Kontakt

DORA - Compliance für den Finanzsektor

Was ist Dora?

DORA steht für Digital Operational Resilience Act – eine EU-Verordnung, die seit dem 17. Januar 2025 verbindlich gilt. Sie richtet sich an Unternehmen im Finanzsektor und deren IT-Dienstleister.
Das Ziel: Finanzunternehmen müssen nachweisen, dass ihre IT-Systeme gegen Cyberangriffe, Ausfälle und Störungen geschützt sind – und dass sie im Ernstfall handlungsfähig bleiben.
Für Sie als Geschäftsführer bedeutet das: DORA ist keine Empfehlung, sondern eine rechtliche Pflicht. Bei Verstößen drohen aufsichtsrechtliche Maßnahmen, erhebliche Bußgelder und im schlimmsten Fall der Entzug der Geschäftserlaubnis.

Bin ich betroffen?

DORA gilt für nahezu alle regulierten Finanzunternehmen:

  • Banken und Kreditinstitute
  • Versicherungen und Rückversicherer
  • Wertpapierfirmen und Fondsmanager
  • Zahlungsdienstleister und E-Geld-Institute
  • Krypto-Dienstleister
  • IT-Dienstleister, die kritische Dienste für Finanzunternehmen erbringen.
  •  

Unsicher, ob Ihr Unternehmen betroffen ist? Wir prüfen mit Ihnen – unverbindlich und vertraulich.

Was fordert DORA?

  • IKT-Risikomanagement: Sie müssen IT-Risiken systematisch erfassen, bewerten und steuern – mit klaren Verantwortlichkeiten auf Geschäftsführungsebene.
  • Meldepflichten bei IKT-Vorfällen: Sicherheitsvorfälle müssen innerhalb festgelegter Fristen an die Aufsichtsbehörde gemeldet werden. Dafür brauchen Sie dokumentierte Prozesse und Eskalationswege.
  • Tests der digitalen Resilienz: Ihre IT-Systeme müssen regelmäßig auf Belastbarkeit getestet werden – einschließlich Penetrationstests und Szenario-basierter Übungen.
  • Management von Drittanbieter-Risiken: Wenn Sie IT-Dienstleister einsetzen, müssen Sie deren Risiken bewerten, vertraglich absichern und laufend überwachen.
  • Informationsaustausch: DORA fördert den Austausch von Bedrohungsinformationen zwischen Finanzunternehmen – strukturiert und unter Einhaltung der Datenschutzvorgaben.
Wichtig: Bei Verstößen drohen aufsichtsrechtliche Maßnahmen und erhebliche Bußgelder. Die Verantwortung liegt bei der Geschäftsführung.

Unsere Leistungen zur DORA-Umsetzung

Wir begleiten Sie von der ersten Prüfung bis zur vollständigen Compliance:

  • Betroffenheitsanalyse: Es wird geprüft, ob und in welchem Umfang DORA für Ihr Unternehmen gilt – und welche Anforderungen konkret auf Sie zukommen.
  • Gap-Analyse: Wo stehst Ihr Unternehmen heute? Wir vergleichen Ihren aktuellen Stand mit den DORA-Anforderungen und identifizieren die Lücken.
  • IKT-Risikomanagement: Wir entwickeln mit Ihnen ein Risikomanagement-Framework, das die DORA-Anforderungen erfüllt . pragmatisch und auf Ihre Unternehmensgröße zugeschnitten.
  • Meldeprozesse etablieren: Wir definieren Eskalationswege, Meldefristen und Verantwortlichkeiten, damit Sie im Ernstfall sofort handlungsfähig sind.
  • Resilienz-Tests planen und durchführen: Von Schwachstellenanalysen bis hin zu Penetration-Tests – wir sorgen dafür, dass Ihre Systeme den Anforderungen standhalten.
  • Drittanbieter-Management: Wir unterstützen Sie bei der Bewertung und vertraglichen Absicherung Ihrer IT-Dienstleister – inklusive laufender Überwachung.
  • Dokumentation und Audit-Vorbereitung: Alle Maßnahmen werden so dokumentiert, dass Sie jederzeit gegenüber Aufsichtsbehörden und Prüfern nachweisfähig sind.

Warum WenTraCon?

  • Spezialisiert auf regulierte Unternehmen: Wir kennen die Anforderungen von DORA, NIS2, ISO 27001 und BSI IT-Grundschutz – und wissen, wie man sie pragmatisch umsetzt.
  • Strategie und Umsetzung aus einer Hand: Kein Berater, der nur Konzepte schreibt. Wir setzen um, was wir empfehlen – bis zur nachweisbaren Compliance.
  • ex-Microsoft, 20+ Jahre Erfahrung: Unser Gründer bringt tiefes, technisches WIssen und strategische Erfahrung zusammen – auf Augenhöhe mit Ihrer IT und Ihrem Verstand.
  • Vendor-unabhängig: Wir empfehlen, was für Ihr Unternehmen funktioniert – nicht, was uns die höchste Provision bringt.
  • Persönliche Betreuung: Ein fester Ansprechpartner, der Ihr Unternehmen kennt. Keine wechselnden Berater, keine anonyme Hotline.

FAQ – Häufige Fragen zu DORA

Was passiert, wenn ich DORA nicht umsetze?

Es drohen aufsichtsrechtliche Maßnahmen, erhebliche Bußgelder und im schlimmsten Fall der Entzug der Betriebserlaubnis. Die Verantwortung liegt direkt bei der Geschäftsführung.

DORA ist seit dem 17. Januar 2025 direkt anwendbar – ohne nationale Umsetzungsfrist. Das bedeutet: Die Anforderungen gelten jetzt.

Je nach Ausgangslage 6-18 Monate. Je früher Sie starten, desto planbarer und kostengünstiger ist der Prozess. Wir empfehlen, jetzt zu beginnen.

Das hängt vom Umfang und Ihren aktuellen Stand ab. Nach einer kostenlosen Erstberatung erstellen wir Ihnen ein individuelles Angebot – transparent und ohne versteckte Kosten.

Ja- IT-Dienstleister, die kritische Dienste für Finanzunternehmen erbringen, fallen ebenfalls unter DORA. Wenn Sie IT-Services für den Finanzsektor anbieten, müssen Sie die Anforderungen kennen und erfüllen.

DORA ist spezifisch für den Finanzsektor und geht in vielen Bereichen über NIS2 hinaus – insbesondere bei Resilienz-Tests und Drittanbieter-Management. Unternehmen, die unter beide Verordnungen fallen, müssen beide erfüllen. Wir helfen Ihnen, Überschneidungen effizient zu nutzen-

Kostenlose DORA-Erstberatung

In einem kurzen Gespräch ( 30 Minuten) klären wir:

  • ob Ihr Unternehmen untere DORA fällt
  • wo die größten Lücken zwischen Ihrem aktuellen Stand und den Anforderungen liegen
  • welche Schritte jetzt Priorität haben 

Vertraulich. Unverbindlich. Keine Kaufverpflichtung.

Oder Schreiben Sie uns direkt: info@wentracon.eu