Verordnung (EU) 2022/2554

DORA verlangt von Finanzunternehmen den Nachweis, dass sie eine schwere IKT-Störung verkraften und den Betrieb aufrechterhalten können. Rizzqo macht diese Resilienz zu etwas, das Sie betreiben – und testen.

DORA verpflichtet Finanzunternehmen auf fünf Säulen: IKT-Risikomanagement, Vorfallmeldung, Resilienztests, IKT-Drittparteienrisiko und Informationsaustausch – verantwortet vom Leitungsorgan. Rizzqo verankert diese Säulen an Ihren realen Systemen und IKT-Dienstleistern – so trifft die Aufsicht auf ein funktionierendes Programm, nicht auf einen Aktenordner.

5Säulen der digitalen operationalen Resilienz
24 hErstmeldung bei einem schwerwiegenden IKT-Vorfall
Jan. 2025anwendbar seit dem 17. Januar
Wer ist betroffen

Finanzunternehmen und ein vereinfachtes Regime

DORA gilt unmittelbar für Finanzunternehmen in der gesamten EU – von Banken und Zahlungsdienstleistern über Versicherer und Wertpapierfirmen bis zu Krypto-Dienstleistern. Die meisten setzen den vollständigen IKT-Risikomanagementrahmen um; kleinere, weniger komplexe Unternehmen dürfen einen vereinfachten anwenden. Wählen Sie eine Kategorie, um zu sehen, was sie für Ihr Unternehmen bedeutet.

Standardregime

Vollständiger Rahmen

Der vollständige IKT-Risikomanagementrahmen

Die meisten Finanzunternehmen setzen den vollständigen Rahmen um – von Kreditinstituten über Zahlungs- und E-Geld-Institute, Wertpapierfirmen und Versicherer bis zu Marktinfrastrukturen und Krypto-Dienstleistern.

Was diese Kategorie bedeutet
  • Banken, Zahlungsverkehr, Wertpapiergeschäft, Versicherungen, Märkte und Krypto-Dienste
  • Ein dokumentierter IKT-Risikomanagementrahmen, mindestens jährlich überprüft
  • Resilienztests und bedrohungsorientierte Penetrationstests für bedeutende Unternehmen
  • Meldung schwerwiegender Vorfälle und ein Informationsregister aller IKT-Drittdienstleister

Erfasste Finanzunternehmen

DORA erfasst den Finanzsektor als Ganzes statt einzelner Infrastruktursektoren. Neben den Unternehmen selbst unterliegen kritische IKT-Drittdienstleister – Cloud-, Daten- und Softwareanbieter, auf die der Finanzsektor angewiesen ist – der direkten EU-Aufsicht.

Finanzunternehmen

Die regulierten Unternehmen, die den IKT-Risikomanagementrahmen umsetzen müssen.

KreditinstituteZahlungsinstituteE-Geld-InstituteWertpapierfirmenKrypto-DienstleisterVersicherung & RückversicherungVersicherungsvermittlerHandelsplätzeZentrale GegenparteienZentralverwahrerRatingagenturenSchwarmfinanzierungsdienstleister

IKT-Drittdienstleister

Technologieanbieter, auf die der Finanzsektor angewiesen ist; die kritischen unter ihnen stehen unter direkter EU-Aufsicht.

Cloud-AnbieterDatenanalyse-AnbieterSoftwareanbieterManaged-IT-DiensteRechenzentrumsanbieter
Die fünf Säulen

Die Bausteine, die DORA erwartet

DORA gliedert sich in fünf Säulen mit konkreten Pflichten, die jedes Finanzunternehmen an den Systemen umsetzen muss, die es betreibt – und an den Dienstleistern, auf die es angewiesen ist. Mit Rizzqo wird der Rahmen über Ihre realen Systeme und Dienstleister hinweg sichtbar – und nicht nur behauptet.

Art. 6

IKT-Risikomanagementrahmen

Ein dokumentierter Rahmen mit Strategien, Leitlinien und Werkzeugen zum Schutz aller IKT-Assets, mindestens jährlich überprüft.

Art. 17–19

Vorfallbehandlung & -meldung

Ein Prozess, um IKT-Vorfälle zu erkennen, zu klassifizieren und zu melden – schwerwiegende Vorfälle gehen an die zuständige Behörde.

Art. 11–12

Reaktion & Kontinuität

IKT-Geschäftsfortführungs- und Reaktionspläne, damit kritische Funktionen auch bei Störungen weiterlaufen und zügig wiederhergestellt werden.

Art. 28

IKT-Drittparteienrisiko

Risiken aus IKT-Dienstleistern durchgängig steuern – mit zentralen Vertragsklauseln und einem Informationsregister aller vertraglichen Vereinbarungen.

Art. 24–26

Resilienztests

Ein Testprogramm über die gesamte Systemlandschaft hinweg, einschließlich bedrohungsorientierter Penetrationstests für als bedeutend eingestufte Unternehmen.

Art. 10

Erkennung & Überwachung

Mechanismen, um anomale Aktivitäten, Leistungsprobleme im IKT-Netz und mögliche Single Points of Failure rasch zu erkennen.

Art. 13

Sensibilisierung & Schulung

Sensibilisierungsprogramme und Schulungen zur digitalen operationalen Resilienz, eingebettet in den IKT-Risikomanagementrahmen.

Art. 9

Schutz & Prävention

Leitlinien, Kontrollen und Verschlüsselung, die Vertraulichkeit, Integrität und Verfügbarkeit der IKT-Systeme und Daten schützen.

Art. 5

Governance & Verantwortung

Das Leitungsorgan verantwortet den Rahmen, genehmigt und überwacht ihn und hält sein eigenes Wissen aktuell.

Art. 12 / 45

Backup & Informationsaustausch

Verfahren für Backup, Wiederherstellung und Wiederanlauf sowie Vereinbarungen zum Austausch von Informationen über Cyberbedrohungen mit anderen Finanzunternehmen.

Meldung schwerwiegender Vorfälle

Ein schwerwiegender IKT-Vorfall setzt die Meldefristen gegenüber der Aufsicht in Gang

Wird ein IKT-Vorfall als schwerwiegend eingestuft, gibt DORA gestaffelte Meldefristen gegenüber der zuständigen Behörde vor. Rizzqo hält Sie bereit, jede Stufe fristgerecht zu erfüllen – mit dem Kontext des Vorfalls bereits zur Hand.

Bei ErkennungZuerst
Klassifizierung

Vorfall klassifizieren

Den Vorfall anhand der DORA-Kriterien bewerten – betroffene Kunden, Dauer, Datenverluste, geografische Ausbreitung –, um zu entscheiden, ob er schwerwiegend ist.

24 StundenDann
Erstmeldung

Erstmeldung

Nach Einstufung als schwerwiegend eine Erstmeldung an die zuständige Behörde, spätestens 24 Stunden nach Kenntnisnahme.

72 StundenZuletzt
Zwischenbericht

Zwischenbericht

Innerhalb von 72 Stunden nach der Erstmeldung ein aktueller Stand zu Auswirkungen sowie zur laufenden Bewältigung und Wiederherstellung.

1 MonatZuletzt
Abschlussbericht

Abschlussbericht

Innerhalb eines Monats ein Abschlussbericht mit Grundursache, umgesetzter Behebung und den Lehren aus dem Vorfall.

DORA als Resilienzprogramm

Verankert an Ihren kritischen Funktionen und deren Abhängigkeiten

Resilienz ist nur belastbar, wenn sie an dem ansetzt, worauf Ihre Dienste tatsächlich laufen – nicht an einer generischen Checkliste. Rizzqo verankert Ihr DORA-Programm an den Systemen und IKT-Dienstleistern hinter Ihren kritischen Funktionen – die Aufsicht sieht so jederzeit den aktuellen Stand, nicht eine Momentaufnahme.

01

Anforderungen mit realen Assets verknüpft

Ihr DORA-Programm baut auf den Systemen und IKT-Dienstleistern auf, von denen Sie tatsächlich abhängen – nicht auf einer generischen Checkliste, die ignoriert, wie Sie wirklich arbeiten.

  • An den Systemen verankert, von denen Sie abhängen
  • Zeigt, wo Sie wirklich stehen – Säule für Säule
  • Risiken in echtem Geld statt in Ampelfarben
02

Klare Verantwortung, Nachweise an der Quelle

Jede Anforderung hat eine klare Verantwortliche und bleibt durch aktuelle Nachweise gedeckt, während die Teams arbeiten – so bleibt die Systemlandschaft auditbereit, statt vor einer Aufsichtsprüfung rekonstruiert zu werden.

  • Klare Verantwortung für jede Anforderung
  • Nachweise bleiben aktuell, statt rekonstruiert zu werden
  • Informationsregister der IKT-Drittdienstleister aktuell gehalten
03

Ein Meldeprozess gegen die Uhr

Wird ein Vorfall als schwerwiegend eingestuft, läuft die Uhr. Rizzqo hält die Berichte für 24 Stunden, 72 Stunden und einen Monat bereit – mit dem Kontext bereits an Ort und Stelle, sodass jeder fristgerecht eingereicht wird, nicht improvisiert.

  • Fristen von 24 h, 72 h und einem Monat verfolgt
  • Kontext des Vorfalls bereit, nicht unter Druck zusammengesucht
  • Erst-, Zwischen- und Abschlussbericht auf Abruf

DORA beginnt bei Ihrem ISMS und geht darüber hinaus

Ein ISO-27001-ISMS deckt bereits einen großen Teil des IKT-Risikomanagementrahmens von DORA ab – Risikoanalyse, Zugriffskontrolle, Verschlüsselung, Lieferantensteuerung. Rizzqo baut auf dieser Vorarbeit auf und ergänzt, was DORA darüber hinaus verlangt: Resilienztests, das Informationsregister der IKT-Drittdienstleister und die gestaffelte Vorfallmeldung.

Resilienz nachweisen, bevor die Aufsicht fragt.

Verankern Sie die fünf Säulen an Ihren realen Systemen und IKT-Dienstleistern – und treten Sie einer Aufsichtsprüfung mit einem lebendigen Programm gegenüber, nicht mit einem Aktenordner.

Fünf Säulen zugeordnetKlare Verantwortung auf realen AssetsMeldung schwerwiegender Vorfälle auf Abruf

Häufige Fragen zu DORA