1. Home/
  2. Leistungen/
  3. Regulatory Compliance Management/
  4. DORA Digital Operational Resilience Act/
  5. Ezb Aktionsplan KI Cyberrisiken

Newsletter abonnieren

Bleiben Sie auf dem Laufenden mit den neuesten Trends und Entwicklungen

Durch Abonnieren stimmen Sie unseren Datenschutzbestimmungen zu.

A
ADVISORI FTC GmbH

Transformation. Innovation. Sicherheit.

Firmenadresse

Kaiserstraße 44

60329 Frankfurt am Main

Deutschland

Auf Karte ansehen

Kontakt

info@advisori.de+49 69 913 113-01

Mo-Fr: 9:00 - 18:00 Uhr

Produkte

  • Synthara AI Studio
  • Lokale KI & Sprachmodelle
  • AI-Rechnungsprüfung

Unternehmen

Leistungen

Social Media

Folgen Sie uns und bleiben Sie auf dem neuesten Stand.

  • /
  • /

© 2024 ADVISORI FTC GmbH. Alle Rechte vorbehalten.

Ihr Browser unterstützt das Video-Tag nicht.
Schreiben SSM-2026-0301: Die Frist läuft.

EZB-Aktionsplan KI-Cyberrisiken

Die EZB-Bankenaufsicht verlangt von allen bedeutenden Instituten einen konkreten Aktionsplan gegen KI-gestützte Cyberbedrohungen, einzureichen beim Joint Supervisory Team bis zum 31. Oktober 2026. Wir erstellen Ihren Aktionsplan in vier Wochen: Gap-Assessment gegen die sechs EZB-Fokusfelder, priorisierte Maßnahmen mit Zeitplänen und Verantwortlichkeiten, abgestimmt auf Ihre bestehende Cyber-Risikostrategie und DORA-Programme. Prüfungsfest dokumentiert, JST-ready.

  • ✓Gap-Assessment gegen alle sechs EZB-Fokusfelder in zwei bis drei Wochen
  • ✓JST-einreichungsfähiger Aktionsplan: Maßnahmen, Ressourcen, Rollen, Zeitpläne
  • ✓Verzahnung mit offenen DORA-Feststellungen, Vor-Ort-Prüfungen und Cyber-Stresstest 2024
  • ✓Beschleunigtes Schwachstellen- und Patch-Management als Sofortmaßnahme konzipiert
  • ✓Begleitung im JST-Dialog und bei der horizontalen EZB-Analyse

Ihr Erfolg beginnt hier

Bereit für den nächsten Schritt?

Schnell, einfach und absolut unverbindlich.

Zur optimalen Vorbereitung:

  • Ihr Anliegen
  • Wunsch-Ergebnis
  • Bisherige Schritte

Oder kontaktieren Sie uns direkt:

info@advisori.de+49 69 913 113-01

Zertifikate, Partner und mehr...

ISO 9001 CertifiedISO 27001 CertifiedISO 14001 CertifiedBeyondTrust PartnerBVMW Bundesverband MitgliedMitigant PartnerGoogle PartnerTop 100 InnovatorMicrosoft AzureAmazon Web Services

Was die EZB fordert und wie der Aktionsplan entsteht

Warum ADVISORI für den EZB-Aktionsplan

  • Prüfungserfahrung auf beiden Seiten des Tisches: Unsere Berater haben BaFin- und §44-Prüfungen begleitet und wissen, wie Aufseher Aktionspläne lesen
  • DORA-Praxis statt Theorie: von IKT-Risikomanagement über Informationsregister bis TLPT haben wir alle fünf Säulen in Instituten umgesetzt
  • Die sechs EZB-Fokusfelder sind bei uns operationalisiert: fertige Assessment-Raster, Metriken und Maßnahmenkataloge statt leerer Vorlagen
  • ISO-27001-zertifiziert: unsere eigene Informationssicherheit genügt den Standards, die wir bei Kunden implementieren
  • Frist-Realismus: Wer im September startet, reicht einen Plan ohne belastbare Ist-Analyse ein. Wir liefern in vier Wochen ein Ergebnis, das dem JST-Dialog standhält
⚠

Frist: 31. Oktober 2026

Der Aktionsplan muss bis zum 31. Oktober 2026 beim zuständigen Joint Supervisory Team eingereicht sein. Die EZB analysiert alle eingereichten Pläne horizontal und spielt die Ergebnisse an die Institute zurück; ein schwacher Plan ist damit auch ein Signal an die Aufsicht. Im Gegenzug verschiebt die EZB die Abgabe des IT Risk Questionnaire auf Februar 2027.

ADVISORI in Zahlen

11+

Jahre Erfahrung

120+

Mitarbeiter

520+

Projekte

Wir arbeiten in einem festen Vier-Wochen-Rhythmus, der auf Ihrer bestehenden Cyber-Risikostrategie und Ihren offenen DORA-Maßnahmen aufsetzt. Jede Phase liefert ein prüfungsfestes Zwischenergebnis.

Unser Vorgehen: In vier Wochen zum einreichungsfähigen JST-Aktionsplan

1
Phase 1

Phase 1, Gap-Assessment (Woche 1 bis 2): Strukturierte Ist-Aufnahme gegen die sechs EZB-Fokusfelder mit Evidenzen statt Selbstauskunft. Abgleich mit offenen Feststellungen aus Vor-Ort-Prüfungen, Targeted Reviews und dem Cyber-Stresstest 2024.

Output: Reifegrad-Scoring je Fokusfeld und priorisierte Maßnahmenliste.

2
Phase 2

Phase 2, Priorisierung und Ressourcenplanung (Woche 2): Bewertung nach Risiko, Aufwand und aufsichtlicher Sichtbarkeit. Abstimmung von Budget, Personal und Verantwortlichkeiten mit IT, Informationssicherheit und Risikocontrolling.

Output: abgestimmte Maßnahmen-Roadmap mit Meilensteinen.

3
Phase 3

Phase 3, Plan-Erstellung (Woche 3): Ausformulierung des Aktionsplans in der Struktur, die Joint Supervisory Teams erwarten: konkrete Maßnahmen, Zeitpläne, Rollen, Ressourcen und Governance-Kapitel mit Berichtswegen und Eskalationslogik.

4
Phase 4

Phase 4, Governance-Freigabe und Einreichung (Woche 4): Review mit Vorstand bzw. Leitungsorgan, Einarbeitung der Rückmeldungen, Finalisierung und fristgerechte Einreichung beim JST vor dem 31. Oktober 2026.

5
Phase 5

Phase 5, Umsetzung und JST-Dialog (fortlaufend): Maßnahmen-Tracking mit Fortschrittsnachweisen, Vorbereitung auf Rückfragen aus der horizontalen EZB-Analyse und Begleitung der Sofortmaßnahmen, vom beschleunigten Patch-Management bis zur Legacy-Absicherung.

Sarah Richter

Sarah Richter

Head of Informationssicherheit, Cyber Security

Expertise & Erfahrung:

10+ Jahre Erfahrung, CISA, CISM, Lead Auditor, DORA, NIS2, BCM, Cyber- und Informationssicherheit

LinkedIn Profil

Unsere Dienstleistungen

Wir bieten Ihnen maßgeschneiderte Lösungen für Ihre digitale Transformation

Gap-Assessment gegen die sechs EZB-Fokusfelder

Strukturierte Ist-Aufnahme in zwei bis drei Wochen: Angriffsflächen, Schwachstellen- und Patch-Management, Detektion, Governance und Lieferkette, Defense-in-Depth, Response und Recovery.

  • Reifegradbewertung je Fokusfeld mit Evidenzen statt Selbstauskunft
  • Abgleich mit offenen DORA-Feststellungen und Prüfungsergebnissen
  • Priorisierung nach Risiko, Aufwand und aufsichtlicher Sichtbarkeit

Aktionsplan-Erstellung für das JST

Wir schreiben den einreichungsfähigen Plan: konkrete Maßnahmen, Zeitpläne, Verantwortlichkeiten und Ressourcenbedarf, aufgesetzt auf Ihrer Cyber-Risikostrategie.

  • Struktur und Sprache, die Joint Supervisory Teams erwarten
  • Meilensteine mit messbaren Ergebnissen je Fokusfeld
  • Governance-Kapitel: Berichtswege, Eskalation, Board-Einbindung

Sofortmaßnahmen: Schwachstellen- und Patch-Management at scale

Die EZB nennt es als ersten kurzfristigen Schwerpunkt: priorisiertes Scanning, beschleunigte Patch-Zyklen und Notfall-Changes, auch vertraglich verankert bei IKT-Dienstleistern.

  • Risikobasierte Priorisierung mit EPSS und CISA-KEV statt reiner CVSS-Listen
  • Notfall-Patch-Prozesse nach BSI OPS.1.1.3, SLAs je Risikoklasse
  • Anpassung von Verträgen und SLAs mit IKT-Drittdienstleistern

Umsetzungsbegleitung und JST-Dialog

Nach der Einreichung beginnt die Arbeit: Wir steuern die Umsetzung, liefern den Fortschrittsnachweis für Ihr JST und bereiten Sie auf Rückfragen aus der horizontalen EZB-Analyse vor.

  • Maßnahmen-Tracking mit prüfungsfester Dokumentation
  • Vorbereitung auf JST-Gespräche und Follow-up-Anfragen
  • Eskalationsfähige Statusberichte für Vorstand und Aufsichtsrat

Defense-in-Depth & Legacy-Modernisierung

Strukturelle Härtung nach EZB-Erwartung: Segmentierung bis Mikro-Segmentierung, Zero-Trust-Prinzipien mit kontinuierlicher Verifikation sowie Ablösung oder besondere Absicherung von Legacy- und End-of-Life-Systemen.

  • Zero-Trust-Roadmap: Nutzer, Geräte, APIs und Service-Accounts kontinuierlich verifiziert
  • Segmentierungskonzept mit priorisierten kritischen Zonen
  • Legacy-Inventar mit Ablösepfad oder kompensierenden Kontrollen je System

Response, Recovery & Informationsaustausch

Getestete Krisenmanagement-, Backup- und Wiederherstellungsprozesse nach DORA, inklusive Übungen für Hochgeschwindigkeits-Szenarien und rechtssicherer Vereinbarungen zum Austausch von Bedrohungsinformationen.

  • Übungsszenarien: Zero-Day-Massenausnutzung, Ransomware, Cloud- und Lieferkettenausfall
  • Wiederanlauf- und Failover-Tests mit dokumentierten Nachweisen
  • Anbindung an etablierte Austauschkreise des Finanzsektors (Art. 45 DORA)

Unsere Kompetenzen im Bereich DORA - Digital Operational Resilience Act

Wählen Sie den passenden Bereich für Ihre Anforderungen

DORA Anforderungen

Die Digital Operational Resilience Act (DORA) stellt ab Januar 2025 verbindliche Anforderungen an Finanzinstitute und ihre IKT-Dienstleister. Die fünf Säulen, IKT-Risikomanagement, Incident Management, Resilience Testing, Drittanbieter-Management und Informationsaustausch, müssen vollständig umgesetzt sein. Erfahren Sie, was DORA konkret fordert und wie ADVISORI Sie bei der Umsetzung unterstützt.

DORA Anwendungsbereich (Scope)

Der DORA-Anwendungsbereich umfasst 20 Arten von Finanzunternehmen, von Kreditinstituten und Versicherern bis hin zu Krypto-Dienstleistern und IKT-Drittanbietern. Wir unterstützen Sie bei der präzisen Bestimmung Ihres individuellen Geltungsbereichs und der Entwicklung einer risikobasierten Compliance-Strategie.

DORA Audit & Prüfung

DORA verpflichtet Finanzinstitute zu regelmäßigen internen IKT-Audits und bereitet sie auf externe Prüfungen durch BaFin und Abschlussprüfer vor. Wir begleiten Sie durch den gesamten DORA-Audit-Zyklus, von der internen Revision bis zur BaFin-Prüfung.

DORA Compliance

Von der Gap-Analyse bis zur Prüfungsbegleitung. Seit dem 17. Januar 2025 ist DORA verbindlich, und die BaFin handelt: Über 600 gemeldete IKT-Vorfälle, laufende §44-Sonderprüfungen und im Q3 2025 das erste DORA-Bußgeldverfahren wegen unzureichender IKT-Drittpartei-Dokumentation. Der neue IDW-Prüfungsstandard EPS 528 definiert, wie Abschlussprüfer Ihre DORA-Compliance bewerten. Wir machen Ihr Unternehmen prüfungssicher, über alle fünf DORA-Säulen hinweg, auf Basis unserer ISO 27001-zertifizierten Methodik und jahrelanger BAIT/MaRisk-Erfahrung im Finanzsektor.

DORA Compliance Checkliste

Unsere DORA Compliance Checkliste führt Finanzunternehmen systematisch durch alle fünf Säulen der Verordnung, von der initialen Gap-Analyse über die Umsetzung bis zur BaFin-konformen Dokumentation.

DORA Compliance Software

Die Auswahl der richtigen DORA Compliance Software entscheidet über Effizienz und Prüfungssicherheit. Wir unterstützen Sie bei der Bewertung, Auswahl und Implementierung von GRC-Tools, die Ihre digitale operationelle Resilienz vollständig abbilden.

DORA Dokumentationsanforderungen

DORA verpflichtet Finanzunternehmen zur umfassenden Dokumentation ihrer digitalen operationellen Resilienz. Wir unterstützen Sie beim Aufbau eines vollständigen Dokumentationssystems, von Policies und Richtlinien bis zum BaFin-Informationsregister.

DORA Governance

DORA Art. 5 macht das Leitungsorgan persönlich verantwortlich für den IKT-Risikorahmen, die digitale Resilienzstrategie und die Governance-Strukturen. Wir unterstützen Sie beim Aufbau DORA-konformer Governance, von Board-Level-Oversight bis zum Drei-Linien-Modell.

DORA ISO 27001 Mapping

Eine bestehende ISO-27001-Zertifizierung deckt bereits rund 85 % der DORA-Anforderungen ab, doch die verbleibenden Gaps sind entscheidend: TLPT-Tests, IKT-Drittanbieter-Management und das Register of Information gehen über ISO 27001 hinaus. Wir entwickeln präzise Control-Mappings, identifizieren Ihre spezifischen DORA-Gaps und schaffen ein integriertes Compliance-Framework, das beide Standards effizient verbindet.

DORA Implementation

Die vollständige DORA-Implementierung erfordert mehr als Dokumentation, sie verlangt operative Umsetzung über alle fünf Säulen. Wir begleiten Sie mit einem bewährten Phasenplan von der Gap-Analyse bis zur BaFin-Prüfungsvorbereitung.

Häufig gestellte Fragen zur EZB-Aktionsplan KI-Cyberrisiken

Wen betrifft das EZB-Schreiben SSM-2026-0301?

Direkt adressiert sind die CEOs aller bedeutenden Institute (Significant Institutions) unter direkter EZB-Aufsicht im SSM. Weniger bedeutende Institute (LSIs) sollten sich vorbereiten: Nationale Aufseher wie die BaFin übernehmen EZB-Erwartungen erfahrungsgemäß zeitversetzt, und die zugrunde liegenden DORA-Pflichten gelten ohnehin für alle Finanzunternehmen.

Was muss der Aktionsplan bis 31. Oktober 2026 enthalten?

Konkrete Maßnahmen zur Stärkung der relevanten Kontrollen, zugewiesene Ressourcen, klare Rollen und Verantwortlichkeiten sowie Umsetzungszeitpläne. Er muss auf der bestehenden Cyber-Risikostrategie aufbauen und kurzfristige Prioritäten (Angriffsflächen, Schwachstellen- und Patch-Management, Detektion, Drittparteien) mit strukturellen Maßnahmen (Defense-in-Depth, Legacy-Ablösung, Response und Recovery) verbinden.

Wie hängt der EZB-Aktionsplan mit DORA zusammen?

Die EZB stellt klar: Es gelten keine neuen Regeln, DORA bleibt der verbindliche Rahmen. KI verschärft Tempo und Skalierung bekannter Risiken. Wer sein IKT-Risikomanagement, Informationsregister und Resilienz-Testing nach DORA sauber aufgestellt hat, kann den Aktionsplan weitgehend aus dem Bestand entwickeln. Lücken werden jetzt allerdings mit harter Frist sichtbar.

Was passiert nach der Einreichung beim JST?

Das JST bespricht den Plan mit dem Institut und überwacht den Fortschritt. Zusätzlich führt die EZB eine horizontale Analyse aller eingereichten Pläne durch, identifiziert Trends und Schwachpunkte und spielt die Ergebnisse an die Institute zurück. Je nach Ergebnis sind Workshops und weitere aufsichtliche Aktivitäten möglich.

Welche Entlastung gewährt die EZB im Gegenzug?

Die jährliche Abgabe des IT Risk Questionnaire wird von September

2026 auf Februar

2027 verschoben. Anpassungen weiterer aufsichtlicher Aktivitäten, etwa bei Vor-Ort-Prüfungen oder Deep Dives, prüft die EZB fallweise im Dialog zwischen JST und Institut.

Wie schnell kann ADVISORI einen einreichungsfähigen Aktionsplan liefern?

In der Regel vier Wochen: zwei bis drei Wochen Gap-Assessment gegen die sechs EZB-Fokusfelder inklusive Abgleich mit offenen DORA-Feststellungen, danach Plan-Erstellung in JST-tauglicher Struktur. Institute, die erst im September starten, riskieren einen Plan ohne belastbare Ist-Analyse. Aufseher erkennen den Unterschied.

Was sind die sechs Fokusfelder des EZB-Aktionsplans?

Erstens Schutz exponierter Angriffsflächen inklusive Drittsoftware und Open-Source-Komponenten. Zweitens skalierbares Schwachstellen- und Patch-Management. Drittens Monitoring, Detektion und KI-gestützte Abwehr. Viertens Governance, Budget, Schulung und Lieferketten-Assurance. Fünftens Defense-in-Depth, Zero Trust und Modernisierung von Legacy-Systemen. Sechstens Response, Recovery, Krisenmanagement und Informationsaustausch.

Erwähnt das Schreiben auch Quantencomputing?

Ja. Die EZB kündigt ein separates Schreiben zu Post-Quanten-Kryptografie an und betont, dass die Migration jetzt beginnen muss, auch wenn sie einen längeren Zeithorizont hat. Institute sollten das Thema bereits in die strategische IT-Investitionsplanung aufnehmen.

Was kostet die Erstellung des EZB-Aktionsplans?

Der Aufwand hängt von Institutsgröße und Reifegrad ab. Das vierwöchige Kernpaket (Gap-Assessment gegen die sechs Fokusfelder plus einreichungsfähiger Aktionsplan) ist als Festpreisprojekt kalkulierbar; die anschließende Umsetzungsbegleitung wird nach Aufwand oder als monatliches Paket abgerechnet. Institute mit aktuellem DORA-Gap-Assessment starten günstiger, weil Phase

1 verkürzt werden kann. Wir kalkulieren transparent nach Scope und nennen den Preis vor Projektbeginn.

Wir haben unser DORA-Programm noch nicht abgeschlossen. Können wir den Aktionsplan trotzdem fristgerecht einreichen?

Ja, und das ist der Regelfall. Die EZB erwartet keinen abgeschlossenen Umbau bis Oktober, sondern einen glaubwürdigen Plan: belastbare Ist-Analyse, priorisierte Maßnahmen, Ressourcen und Zeitpläne. Offene DORA-Feststellungen gehören ausdrücklich hinein, mit Priorität. Kritisch wird es nur für Institute, die weder Ist-Bild noch Plan vorweisen können. Genau diese Lücke schließt unser Vier-Wochen-Vorgehen.

Erfolgsgeschichten

Entdecken Sie, wie wir Unternehmen bei ihrer digitalen Transformation unterstützen

Generative KI in der Fertigung

Bosch

KI-Prozessoptimierung für bessere Produktionseffizienz

Fallstudie
BOSCH KI-Prozessoptimierung für bessere Produktionseffizienz

Ergebnisse

Reduzierung der Implementierungszeit von AI-Anwendungen auf wenige Wochen
Verbesserung der Produktqualität durch frühzeitige Fehlererkennung
Steigerung der Effizienz in der Fertigung durch reduzierte Downtime

AI Automatisierung in der Produktion

Festo

Intelligente Vernetzung für zukunftsfähige Produktionssysteme

Fallstudie
FESTO AI Case Study

Ergebnisse

Verbesserung der Produktionsgeschwindigkeit und Flexibilität
Reduzierung der Herstellungskosten durch effizientere Ressourcennutzung
Erhöhung der Kundenzufriedenheit durch personalisierte Produkte

KI-gestützte Fertigungsoptimierung

Siemens

Smarte Fertigungslösungen für maximale Wertschöpfung

Fallstudie
Case study image for KI-gestützte Fertigungsoptimierung

Ergebnisse

Erhebliche Steigerung der Produktionsleistung
Reduzierung von Downtime und Produktionskosten
Verbesserung der Nachhaltigkeit durch effizientere Ressourcennutzung

Digitalisierung im Stahlhandel

Klöckner & Co

Digitalisierung im Stahlhandel

Fallstudie
Digitalisierung im Stahlhandel - Klöckner & Co

Ergebnisse

Über 2 Milliarden Euro Umsatz jährlich über digitale Kanäle
Ziel, bis 2022 60% des Umsatzes online zu erzielen
Verbesserung der Kundenzufriedenheit durch automatisierte Prozesse

Lassen Sie uns

Zusammenarbeiten!

Ist Ihr Unternehmen bereit für den nächsten Schritt in die digitale Zukunft? Kontaktieren Sie uns für eine persönliche Beratung.

Ihr strategischer Erfolg beginnt hier

Unsere Kunden vertrauen auf unsere Expertise in digitaler Transformation, Compliance und Risikomanagement

Bereit für den nächsten Schritt?

Vereinbaren Sie jetzt ein strategisches Beratungsgespräch mit unseren Experten

30 Minuten • Unverbindlich • Sofort verfügbar

Zur optimalen Vorbereitung Ihres Strategiegesprächs:

Ihre strategischen Ziele und Herausforderungen
Gewünschte Geschäftsergebnisse und ROI-Erwartungen
Aktuelle Compliance- und Risikosituation
Stakeholder und Entscheidungsträger im Projekt

Bevorzugen Sie direkten Kontakt?

Direkte Hotline für Entscheidungsträger

Strategische Anfragen per E-Mail

Detaillierte Projektanfrage

Für komplexe Anfragen oder wenn Sie spezifische Informationen vorab übermitteln möchten

ADVISORI Logo
BlogCase StudiesÜber uns
info@advisori.de+49 69 913 113-01