DORA IKT-Risikomanagement: Anforderungen & Implementierung für Finanzunternehmen

Avatar of Boris Friedrich
Boris Friedrich
22. Mai 2026
11 min Lesezeit
Risikomanagement

Das IKT-Risikomanagement bildet das Fundament der DORA-Verordnung. Die Artikel 5 bis 15 definieren ein umfassendes Rahmenwerk, das jedes Finanzunternehmen in der EU implementieren muss — von der Governance-Struktur über das Asset-Inventar bis zum Schutz- und Erkennungskonzept. Dieser Leitfaden erklärt die konkreten Anforderungen und gibt eine Implementierungsanleitung.

Was fordert DORA beim IKT-Risikomanagement?

DORA Kapitel II (Artikel 5-15) verpflichtet Finanzunternehmen zu einem ganzheitlichen IKT-Risikorahmenwerk. Dieses Rahmenwerk muss dokumentiert, regelmäßig überprüft und an die Geschäftsleitung berichtet werden. Das Leitungsorgan trägt die Gesamtverantwortung — Delegation an die IT-Abteilung reicht nicht aus.

Die zentralen Bausteine sind:

  • IKT-Risikomanagement-Rahmenwerk mit dokumentierter Strategie und Leitlinien (Art. 6)
  • Vollständiges IKT-Asset-Inventar aller Systeme, Netzwerke und Informationsressourcen (Art. 8)
  • Identifikation und Klassifizierung aller IKT-gestützten Geschäftsfunktionen (Art. 8)
  • Schutzmaßnahmen: Zugangskontrollen, Netzwerksicherheit, Kryptographie, Patch-Management (Art. 9)
  • Erkennung: Monitoring-Mechanismen für anomale Aktivitäten und Cyberangriffe (Art. 10)
  • Reaktion und Wiederherstellung: Incident-Response-Pläne und Business-Continuity-Strategien (Art. 11-12)
  • Kommunikation: Krisenommunikation intern und extern, Meldepflichten (Art. 14)

Das IKT-Risikorahmenwerk aufbauen: 6 Schritte

  1. Governance definieren: Eine dedizierte IKT-Risikomanagement-Funktion einrichten, die unabhängig von der IT-Abteilung berichtet. Das Leitungsorgan muss die IKT-Risikostrategie genehmigen und regelmäßig über den Risikostatus informiert werden.
  2. IKT-Assets inventarisieren: Alle IT-Systeme, Netzwerkkomponenten, Datenbanken und Cloud-Dienste erfassen. Jedes Asset wird einer Geschäftsfunktion zugeordnet und nach Kritikalität klassifiziert. Dies ist die Grundlage für alle weiteren Maßnahmen.
  3. Risikoanalyse durchführen: Für jede kritische IKT-Geschäftsfunktion die Bedrohungen, Schwachstellen und potenziellen Auswirkungen bewerten. Die Risikoanalyse muss Cyberangriffe, Systemausfälle und Drittanbieter-Abhängigkeiten berücksichtigen.
  4. Schutzmaßnahmen implementieren: Basierend auf der Risikoanalyse technische und organisatorische Maßnahmen umsetzen: Identity Management, Netzwerksegmentierung, Verschlüsselung, Vulnerability Management und Patch-Zyklen.
  5. Monitoring und Erkennung aufbauen: Implementierung von Überwachungsmechanismen für die Echtzeiterkennung anomaler Aktivitäten. SIEM-Integration, automatisierte Alarmierung und SOC-Anbindung.
  6. Testing und Validierung: Regelmäßige Tests der Maßnahmen — von Penetrationstests über Red-Team-Übungen bis zu Threat-Led Penetration Testing (TLPT) für systemrelevante Unternehmen.

IKT-Drittparteienrisiko unter DORA

Artikel 28-44 der DORA widmen sich dem Management von IKT-Drittparteienrisiken. Finanzunternehmen müssen ein vollständiges Register aller IKT-Dienstleistungsverträge führen und der BaFin auf Anfrage vorlegen können.

Kernpflichten beim Drittparteienmanagement:

  • Risikobewertung vor Vertragsabschluss (Due Diligence für alle IKT-Dienstleister)
  • Vertragliche Mindestanforderungen: SLAs, Audit-Rechte, Subcontracting-Transparenz, Exit-Klauseln
  • Konzentrationsrisiko-Überwachung: Keine übermäßige Abhängigkeit von einzelnen kritischen Anbietern
  • Informationsregister: Zentrales Register aller IKT-Verträge mit Klassifizierung nach Kritikalität
  • Exit-Strategien: Dokumentierte Ausstiegspläne für jeden kritischen IKT-Dienstleister

DORA-Meldepflichten für IKT-Vorfälle

Artikel 17-23 definieren die Meldepflichten bei schwerwiegenden IKT-Vorfällen:

  1. Erstmeldung innerhalb von 4 Stunden nach Klassifizierung als schwerwiegend
  2. Zwischenbericht innerhalb von 72 Stunden mit Ursachenanalyse und Gegenmaßnahmen
  3. Abschlussbericht innerhalb eines Monats mit Root-Cause-Analyse und Lessons Learned

Die Klassifizierung eines Vorfalls als „schwerwiegend" erfolgt anhand von Kriterien wie: Anzahl betroffener Kunden, Dauer, geografische Ausbreitung, wirtschaftlicher Schaden und Kritikalität der betroffenen Dienste.

Häufig gestellte Fragen zum DORA IKT-Risikomanagement

Was ist IKT-Risikomanagement nach DORA?

IKT-Risikomanagement nach DORA ist ein ganzheitliches Rahmenwerk zur Identifikation, Bewertung, Steuerung und Überwachung aller Risiken, die aus der Nutzung von Informations- und Kommunikationstechnologie in Finanzunternehmen entstehen. Es umfasst technische Schutzmaßnahmen, organisatorische Prozesse und Governance-Strukturen.

Welche Unternehmen müssen das IKT-Risikomanagement nach DORA umsetzen?

Alle Finanzunternehmen in der EU: Kreditinstitute, Versicherungen, Wertpapierfirmen, Zahlungsdienstleister, E-Geld-Institute, Fondsmanager, Krypto-Asset-Dienstleister und IKT-Drittdienstleister, die als kritisch eingestuft werden. Für Kleinstunternehmen (unter 10 Mitarbeiter, unter 2 Mio. Euro Umsatz) gelten vereinfachte Anforderungen.

Was passiert bei Nichteinhaltung der DORA IKT-Risikomanagement-Anforderungen?

Die nationalen Aufsichtsbehörden (in Deutschland: BaFin) können Bußgelder von bis zu 2% des weltweiten Jahresumsatzes verhängen. Darüber hinaus drohen persönliche Haftung für das Leitungsorgan (bis 1 Mio. Euro), Maßnahmen wie öffentliche Bekanntmachung der Verstöße und Einschränkungen der Geschäftstätigkeit.

Wie unterscheidet sich DORA von den bisherigen BAIT-Anforderungen?

DORA geht deutlich über die BAIT hinaus: verpflichtendes IKT-Asset-Register, standardisierte Vorfallmeldepflichten (4h/72h/1 Monat), Threat-Led Penetration Testing (TLPT), Drittparteien-Überwachungsrahmenwerk und direkte Aufsicht über kritische IKT-Dienstleister durch ESAs. BAIT war eine nationale BaFin-Verwaltungsvorschrift, DORA ist eine EU-Verordnung mit unmittelbarer Geltung.

Was ist das IKT-Informationsregister?

Das IKT-Informationsregister ist ein zentrales Verzeichnis aller Vertragsbeziehungen mit IKT-Drittdienstleistern. Es muss Vertragsinhalte, SLAs, Subcontracting-Ketten, Kritikalitätseinstufungen und Exit-Strategien dokumentieren. Finanzunternehmen mussten bis März 2025 eine erste Version an die BaFin melden und das Register fortlaufend aktualisieren.

Brauchen wir TLPT (Threat-Led Penetration Testing)?

TLPT ist nur für systemrelevante Finanzunternehmen verpflichtend, die von den Aufsichtsbehörden dazu benannt werden. Typischerweise betrifft dies große Banken, zentrale Gegenparteien und systemisch wichtige Zahlungsinfrastrukturen. Alle anderen Unternehmen müssen regelmäßige Penetrationstests durchführen, aber nicht zwingend nach dem TLPT-Framework.

Hat ihnen der Beitrag gefallen? Teilen Sie es mit:

Weitere relevante Beiträge

ESG Dashboard: Aufbau, Kennzahlen & Tools für Nachhhaltigkeitsreporting

ESG Dashboard aufbauen: Welche Kennzahlen (Environmental, Social, Governance) gehören hinein, welche Tools eignen sich und wie erfüllen Sie die CSRD-Anforderungen? Praxis-Anleitung in 5 Schritten.

Business Impact Analyse (BIA): Leitfaden für Unternehmen 2026

Eine Business Impact Analyse identifiziert geschäftskritische Prozesse und definiert Wiederherstellungsziele. Dieser Leitfaden erklärt die vier Phasen der BIA, die regulatorischen Anforderungen (NIS2, DORA, ISO 22301) und gibt eine praktische Checkliste für die Umsetzung.

AI‑Modell‑Governance im Alltag: Wie MaRisk, EBA, EGIM und BCBS 239 den AI‑Act für Hochrisiko‑AI vorstrukturieren

Banken verfügen mit MaRisk, EBA‑Guidelines, EGIM und BCBS 239 bereits über ein robustes Fundament für Modell‑ und Daten‑Governance. Der EU-AI-Act baut auf diesen Strukturen auf und ergänzt sie gezielt um AI‑spezifische Anforderungen für Hochrisiko‑AI‑Systeme, insbesondere im Kreditscoring natürlicher Personen. Anstatt eine parallele „AI‑Governance‑Welt“ aufzubauen, können Institute Hochrisiko‑AI in ihr bestehendes Modell‑Framework integrieren und dieses risikobasiert erweitern.Konkret heißt das: Modellinventar, Rollen, Validierung und Gremienstrukturen aus MaRisk/EBA/EGIM lassen sich nutzen, um AI‑Act‑Kontrollen wie lebenszyklusbezogenes Risikomanagement, Human‑Oversight‑Konzepte sowie technische Dokumentation und Logging zu verankern. BCBS‑239‑orientierte Datenarchitekturen bilden die Basis für AI‑Trainings‑, Validierungs‑ und Testdaten; neu hinzu kommen Fairness‑ und Bias‑Analysen sowie Grundrechts‑ und Diskriminierungsbewertungen.Der AI-Act ist damit weder ein kompletter Neustart noch ein reines „Paperwork‑Upgrade“. Er verlangt zusätzliche inhaltliche Fähigkeiten – etwa bei Datenethik, Fairness‑Messung und technischer Dokumentation – lässt sich aber effizient im bestehenden Governance‑Rahmen verorten. Ein pragmatisches Zielbild lautet daher: ein gemeinsames Framework für alle Modelle, risikobasiert erweitert für Hochrisiko‑AI.

Ihr strategischer Erfolg beginnt hier

Unsere Kunden vertrauen auf unsere Expertise in digitaler Transformation, Compliance und Risikomanagement

Bereit für den nächsten Schritt?

Vereinbaren Sie jetzt ein strategisches Beratungsgespräch mit unseren Experten

30 Minuten • Unverbindlich • Sofort verfügbar

Zur optimalen Vorbereitung Ihres Strategiegesprächs:

Ihre strategischen Ziele und Herausforderungen
Gewünschte Geschäftsergebnisse und ROI-Erwartungen
Aktuelle Compliance- und Risikosituation
Stakeholder und Entscheidungsträger im Projekt

Bevorzugen Sie direkten Kontakt?

Direkte Hotline für Entscheidungsträger

Strategische Anfragen per E-Mail

Detaillierte Projektanfrage

Für komplexe Anfragen oder wenn Sie spezifische Informationen vorab übermitteln möchten