DORA für Finanzdienstleister und IT-Dienstleister

DORA-Check: Wie widerstandsfähig ist Ihre IT wirklich?

Der Digital Operational Resilience Act (DORA) gilt seit Januar 2025, und zwar weitgehend unabhängig von der Unternehmensgröße. Das ist der entscheidende Unterschied zu vielen anderen Regelwerken: Betroffen sind nicht nur große Banken, sondern auch kleine Finanzdienstleister und ebenso die IT-Dienstleister, die für die Finanzbranche arbeiten. Wir prüfen in Ruhe, wo Sie heute stehen, und zeigen Ihnen die nächsten Schritte.

Finanz- und IT-Fachleute prüfen gemeinsam die digitale Betriebsstabilität

Für wen gilt DORA?

DORA findet seit dem 17. Januar 2025 Anwendung und gilt breit über den gesamten Finanzsektor. Die Verordnung schaut dabei weniger auf die Größe eines Unternehmens als auf seine Rolle. Deshalb stehen ganz unterschiedliche Akteure in der Pflicht:

  • Finanzunternehmen: Dazu zählen Banken, Zahlungsdienstleister, Versicherungen, Wertpapierfirmen, Krypto-Dienstleister, Kapitalverwaltungsgesellschaften und weitere.
  • IKT-Drittdienstleister: Auch IT-Dienstleister, die Finanzunternehmen mit ihren Diensten versorgen, geraten in den Fokus von DORA. Über ihre Kunden werden die Anforderungen vertraglich an sie weitergegeben.
  • Auch kleine Akteure: DORA ist weitgehend größenunabhängig. Für kleinere Institute gelten allerdings Erleichterungen nach dem Grundsatz der Proportionalität.

Gilt DORA auch für kleine Unternehmen?

Ja, denn DORA ist weitgehend größenunabhängig. Wer betroffen ist, kommt also nicht darum herum, nur weil das Unternehmen klein ist. Anders als beim Ob wirkt die Größe aber beim Wie: Für kleinere Institute gilt ein vereinfachter Rahmen.

Kleinere Institute dürfen einen vereinfachten Rahmen für das IT-Risikomanagement anwenden, und für Kleinstunternehmen entfallen bestimmte Pflichten zum Management von IT-Drittparteienrisiken. Was davon konkret für Sie gilt, klären wir gemeinsam in der Gap-Analyse, ohne dass Sie sich durch die Verordnung kämpfen müssen. So bekommen Sie genau den Aufwand, der zu Ihrer Größe passt, und nicht mehr.

Unser Vorgehen

Schritt 1

DORA-Readiness-Check

Standortbestimmung

  • Klärung Ihrer Betroffenheit und Pflichten
  • Überblick über Ihren Reifegrad
  • Ergebnis in Klartext
Schritt 2

Gap-Analyse

Lücken finden

  • Abgleich mit den DORA-Anforderungen
  • Priorisierter Maßnahmenplan
  • Realistischer Aufwand und Zeitplan
Schritt 3

Register und Umsetzung

Nachweise

  • Aufbau des Informationsregisters (Art. 28)
  • IT-Risikomanagement etablieren
  • Melde- und Reaktionsprozesse

Was eine DORA-Gap-Analyse umfasst

In der Gap-Analyse gleichen wir Ihre Prozesse Punkt für Punkt mit den DORA-Anforderungen ab. Wir erklären verständlich, wo Sie schon gut aufgestellt sind und wo noch etwas fehlt, und sortieren die offenen Punkte nach Priorität. Diese Bereiche schauen wir uns dabei an:

  • IT-Risikomanagement und Governance
  • Informationsregister: alle Verträge mit IT-Dienstleistern (Art. 28)
  • Behandlung und Meldung IT-bezogener Vorfälle
  • Tests der digitalen Betriebsstabilität
  • Steuerung von Drittparteienrisiken
  • Notfall- und Wiederanlaufplanung

Häufige Fragen

Seit wann gilt DORA?

DORA findet seit dem 17. Januar 2025 Anwendung. Die Verordnung selbst ist bereits 2023 in Kraft getreten, mit einer zweijährigen Übergangsfrist, die nun abgelaufen ist.

Wir sind ein kleiner IT-Dienstleister für eine Bank, betrifft uns das?

Sehr wahrscheinlich ja. Als IKT-Drittdienstleister stehen Sie im Fokus von DORA, und Ihre Kunden aus der Finanzbranche geben die Anforderungen vertraglich an Sie weiter. Im Check prüfen wir, was konkret für Sie gilt.

Gilt DORA wirklich größenunabhängig?

Weitgehend ja. Auf das Ob der Betroffenheit hat die Größe kaum Einfluss. Auf das Wie schon, denn für kleine und Kleinstunternehmen gelten Erleichterungen nach dem Proportionalitätsprinzip.

Was ist das Informationsregister?

Das ist ein Verzeichnis aller Verträge mit IT-Drittdienstleistern, das Finanzunternehmen führen müssen (Art. 28 DORA). Es ist ein Kernstück der Verordnung, und wir helfen Ihnen beim Aufbau.

S+S Cybersecurity

© 2026 S+S Cybersecurity UG (haftungsbeschränkt). Alle Rechte vorbehalten.

Diese Website verwendet keine Cookies.

Für Partner: IT-Systemhäuser