Die EZB-Bankenaufsicht verlangt von allen bedeutenden Instituten einen konkreten Aktionsplan gegen KI-gestützte Cyberbedrohungen, einzureichen beim Joint Supervisory Team bis zum 31. Oktober 2026. Wir erstellen Ihren Aktionsplan in vier Wochen: Gap-Assessment gegen die sechs EZB-Fokusfelder, priorisierte Maßnahmen mit Zeitplänen und Verantwortlichkeiten, abgestimmt auf Ihre bestehende Cyber-Risikostrategie und DORA-Programme. Prüfungsfest dokumentiert, JST-ready.
Bereit für den nächsten Schritt?
Schnell, einfach und absolut unverbindlich.
Oder kontaktieren Sie uns direkt:










Der Aktionsplan muss bis zum 31. Oktober 2026 beim zuständigen Joint Supervisory Team eingereicht sein. Die EZB analysiert alle eingereichten Pläne horizontal und spielt die Ergebnisse an die Institute zurück; ein schwacher Plan ist damit auch ein Signal an die Aufsicht. Im Gegenzug verschiebt die EZB die Abgabe des IT Risk Questionnaire auf Februar 2027.
Jahre Erfahrung
Mitarbeiter
Projekte
Wir arbeiten in einem festen Vier-Wochen-Rhythmus, der auf Ihrer bestehenden Cyber-Risikostrategie und Ihren offenen DORA-Maßnahmen aufsetzt. Jede Phase liefert ein prüfungsfestes Zwischenergebnis.
Phase 1, Gap-Assessment (Woche 1 bis 2): Strukturierte Ist-Aufnahme gegen die sechs EZB-Fokusfelder mit Evidenzen statt Selbstauskunft. Abgleich mit offenen Feststellungen aus Vor-Ort-Prüfungen, Targeted Reviews und dem Cyber-Stresstest 2024.
Output: Reifegrad-Scoring je Fokusfeld und priorisierte Maßnahmenliste.
Phase 2, Priorisierung und Ressourcenplanung (Woche 2): Bewertung nach Risiko, Aufwand und aufsichtlicher Sichtbarkeit. Abstimmung von Budget, Personal und Verantwortlichkeiten mit IT, Informationssicherheit und Risikocontrolling.
Output: abgestimmte Maßnahmen-Roadmap mit Meilensteinen.
Phase 3, Plan-Erstellung (Woche 3): Ausformulierung des Aktionsplans in der Struktur, die Joint Supervisory Teams erwarten: konkrete Maßnahmen, Zeitpläne, Rollen, Ressourcen und Governance-Kapitel mit Berichtswegen und Eskalationslogik.
Phase 4, Governance-Freigabe und Einreichung (Woche 4): Review mit Vorstand bzw. Leitungsorgan, Einarbeitung der Rückmeldungen, Finalisierung und fristgerechte Einreichung beim JST vor dem 31. Oktober 2026.
Phase 5, Umsetzung und JST-Dialog (fortlaufend): Maßnahmen-Tracking mit Fortschrittsnachweisen, Vorbereitung auf Rückfragen aus der horizontalen EZB-Analyse und Begleitung der Sofortmaßnahmen, vom beschleunigten Patch-Management bis zur Legacy-Absicherung.

Head of Informationssicherheit, Cyber Security
Expertise & Erfahrung:
10+ Jahre Erfahrung, CISA, CISM, Lead Auditor, DORA, NIS2, BCM, Cyber- und Informationssicherheit
Wir bieten Ihnen maßgeschneiderte Lösungen für Ihre digitale Transformation
Strukturierte Ist-Aufnahme in zwei bis drei Wochen: Angriffsflächen, Schwachstellen- und Patch-Management, Detektion, Governance und Lieferkette, Defense-in-Depth, Response und Recovery.
Wir schreiben den einreichungsfähigen Plan: konkrete Maßnahmen, Zeitpläne, Verantwortlichkeiten und Ressourcenbedarf, aufgesetzt auf Ihrer Cyber-Risikostrategie.
Die EZB nennt es als ersten kurzfristigen Schwerpunkt: priorisiertes Scanning, beschleunigte Patch-Zyklen und Notfall-Changes, auch vertraglich verankert bei IKT-Dienstleistern.
Nach der Einreichung beginnt die Arbeit: Wir steuern die Umsetzung, liefern den Fortschrittsnachweis für Ihr JST und bereiten Sie auf Rückfragen aus der horizontalen EZB-Analyse vor.
Strukturelle Härtung nach EZB-Erwartung: Segmentierung bis Mikro-Segmentierung, Zero-Trust-Prinzipien mit kontinuierlicher Verifikation sowie Ablösung oder besondere Absicherung von Legacy- und End-of-Life-Systemen.
Getestete Krisenmanagement-, Backup- und Wiederherstellungsprozesse nach DORA, inklusive Übungen für Hochgeschwindigkeits-Szenarien und rechtssicherer Vereinbarungen zum Austausch von Bedrohungsinformationen.
Wählen Sie den passenden Bereich für Ihre Anforderungen
Die Digital Operational Resilience Act (DORA) stellt ab Januar 2025 verbindliche Anforderungen an Finanzinstitute und ihre IKT-Dienstleister. Die fünf Säulen, IKT-Risikomanagement, Incident Management, Resilience Testing, Drittanbieter-Management und Informationsaustausch, müssen vollständig umgesetzt sein. Erfahren Sie, was DORA konkret fordert und wie ADVISORI Sie bei der Umsetzung unterstützt.
Der DORA-Anwendungsbereich umfasst 20 Arten von Finanzunternehmen, von Kreditinstituten und Versicherern bis hin zu Krypto-Dienstleistern und IKT-Drittanbietern. Wir unterstützen Sie bei der präzisen Bestimmung Ihres individuellen Geltungsbereichs und der Entwicklung einer risikobasierten Compliance-Strategie.
DORA verpflichtet Finanzinstitute zu regelmäßigen internen IKT-Audits und bereitet sie auf externe Prüfungen durch BaFin und Abschlussprüfer vor. Wir begleiten Sie durch den gesamten DORA-Audit-Zyklus, von der internen Revision bis zur BaFin-Prüfung.
Von der Gap-Analyse bis zur Prüfungsbegleitung. Seit dem 17. Januar 2025 ist DORA verbindlich, und die BaFin handelt: Über 600 gemeldete IKT-Vorfälle, laufende §44-Sonderprüfungen und im Q3 2025 das erste DORA-Bußgeldverfahren wegen unzureichender IKT-Drittpartei-Dokumentation. Der neue IDW-Prüfungsstandard EPS 528 definiert, wie Abschlussprüfer Ihre DORA-Compliance bewerten. Wir machen Ihr Unternehmen prüfungssicher, über alle fünf DORA-Säulen hinweg, auf Basis unserer ISO 27001-zertifizierten Methodik und jahrelanger BAIT/MaRisk-Erfahrung im Finanzsektor.
Unsere DORA Compliance Checkliste führt Finanzunternehmen systematisch durch alle fünf Säulen der Verordnung, von der initialen Gap-Analyse über die Umsetzung bis zur BaFin-konformen Dokumentation.
Die Auswahl der richtigen DORA Compliance Software entscheidet über Effizienz und Prüfungssicherheit. Wir unterstützen Sie bei der Bewertung, Auswahl und Implementierung von GRC-Tools, die Ihre digitale operationelle Resilienz vollständig abbilden.
DORA verpflichtet Finanzunternehmen zur umfassenden Dokumentation ihrer digitalen operationellen Resilienz. Wir unterstützen Sie beim Aufbau eines vollständigen Dokumentationssystems, von Policies und Richtlinien bis zum BaFin-Informationsregister.
DORA Art. 5 macht das Leitungsorgan persönlich verantwortlich für den IKT-Risikorahmen, die digitale Resilienzstrategie und die Governance-Strukturen. Wir unterstützen Sie beim Aufbau DORA-konformer Governance, von Board-Level-Oversight bis zum Drei-Linien-Modell.
Eine bestehende ISO-27001-Zertifizierung deckt bereits rund 85 % der DORA-Anforderungen ab, doch die verbleibenden Gaps sind entscheidend: TLPT-Tests, IKT-Drittanbieter-Management und das Register of Information gehen über ISO 27001 hinaus. Wir entwickeln präzise Control-Mappings, identifizieren Ihre spezifischen DORA-Gaps und schaffen ein integriertes Compliance-Framework, das beide Standards effizient verbindet.
Die vollständige DORA-Implementierung erfordert mehr als Dokumentation, sie verlangt operative Umsetzung über alle fünf Säulen. Wir begleiten Sie mit einem bewährten Phasenplan von der Gap-Analyse bis zur BaFin-Prüfungsvorbereitung.
Direkt adressiert sind die CEOs aller bedeutenden Institute (Significant Institutions) unter direkter EZB-Aufsicht im SSM. Weniger bedeutende Institute (LSIs) sollten sich vorbereiten: Nationale Aufseher wie die BaFin übernehmen EZB-Erwartungen erfahrungsgemäß zeitversetzt, und die zugrunde liegenden DORA-Pflichten gelten ohnehin für alle Finanzunternehmen.
Konkrete Maßnahmen zur Stärkung der relevanten Kontrollen, zugewiesene Ressourcen, klare Rollen und Verantwortlichkeiten sowie Umsetzungszeitpläne. Er muss auf der bestehenden Cyber-Risikostrategie aufbauen und kurzfristige Prioritäten (Angriffsflächen, Schwachstellen- und Patch-Management, Detektion, Drittparteien) mit strukturellen Maßnahmen (Defense-in-Depth, Legacy-Ablösung, Response und Recovery) verbinden.
Die EZB stellt klar: Es gelten keine neuen Regeln, DORA bleibt der verbindliche Rahmen. KI verschärft Tempo und Skalierung bekannter Risiken. Wer sein IKT-Risikomanagement, Informationsregister und Resilienz-Testing nach DORA sauber aufgestellt hat, kann den Aktionsplan weitgehend aus dem Bestand entwickeln. Lücken werden jetzt allerdings mit harter Frist sichtbar.
Das JST bespricht den Plan mit dem Institut und überwacht den Fortschritt. Zusätzlich führt die EZB eine horizontale Analyse aller eingereichten Pläne durch, identifiziert Trends und Schwachpunkte und spielt die Ergebnisse an die Institute zurück. Je nach Ergebnis sind Workshops und weitere aufsichtliche Aktivitäten möglich.
Die jährliche Abgabe des IT Risk Questionnaire wird von September
2026 auf Februar
2027 verschoben. Anpassungen weiterer aufsichtlicher Aktivitäten, etwa bei Vor-Ort-Prüfungen oder Deep Dives, prüft die EZB fallweise im Dialog zwischen JST und Institut.
In der Regel vier Wochen: zwei bis drei Wochen Gap-Assessment gegen die sechs EZB-Fokusfelder inklusive Abgleich mit offenen DORA-Feststellungen, danach Plan-Erstellung in JST-tauglicher Struktur. Institute, die erst im September starten, riskieren einen Plan ohne belastbare Ist-Analyse. Aufseher erkennen den Unterschied.
Erstens Schutz exponierter Angriffsflächen inklusive Drittsoftware und Open-Source-Komponenten. Zweitens skalierbares Schwachstellen- und Patch-Management. Drittens Monitoring, Detektion und KI-gestützte Abwehr. Viertens Governance, Budget, Schulung und Lieferketten-Assurance. Fünftens Defense-in-Depth, Zero Trust und Modernisierung von Legacy-Systemen. Sechstens Response, Recovery, Krisenmanagement und Informationsaustausch.
Ja. Die EZB kündigt ein separates Schreiben zu Post-Quanten-Kryptografie an und betont, dass die Migration jetzt beginnen muss, auch wenn sie einen längeren Zeithorizont hat. Institute sollten das Thema bereits in die strategische IT-Investitionsplanung aufnehmen.
Der Aufwand hängt von Institutsgröße und Reifegrad ab. Das vierwöchige Kernpaket (Gap-Assessment gegen die sechs Fokusfelder plus einreichungsfähiger Aktionsplan) ist als Festpreisprojekt kalkulierbar; die anschließende Umsetzungsbegleitung wird nach Aufwand oder als monatliches Paket abgerechnet. Institute mit aktuellem DORA-Gap-Assessment starten günstiger, weil Phase
1 verkürzt werden kann. Wir kalkulieren transparent nach Scope und nennen den Preis vor Projektbeginn.
Ja, und das ist der Regelfall. Die EZB erwartet keinen abgeschlossenen Umbau bis Oktober, sondern einen glaubwürdigen Plan: belastbare Ist-Analyse, priorisierte Maßnahmen, Ressourcen und Zeitpläne. Offene DORA-Feststellungen gehören ausdrücklich hinein, mit Priorität. Kritisch wird es nur für Institute, die weder Ist-Bild noch Plan vorweisen können. Genau diese Lücke schließt unser Vier-Wochen-Vorgehen.
Entdecken Sie, wie wir Unternehmen bei ihrer digitalen Transformation unterstützen
Bosch
KI-Prozessoptimierung für bessere Produktionseffizienz

Festo
Intelligente Vernetzung für zukunftsfähige Produktionssysteme

Siemens
Smarte Fertigungslösungen für maximale Wertschöpfung

Klöckner & Co
Digitalisierung im Stahlhandel

Ist Ihr Unternehmen bereit für den nächsten Schritt in die digitale Zukunft? Kontaktieren Sie uns für eine persönliche Beratung.
Unsere Kunden vertrauen auf unsere Expertise in digitaler Transformation, Compliance und Risikomanagement
Vereinbaren Sie jetzt ein strategisches Beratungsgespräch mit unseren Experten
30 Minuten • Unverbindlich • Sofort verfügbar
Direkte Hotline für Entscheidungsträger
Strategische Anfragen per E-Mail
Für komplexe Anfragen oder wenn Sie spezifische Informationen vorab übermitteln möchten