FAQ zur DORA‑Compliance
Nur wenn Ihr Service kritische oder wichtige Funktionen unterstützt und Sie nicht als Kleinstunternehmen gelten.
Nein. DORA‑Compliance koexistiert mit ISO 27001, SOC 2 und TISAX. Synergien entstehen durch Control‑Mapping.
Innerhalb der ersten Stunden über das nationale Aufsichtsportal. Halten Sie Erst‑, Zwischen‑ und Abschlussbericht mit den DORA‑Taxonomien bereit.
Ja, von täglichen Zwangsgeldern bis zur Einschränkung der Geschäftstätigkeit.
Sie müssen bis 17. Januar 2025 nachverhandelt werden, um die verpflichtenden DORA‑Klauseln zu enthalten.
DORA‑Compliance als Wachstumsmotor
DORA ist mehr als regulatorischer Druck. Frühzeitige DORA‑Compliance stärkt Ihre Marktposition, öffnet Türen zu institutionellen Kunden und minimiert Down‑Time‑Risiken. Agieren Sie jetzt, bevor der 17. Januar 2025 zur Deadline wird.