DORA verlangt von Finanzunternehmen den Nachweis, dass sie eine schwere IKT-Störung verkraften und den Betrieb aufrechterhalten können. Rizzqo macht diese Resilienz zu etwas, das Sie betreiben – und testen.
DORA verpflichtet Finanzunternehmen auf fünf Säulen: IKT-Risikomanagement, Vorfallmeldung, Resilienztests, IKT-Drittparteienrisiko und Informationsaustausch – verantwortet vom Leitungsorgan. Rizzqo verankert diese Säulen an Ihren realen Systemen und IKT-Dienstleistern – so trifft die Aufsicht auf ein funktionierendes Programm, nicht auf einen Aktenordner.
Finanzunternehmen und ein vereinfachtes Regime
DORA gilt unmittelbar für Finanzunternehmen in der gesamten EU – von Banken und Zahlungsdienstleistern über Versicherer und Wertpapierfirmen bis zu Krypto-Dienstleistern. Die meisten setzen den vollständigen IKT-Risikomanagementrahmen um; kleinere, weniger komplexe Unternehmen dürfen einen vereinfachten anwenden. Wählen Sie eine Kategorie, um zu sehen, was sie für Ihr Unternehmen bedeutet.
Vollständiger Rahmen
Der vollständige IKT-Risikomanagementrahmen
Die meisten Finanzunternehmen setzen den vollständigen Rahmen um – von Kreditinstituten über Zahlungs- und E-Geld-Institute, Wertpapierfirmen und Versicherer bis zu Marktinfrastrukturen und Krypto-Dienstleistern.
- Banken, Zahlungsverkehr, Wertpapiergeschäft, Versicherungen, Märkte und Krypto-Dienste
- Ein dokumentierter IKT-Risikomanagementrahmen, mindestens jährlich überprüft
- Resilienztests und bedrohungsorientierte Penetrationstests für bedeutende Unternehmen
- Meldung schwerwiegender Vorfälle und ein Informationsregister aller IKT-Drittdienstleister
Vereinfachter Rahmen
Ein leichterer, verhältnismäßiger Rahmen
Kleinere und weniger vernetzte Unternehmen – etwa kleine und nicht verflochtene Wertpapierfirmen, kleine Zahlungs- oder E-Geld-Institute und Kleinstunternehmen – dürfen nach Artikel 16 einen vereinfachten IKT-Risikomanagementrahmen anwenden.
- Kleine und nicht verflochtene Wertpapierfirmen und Zahlungsinstitute
- Kleine Einrichtungen der betrieblichen Altersversorgung und Kleinstunternehmen
- Ein verhältnismäßiger Rahmen: Kernkontrollen ohne das volle Testprogramm
- Dieselben Pflichten zu Kontinuität, Schutz und Vorfallmeldung – dem Risiko angemessen
Erfasste Finanzunternehmen
DORA erfasst den Finanzsektor als Ganzes statt einzelner Infrastruktursektoren. Neben den Unternehmen selbst unterliegen kritische IKT-Drittdienstleister – Cloud-, Daten- und Softwareanbieter, auf die der Finanzsektor angewiesen ist – der direkten EU-Aufsicht.
Finanzunternehmen
Die regulierten Unternehmen, die den IKT-Risikomanagementrahmen umsetzen müssen.
IKT-Drittdienstleister
Technologieanbieter, auf die der Finanzsektor angewiesen ist; die kritischen unter ihnen stehen unter direkter EU-Aufsicht.
Die Bausteine, die DORA erwartet
DORA gliedert sich in fünf Säulen mit konkreten Pflichten, die jedes Finanzunternehmen an den Systemen umsetzen muss, die es betreibt – und an den Dienstleistern, auf die es angewiesen ist. Mit Rizzqo wird der Rahmen über Ihre realen Systeme und Dienstleister hinweg sichtbar – und nicht nur behauptet.
IKT-Risikomanagementrahmen
Ein dokumentierter Rahmen mit Strategien, Leitlinien und Werkzeugen zum Schutz aller IKT-Assets, mindestens jährlich überprüft.
Vorfallbehandlung & -meldung
Ein Prozess, um IKT-Vorfälle zu erkennen, zu klassifizieren und zu melden – schwerwiegende Vorfälle gehen an die zuständige Behörde.
Reaktion & Kontinuität
IKT-Geschäftsfortführungs- und Reaktionspläne, damit kritische Funktionen auch bei Störungen weiterlaufen und zügig wiederhergestellt werden.
IKT-Drittparteienrisiko
Risiken aus IKT-Dienstleistern durchgängig steuern – mit zentralen Vertragsklauseln und einem Informationsregister aller vertraglichen Vereinbarungen.
Resilienztests
Ein Testprogramm über die gesamte Systemlandschaft hinweg, einschließlich bedrohungsorientierter Penetrationstests für als bedeutend eingestufte Unternehmen.
Erkennung & Überwachung
Mechanismen, um anomale Aktivitäten, Leistungsprobleme im IKT-Netz und mögliche Single Points of Failure rasch zu erkennen.
Sensibilisierung & Schulung
Sensibilisierungsprogramme und Schulungen zur digitalen operationalen Resilienz, eingebettet in den IKT-Risikomanagementrahmen.
Schutz & Prävention
Leitlinien, Kontrollen und Verschlüsselung, die Vertraulichkeit, Integrität und Verfügbarkeit der IKT-Systeme und Daten schützen.
Governance & Verantwortung
Das Leitungsorgan verantwortet den Rahmen, genehmigt und überwacht ihn und hält sein eigenes Wissen aktuell.
Backup & Informationsaustausch
Verfahren für Backup, Wiederherstellung und Wiederanlauf sowie Vereinbarungen zum Austausch von Informationen über Cyberbedrohungen mit anderen Finanzunternehmen.
Ein schwerwiegender IKT-Vorfall setzt die Meldefristen gegenüber der Aufsicht in Gang
Wird ein IKT-Vorfall als schwerwiegend eingestuft, gibt DORA gestaffelte Meldefristen gegenüber der zuständigen Behörde vor. Rizzqo hält Sie bereit, jede Stufe fristgerecht zu erfüllen – mit dem Kontext des Vorfalls bereits zur Hand.
Vorfall klassifizieren
Den Vorfall anhand der DORA-Kriterien bewerten – betroffene Kunden, Dauer, Datenverluste, geografische Ausbreitung –, um zu entscheiden, ob er schwerwiegend ist.
Erstmeldung
Nach Einstufung als schwerwiegend eine Erstmeldung an die zuständige Behörde, spätestens 24 Stunden nach Kenntnisnahme.
Zwischenbericht
Innerhalb von 72 Stunden nach der Erstmeldung ein aktueller Stand zu Auswirkungen sowie zur laufenden Bewältigung und Wiederherstellung.
Abschlussbericht
Innerhalb eines Monats ein Abschlussbericht mit Grundursache, umgesetzter Behebung und den Lehren aus dem Vorfall.
Verankert an Ihren kritischen Funktionen und deren Abhängigkeiten
Resilienz ist nur belastbar, wenn sie an dem ansetzt, worauf Ihre Dienste tatsächlich laufen – nicht an einer generischen Checkliste. Rizzqo verankert Ihr DORA-Programm an den Systemen und IKT-Dienstleistern hinter Ihren kritischen Funktionen – die Aufsicht sieht so jederzeit den aktuellen Stand, nicht eine Momentaufnahme.
Anforderungen mit realen Assets verknüpft
Ihr DORA-Programm baut auf den Systemen und IKT-Dienstleistern auf, von denen Sie tatsächlich abhängen – nicht auf einer generischen Checkliste, die ignoriert, wie Sie wirklich arbeiten.
- An den Systemen verankert, von denen Sie abhängen
- Zeigt, wo Sie wirklich stehen – Säule für Säule
- Risiken in echtem Geld statt in Ampelfarben
Klare Verantwortung, Nachweise an der Quelle
Jede Anforderung hat eine klare Verantwortliche und bleibt durch aktuelle Nachweise gedeckt, während die Teams arbeiten – so bleibt die Systemlandschaft auditbereit, statt vor einer Aufsichtsprüfung rekonstruiert zu werden.
- Klare Verantwortung für jede Anforderung
- Nachweise bleiben aktuell, statt rekonstruiert zu werden
- Informationsregister der IKT-Drittdienstleister aktuell gehalten
Ein Meldeprozess gegen die Uhr
Wird ein Vorfall als schwerwiegend eingestuft, läuft die Uhr. Rizzqo hält die Berichte für 24 Stunden, 72 Stunden und einen Monat bereit – mit dem Kontext bereits an Ort und Stelle, sodass jeder fristgerecht eingereicht wird, nicht improvisiert.
- Fristen von 24 h, 72 h und einem Monat verfolgt
- Kontext des Vorfalls bereit, nicht unter Druck zusammengesucht
- Erst-, Zwischen- und Abschlussbericht auf Abruf
DORA beginnt bei Ihrem ISMS und geht darüber hinaus
Ein ISO-27001-ISMS deckt bereits einen großen Teil des IKT-Risikomanagementrahmens von DORA ab – Risikoanalyse, Zugriffskontrolle, Verschlüsselung, Lieferantensteuerung. Rizzqo baut auf dieser Vorarbeit auf und ergänzt, was DORA darüber hinaus verlangt: Resilienztests, das Informationsregister der IKT-Drittdienstleister und die gestaffelte Vorfallmeldung.
Resilienz nachweisen, bevor die Aufsicht fragt.
Verankern Sie die fünf Säulen an Ihren realen Systemen und IKT-Dienstleistern – und treten Sie einer Aufsichtsprüfung mit einem lebendigen Programm gegenüber, nicht mit einem Aktenordner.
Häufige Fragen zu DORA
DORA gilt für Finanzunternehmen, die in der EU tätig sind – darunter Kreditinstitute, Zahlungs- und E-Geld-Institute, Wertpapierfirmen, Versicherungs- und Rückversicherungsunternehmen, Versicherungsvermittler, Krypto-Dienstleister, Handelsplätze, zentrale Gegenparteien, Zentralverwahrer, Ratingagenturen und Schwarmfinanzierungsdienstleister. Zudem stellt sie kritische IKT-Drittdienstleister, etwa große Cloud- und Softwareanbieter, unter direkte EU-Aufsicht. Rizzqo hilft Ihnen, Ihre Systeme und Dienstleister der Verordnung zuzuordnen – so klären Nachweise die Frage, nicht Vermutungen.
DORA beruht auf fünf Säulen: IKT-Risikomanagement, die Behandlung, Klassifizierung und Meldung IKT-bezogener Vorfälle, Tests der digitalen operationalen Resilienz, das Management des IKT-Drittparteienrisikos sowie Vereinbarungen zum Informationsaustausch. In Rizzqo ist jede Säule an den realen Systemen und IKT-Dienstleistern verankert, für die sie gilt – so sehen Sie über alle fünf Säulen hinweg, wo Sie stehen, statt es nur zu behaupten.
Sobald ein IKT-Vorfall als schwerwiegend eingestuft ist, gelten gestaffelte Fristen gegenüber der zuständigen Behörde: eine Erstmeldung spätestens 24 Stunden nach Kenntnisnahme, ein Zwischenbericht innerhalb von 72 Stunden nach dieser Meldung und ein Abschlussbericht innerhalb eines Monats. Rizzqo hält Sie bereit, jede Stufe fristgerecht zu erfüllen – mit dem Kontext des Vorfalls bereits zur Hand.
Ja. DORA überschneidet sich stark mit ISO 27001, und ein Informationssicherheits-Managementsystem deckt bereits einen großen Teil des IKT-Risikomanagementrahmens ab – von Risikoanalyse und Vorfallbewältigung bis zu Zugriffskontrolle, Verschlüsselung und Lieferantensicherheit. In Rizzqo teilen sich beide Frameworks dieselben Nachweise, sodass eine für ISO 27001 nachgewiesene Kontrolle sofort für DORA zählt und nur die echten DORA-spezifischen Lücken – Resilienztests, Informationsregister und Meldung schwerwiegender Vorfälle – zu schließen bleiben.
Artikel 5 verankert die Letztverantwortung beim Leitungsorgan: Es muss den IKT-Risikomanagementrahmen genehmigen, überwachen und verantworten, das nötige Budget bereitstellen und sein eigenes Wissen aktuell halten – bei Versäumnissen ist eine Haftung möglich. Da Rizzqo jede Anforderung verantwortet und durch laufend aktuelle Nachweise deckt, erhält das Leitungsorgan eine belastbare, stets aktuelle Sicht auf die Resilienz statt einer Momentaufnahme.