FRAMEWORK · DORA

DORA — Digitale operationelle Resilienz.
EU-Verordnung 2022/2554.

In Kraft seit 17. Januar 2025. Gilt für 22.000+ europäische Finanzunternehmen und ihre kritischen IKT-Anbieter. Itamite deckt die Säulen IKT-Risikomanagement, Incident-Management und Resilienz-Testing mit signierten Nachweisen für nationale Aufsichtsbehörden (BaFin, EBA) ab.

Preise ansehen DORA-Demo

Für wen gilt DORA?

Finanzunternehmen: Banken, Sparkassen, EMI/PI, Versicherer und Rückversicherer, Asset Manager (OGAW, AIFM), Wertpapierfirmen, Marktinfrastrukturen (CCP, CSD), Krypto-Asset-Anbieter (CASPs), Zahlungsdienstleister (PSPs), Rating-Agenturen, Pensionsfonds, alternative Manager, PEPP-Anbieter.

Besonders wichtig: kritische IKT-Anbieter, die Finanzunternehmen bedienen (Cloud, Rechenzentren, MSPs, regulierte Software). Wenn Ihr Unternehmen IT-Dienste für Banken/Finanzwesen erbringt, kann DORA direkt für Sie gelten.

Strafen: bis zu 10 Mio. € oder 5 % des weltweiten Jahresumsatzes, je nachdem, was höher ist. Bei schweren Verstößen mögliche Streichung aus dem Register zugelassener IKT-Anbieter → Insolvenz des Anbieters.

FÜNF DORA-SÄULEN

Was Itamite abdeckt

Säule 1: IKT-Risikomanagement (Art. 5-15)

Itamite liefert ein vollständiges IKT-Asset-Inventar (Art. 8), Identifizierung kritischer Funktionen, kontinuierliche Risikoanalyse über gemessene Sicherheitslage (Art. 9), Schutz und Prävention (Verschlüsselung, Patches, AV — Art. 9), kontinuierliche Erkennung (Art. 10), Kontinuitätsmanagement (Art. 11), datenbasiertes Lernen und Weiterentwicklung.

Säule 2: IKT-Incident-Management (Art. 17-23)

Unveränderliches Hash-Chain-Audit als Vorfallsnachweis. Automatische Schweregradklassifizierung. Erstmeldung 4h nach Erkennung, Zwischenmeldung 72h, Abschlussbericht 1 Monat — Itamite liefert eine verifizierbare technische Zeitleiste. SIEM-Integration für Meldungen an Behörden.

Säule 3: Resilienz-Testing (Art. 24-27)

Jährliche Basis-Tests (Vulnerability Assessment, Scenario Testing). Für signifikante Unternehmen: TLPT (Threat-Led Penetration Testing) alle 3 Jahre. Itamite liefert Inventar und Daten zur Definition des Testumfangs und zur Verifizierung der nachfolgenden Behebung.

Säule 4: IKT-Drittparteienrisiko (Art. 28-44)

Informationsregister über alle vertraglichen Vereinbarungen mit IKT-Anbietern. Itamite ist ein IKT-Anbieter: Wir liefern eine standardmäßige DORA-ready-Vertragsdokumentation (Art.-30-Klauseln, Exit-Strategie, Auditrechte, Sub-Contracting).

Säule 5: Informationsaustausch (Art. 45)

Optionale Funktionen für den Austausch von Bedrohungsinformationen mit anderen Unternehmen. Itamite stellt API + Webhooks für die Integration mit Austauschplattformen (FS-ISAC, EU-FSF) bereit.

Itrion als DORA-ready-IKT-Anbieter

Für Finanzkunden: spezifische Verträge konform mit Art. 30: Beschreibung kritischer Funktionen, EU-Verarbeitungsstandort, Vor-Ort-Auditrechte, quantitative Service-Levels (SLA), geordneter Ausstieg mit unterstützter Migration, vorab genehmigte Subunternehmer.

HÄUFIGE FRAGEN

Fragen zu DORA

Wer überwacht die DORA-Compliance?
In Deutschland: BaFin (Banken, Versicherer, Wertpapieraufsicht), Bundesbank (operatives Banking). Auf EU-Ebene: EBA, ESMA, EIOPA. Für kritische IKT-Anbieter: spezifischer EU-weiter Aufsichtsrahmen unter Koordination der ESAs.
Wann werde ich zum kritischen IKT-Anbieter erklärt?
Die erste Designation wurde 2024 von den ESAs vorgenommen. Jährliche öffentliche Liste. Wenn Sie als kritisch eingestuft werden, direkte europäische Aufsicht + verstärkte Pflichten. Die meisten IKT-Anbieter sind formal NICHT kritisch, müssen DORA aber vertraglich aufgrund von Kundenanforderungen erfüllen.
Ist Itrion Software ein kritischer DORA-IKT-Anbieter?
Nicht als EU-weit kritisch designiert. Wir erfüllen DORA vertraglich für unsere Finanzkunden: Art.-30-Dokumentation, Vor-Ort-Auditfähigkeit, schriftliche Exit-Strategie, EU-Hosting, deklarierte Subunternehmer. Liste der Finanzkunden: unter NDA.
Wie lange dauert die DORA-Compliance?
Für ein Finanzunternehmen mit moderner IT-Plattform: 6-12 Monate. Von Grund auf: 12-18 Monate. Itamite beschleunigt die Bereiche Inventar, IKT-Risikomanagement und Monitoring (3-4 Monate Einsparung). Der Rest (BCP, Governance, TLPT-Testing) erfordert spezialisierte Beratung.

DORA-pflichtiger Finanzsektor

Enterprise-Demo mit echtem Banking/Versicherungsfall + Zugang zu DORA-ready-Verträgen.

Preise ansehen Demo anfordern