DORA

Digital Operational Resilience Act (DORA)

DIRECTIVE (EU) 2022/2554

Europäische Verordnung über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act).

Eine Finanzsektor-weite Regulierung für die Themen Cybersicherheit, Informationstechnologie-Risiken und digitale operationale Resilienz

Was müssen Sie tun, was wird gefordert? Melden Sie sich gerne bei mir, um über Ihre Situation zu sprechen.

Hier geht’s zum Kontaktformular

Kontaktformular

Ist Ihr Unternehmen betroffen? (Siehe VERORDNUNG (EU) 2022/2554 Artikel 2 Geltungsbereich, Abschnitt 1 und 2)

  • Kreditinstitute, Zahlungsinstitute, einschließlich gemäß der Richtlinie (EU) 2015/2366 ausgenommene Zahlungsinstitute,
  • Kontoinformationsdienstleister,
  • E-Geld-Institute, einschließlich gemäß der Richtlinie 2009/110/EG ausgenommene E-Geld-Institute,
  • Wertpapierfirmen,
  • Anbieter von Krypto-Dienstleistungen, die gemäß einer Verordnung des Europäischen Parlaments und des Rates über Märkte von Krypto-Werten und zur Änderung der Verordnungen (EU) Nr. 1093/2010 und (EU) Nr. 1095/2010 sowie der Richtlinien 2013/36/EU und (EU) 2019/1937 (im Folgenden „Verordnung über Märkte von Krypto-Werten“) zugelassen sind, und Emittenten wertreferenzierter Token,
  • Zentralverwahrer,
  • zentrale Gegenparteien,
  • Handelsplätze,
  • Transaktionsregister,
  • Verwalter alternativer Investmentfonds,
  • Verwaltungsgesellschaften,
  • Datenbereitstellungsdienste,
  • Versicherungs- und Rückversicherungsunternehmen, Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit,
  • Einrichtungen der betrieblichen Altersversorgung,
  • Ratingagenturen,
  • Administratoren kritischer Referenzwerte,
  • Schwarmfinanzierungsdienstleister,
  • Verbriefungsregister,
  • IKT-Drittdienstleister.


Diese Verordnung gilt nicht für:

  • Verwalter alternativer Investmentfonds im Sinne von Artikel 3 Absatz 2 der Richtlinie 2011/61/EU;
  • Versicherungs- und Rückversicherungsunternehmen im Sinne von Artikel 4 der Richtlinie 2009/138/EG;
  • Einrichtungen der betrieblichen Altersversorgung, die Altersversorgungssysteme mit insgesamt weniger als 15 Versorgungsanwärtern betreiben;
  • gemäß den Artikeln 2 und 3 der Richtlinie 2014/65/EU ausgenommene natürliche oder juristische Personen;
  • Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit, bei denen es sich um Kleinstunternehmen oder kleine oder mittlere Unternehmen handelt;
  • Postgiroämter im Sinne von Artikel 2 Absatz 5 Nummer 3 der Richtlinie 2013/36/EU.


Falls Sie betroffen sind, sollten Sie bis zum 17. Januar 2025 ein Informationssicherheitsmanagement System und  ein Business Continuity Management System (BCM) implementiert haben.

Was müssen Sie tun, was wird gefordert?

Was müssen Sie tun, was wird gefordert? Melden Sie sich gerne bei mir, um über Ihre Situation zu sprechen.

Hier geht’s zum Kontaktformular

Kontaktformular

Anforderungen...Siehe VERORDNUNG (EU) 2022/2554 KAPITEL I Allgemeine Bestimmungen Artikel 1


  • Management System welches die Aufgaben steuert (Governance),
  • Risikomanagement, und Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaß-nahmen im Bereich der Cybersicherheit,
  • Bewältigung von Sicherheitsvorfällen,
  • Meldewesen: Meldung von größeren Vorfällen an Behörden,
  • Aufrechterhaltung des Betriebs: Prüfung der digitalen operativen Belastbarkeit (Krisenmanagement, Notfallmanagement, Wiederherstellung, Wiederanlauf, Backups...),
  • Testen der digitalen operationalen Resilienz,
  • Supply Chain / Lieferantenbeziehungen: Risikomanagement für Dritte, Überwachung von Drittanbietern bezüglich Risiken, Klärung von Vertragsbestimmungen, Beaufsichtigung kritischer Drittanbieter, Aufsichtsrahmen für kritische IKT-Drittanbieter,
  • Informationsaustausch, Austausch von Informationen und Erkenntnissen über Cyber-Bedrohungen
  • Registrierung des Unternehmens, etc.

Befugnisse Europäischer / Nationaler Aufsichtsbehörden ab dem Januar 2025 gegenüber kritischen Informationsdient und Kommunikationstechnologie (IKT)-Drittdienstleistern:

(Details siehe ERORDNUNG (EU) 2022/2554 Artikel 35 - Befugnisse der federführenden Überwachungsbehörde)


  • Informationen anzufordern,
  • Prüfungen, Vor-Ort Prüfungen und Untersuchungen durchführen,
  • Empfehlungen aussprechen Informationssicherheit z.B. Patching, Updates, Verschlüsselung,
  • Empfehlungen zu Geschäftsbedingungen und Vergabe von Unteraufträgen
  • öffentliche Bekanntgaben zu Unternehmen und deren Informationssicherheitsstatus und Sanktionsstatus,
  • Aussetzung von Diensten!

Der einfache übersichtliche transparente Weg - lassen Sie uns darüber sprechen:

Die IEC/ISO 27001 und die ISO 22301 bieten hervorragende Ausgangspunkte

Ich begleite Sie, vom ersten Schritt an, mittendrinn, wenn Sie wünschen bis zur Zertifizierung, es ist kompliziert, aber es kann einfach werden, wenn der "Rote Faden" vorliegt, z.B.

  • Handlungsbedarf festlegen
  • Ziele und Akzeptanzkriterien festlegen
  • Scope / Geltungsbereich festlegen
  • Interessierte Parteien und Anforderungen definieren
  • Ist-Soll Vergleich / Gap Analyse / Dokumentenprüfung / Internes Audit
  • Liste der zu erarbeitende Ergebnisse definieren
  • Projekt definieren
  • Projektorganigramm / Projekt Mitarbeiter festlegen
  • Kommunikationswege festlegen
  • Begriffe definieren
  • ISMS Basics festlegen, erarbeiten und definieren
  • ISMS Leitlinie definieren, ISMS Rollen definieren
  • Firmenorganisation / Kontext definieren
  • ISMS Organisation, ISB, ISK, ISM, DSB
  • Informations-Sicherheit Anforderungen
  • Projekt Anforderungen / Projekt Management
  • Dienstleister / Lieferantenmanagement
  • Asset Management
  • Risiko Management
  • Prozessüberwachung / Monitoring
  • Incident Mgmt / Problem Management / Playbooks / Event Management
  • Schwachstellen Management / Patch Management / End Point Detection
  • Personalführung / Schulungskonzept / ISMS vom Recruiting bis zur Trennung
  • Physische Sicherheit
  • IT Sicherheit / Cyber Security / Security Operations Center (SOC)
  • Identity and Access Management
  • Operations-Security / Betrieb / Produktion / Entwicklung / OT
  • Business Continuity Management
  • Business Impakt Analysen
  • Notfallpläne / Testpläne
  • Backup / Wiederherstellung
  • Wiederanlaufpläne
  • Datenschutz, DSGVO, AVZ
  • Erarbeitung der Ergebnis-Dokumente (Vorgaben, Nachweise, Schulungen, Kommunikation, Arbeitsanweisungen, Mapping auf Normative Anforderungen, Übersicht für Audits)
  • Begleitung bis hin zum Audit wenn gewünscht
  • Lessons learned und Übergabe


Basierend auf der ISO/IEC 27001 und EN ISO 22301

Was müssen Sie tun, was wird gefordert? Melden Sie sich gerne bei mir, um über Ihre Situation zu sprechen.

Hier geht’s zum Kontaktformular

Kontaktformular
Share by: