DORA Compliance: digitale Resilienz für Finanzunternehmen

Die fünf Säulen der DORA-Konformität

DORA-Konformität ist kein einmaliges Projekt, sondern ein strukturierter Rahmen aus fünf regulatorischen Säulen. Jede davon stellt konkrete Anforderungen an Finanzunternehmen und ihre IKT-Drittdienstleister – von der Governance bis zum Krisenmanagement. Wir begleiten Sie bei der systematischen Umsetzung aller fünf Bereiche.

Die Umsetzung erfordert ein abgestimmtes Zusammenspiel aus rechtlichem Know-how, technischer Expertise und organisatorischem Change-Management. Genau das bringt intersoft consulting mit.

• Kreditinstitute
• Zahlungsinstitute
• Pensionskassen
• E-Geld-Institute
• Wertpapierfirmen
• Anbieter von Krypto-Dienstleistungen
• Emittenten von Kryptowerten
• Emittenten von an Vermögenswerte geknüpften Token
• Emittenten signifikanter an Vermögenswerten geknüpfter Token
• Zentralverwahrer
• zentrale Gegenparteien
• Handelsplätze
• Transaktionsregister

• Verwalter alternativer Investmentfonds
• Verwaltungsgesellschaften
• Datenbereitstellungsdienste
• Versicherungs- und Rückversicherungsunternehmen
• Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit,
• Einrichtungen der betrieblichen Altersversorgung
• Ratingagenturen
• Abschlussprüfer und Prüfungsgesellschaften
• Administratoren kritischer Benchmarks
• Crowdfunding-Dienstleister
• Verbriefungsregister
• IKT-Drittanbieter

Auf dem Weg zur DORA Compliance müssen Finanzunternehmen mehrere parallele Prozesse aufsetzen und dauerhaft betreiben. Die Herausforderung liegt nicht nur in der initialen Umsetzung, sondern vor allem im kontinuierlichen Nachweis der Konformität gegenüber Aufsichtsbehörden. Denn: DORA sieht keine klassische Zertifizierung vor. Die Erfüllung der Anforderungen wird durch regelmäßige Audits, Tests und kontinuierliche Dokumentation nachgewiesen und eben durch die zuständigen Aufsichtsbehörden überprüft. 

Unser Beratungsprozess beginnt mit einer detaillierten GAP-Analyse: Unsere zertifizierten Consultants gleichen Ihre bestehenden IT-Strukturen, Prozesse und Richtlinien mit den Anforderungen des DORA ab. Sie erhalten einen klaren Überblick über Handlungsbedarfe und eine priorisierende Umsetzungs-Roadmap.Im nächsten Schritt entwickeln wir gemeinsam mit Ihnen eine maßgeschneiderte DOR-Strategie.

Unsere Beraterinnen und Berater unterstützen Sie bei der Implementierung von Sicherheitsrichtlinien, der Einführung eines IKT-Risikomanagements, dem Aufbau von Vorfall-Meldeprozessen sowie der Erstellung aller erforderlichen Dokumentationen.

DORA stellt klare Anforderungen an Ihre IT-Governance, Ihre Vertragsbeziehungen mit IKT-Dienstleistern und Ihre organisatorischen Prozesse. Wir begleiten Sie durch alle Phasen der Umsetzung: pragmatisch, effizient und mit Blick auf Ihren Geschäftsalltag. Profitieren Sie von unserer interdisziplinären Expertise: zertifizierte Informationssicherheitsexperten und Volljuristen arbeiten bei uns Hand in Hand. Gern stehen wir Ihnen auch langfristig als externer Informationssicherheitsbeauftragter oder IKT-Risikomanager zur Seite.

DORA GAP-Analyse

Bevor Maßnahmen ergriffen werden, braucht es Klarheit über den Status quo. Die GAP-Analyse ist Ihr Startpunkt für die DORA-Compliance. Wir prüfen systematisch, ob Ihre IT-Strukturen den DORA-Anforderungen entsprechen, wo Lücken bestehen und welche Prioritäten sich daraus ergeben. Die GAP-Analyse ist die Basis für eine effiziente Umsetzungsplanung. 

DOR-Strategie & Umsetzung

Auf Basis der GAP-Analyse entwickeln wir eine individuelle DOR-Strategie und begleiten Sie bei der praktischen Umsetzung – von der Implementierung bis hin zur Einrichtung belastbarer Meldeprozesse. Dabei behalten wir stets alle fünf DORA-Anforderungsbereiche im Blick und stellen sicher, dass Ihre Maßnahmen aufeinander abgestimmt, dokumentiert und aufsichtsrechtlich nachweisbar sind.

Externer ISB / IKT-Risikomanager

Unsere Consultants übernehmen die Funktion des externen Informationssicherheitsbeauftragten oder des zertifizierten IKT-Risikomanagers und entlasten Ihr Unternehmen dauerhaft von diesen regulatorischen Aufgaben. Unsere Spezialisten verfügen unter anderem über die nötige Erfahrung aus BAIT, KAIT und VAIT zur pragmatischen Umsetzung in der Informationssicherheit.

Audits & Dokumentation

Der erfolgreiche Umgang mit Aufsichtsbehörden erfordert neben umfassendem Fachwissen das nötige Fingerspitzengefühl. Wir begleiten Sie bei Anfragen, Meldungen und Prüfungen und erstellen alle erforderlichen Berichte und Nachweise. Außerdem führen wir regelmäßige interne Audits durch, um Ihr Unternehmen auf dem neuesten Stand zu halten. Ferner übernehmen wir auf Wunsch für Finanzunternehmen Dienstleister-Audits.

Schulungen & Awareness

DORA schreibt verpflichtende Programme zur Sensibilisierung für IKT-Sicherheit vor. Das gilt für alle Mitarbeitenden und die Geschäftsleitung. Lernprozesse und kontinuierliche Weiterentwicklung sind entscheidend. Wir entwickeln zielgruppenspezifische Schulungskonzepte, die exakt auf die Anforderungen und Risikolage Ihres Unternehmens abgestimmt sind – praxisnah, verständlich und in Präsenz- oder digitalen Formaten umsetzbar.

DORA-Compliance dauerhaft sichern

Regulatorische Anforderungen entwickeln sich weiter – auch nach DORA. Wir begleiten Sie dauerhaft: mit regelmäßigen internen Audits, kontinuierlichem Monitoring aktueller DORA-Entwicklungen und neuer technischer Regulierungsstandards sowie schneller Reaktion auf neue Vorgaben. Bei Prüfungen stehen wir Ihnen mit einer gezielten Audit-Vorbereitung zur Seite. 

Wenn Ihr Unternehmen bereits konform zu NIS2 oder ISO 27001 aufgestellt ist, haben Sie eine gute Ausgangslage. Alle drei Rahmenwerke teilen grundlegende Prinzipien moderner Informationssicherheit: Sie verlangen ein strukturiertes Risikomanagement, klare Governance-Verantwortlichkeiten, dokumentierte Incident-Response-Prozesse und regelmäßige Überprüfungen und Audits. DORA geht aber in wesentlichen Punkten mit konkreten Anforderungen deutlich darüber hinaus, während NIS2 und ISO 27001 bis auf Ausnahmen mehr Flexibilität bieten.

Der entscheidende Unterschied: DORA ist eine sektorspezifische EU-Verordnung, die unmittelbar und verbindlich gilt. Sie fordert sehr konkrete Maßnahmenumsetzungen (insbesondere in den Bereichen Drittanbieter-Management, Resilienztests und standardisierte Meldepflichten) für Anforderungen, bei denen die NIS2 mehr Gestaltungsspielraum zulässt. Als EU-Verordnung gilt DORA unmittelbar und verbindlich, ohne nationalen Umsetzungsspielraum. NIS2 hingegen ist eine EU-Richtlinie, die im Dezember 2025 in nationales Recht überführt wurde, und ISO 27001 ist ein freiwilliger internationaler Standard ohne Rechtsbindung. Für betroffene Finanzunternehmen gilt ein klares Vorrangprinzip: DORA geht vor NIS2 (Lex specialis).

Die größten inhaltlichen Unterschiede liegen in drei Bereichen:

Meldepflichten: DORA und NIS2 schreiben jeweils strukturierte Meldeprozesse vor – die konkreten Fristen und Anforderungen unterscheiden sich jedoch im Detail und sind im Einzelfall sorgfältig zu prüfen. ISO 27001 macht Vorgaben zur Einrichtung von Meldewegen (sofern diese aus einer anderen Quelle erforderlich sind), kennt selbst jedoch keine verbindlichen Meldefristen.

Resilienztests: DORA verlangt strukturierte, regelmäßige Tests, inklusive TLPT für systemrelevante Institute. Resilienztests im Kontext von Business Continuity sind auch Anforderungen von NIS2 und ISO 27001, jedoch liegt hier die konkrete Umsetzung dieser Anforderungen und damit die Auswahl der spezifischen Tests im Ermessensspielraum der Unternehmen.

Drittanbieter-Governance: DORA fordert ein vollständiges IKT-Dienstleister-Register mit Risikobewertung, vertraglich verankerten Mindeststandards und laufender Überwachung. Das geht über die Anforderungen von NIS2 und ISO 27001 hinaus.

intersoft consulting analysiert Ihre bestehende Compliance-Landschaft und zeigt Ihnen präzise, welche DORA-Anforderungen noch offen sind. Damit Sie gezielt handeln können und keine Doppelarbeit leisten.

Unser Versprechen:

• Bei uns bekommen Sie eine persönliche Beratung durch individuell zugeteilte und zertifizierte Consultants mit spezifischem Branchenwissen im Finanzsektor.
• Wir erstellen Ihnen eine individuelle DORA-GAP-Analyse durch erfahrene und zertifizierte Informationssicherheitsexperten mit Branchenfokus auf den Finanzsektor.
• Wir geben Ihnen pragmatische Handlungsempfehlungen, die zu Ihrer Unternehmensgröße, Risikolage und Betriebsstruktur passen.
• Von uns bekommen Sie echte DORA-Konformität durch risikoorientierte Umsetzung – nicht nur Dokumentation, sondern nachweisbare operative Resilienz.
• Keine versteckten Kosten: Von uns können Sie jederzeit volle Kostentransparenz erwarten.

• Wir übernehmen gerne externe Schlüsselrollen für Ihr Unternehmen: Zertifizierte IKT-Risikomanager und externe Informationssicherheitsbeauftragte stehen auf Wunsch für Sie bereit.
• Wir bringen nachweisbare Erfahrung aus BAIT, KAIT und VAIT mit und übertragen dieses Regulierungswissen direkt auf Ihre DORA-Umsetzung.
• Mit unserem interdisziplinären Team aus Informationssicherheitsexperten und Volljuristen profitieren Sie von gebündeltem Know-how für jede Situation.
• Wir haben über 20 Jahre Expertise in der Finanzregulierung.

Die Qualität unserer DORA-Beratung wird durch fachliche Qualifikation und nachgewiesene Praxiserfahrung bestimmt. Vertrauen ist das Fundament jeder Compliance-Partnerschaft, was eine persönliche und individuelle Zusammenarbeit unverzichtbar macht.

Bei intersoft consulting vereinen praktische Expertise aus der Informationssicherheit und tiefes Fachwissen über regulatorische Anforderungen im Finanzsektor – von BAIT und VAIT bis hin zu DORA und NIS-2. Unsere Beratenden sind durch DEKRA- und TÜV-zertifizierte Schulungen qualifiziert und halten ihr Wissen durch kontinuierliche Fortbildungen auf dem aktuellen Stand.

Mit intersoft consulting erhalten Sie einen festen Ansprechpartner, der Ihre Unternehmensstruktur kennt und Ihre spezifischen DORA-Anforderungen versteht. So sparen Sie Zeit und interne Ressourcen.

Dank ihrer Unabhängigkeit und Neutralität können unsere Experten alle regulatorischen Aspekte objektiv bewerten, ohne dass interne Interessenkonflikte die Einschätzung beeinflussen. 

Praktische Erfahrung aus zahlreichen DORA-Projekten in unterschiedlichen Finanzunternehmen und Unternehmensgrößen ermöglicht es uns, rechtskonforme und zugleich pragmatisch umsetzbare Lösungen zu entwickeln. Wir kennen die typischen Schwachstellen und wissen, wo der größte Handlungsbedarf liegt.