DORA

DORA Readiness für Finanzunternehmen in der Cloud

DORA gilt seit Januar 2025, und die Aufsicht ist aktiv. Ich mappe Ihre Cloud-Landschaft auf die IKT-Risiko-Anforderungen, baue das Informationsregister auf und bereite Resilienz-Tests und Incident-Reporting vor. Die rechtliche Bewertung bleibt bei Ihrer Kanzlei.

  • IKT-Risiko
  • Informationsregister
  • Resilienz-Tests
  • Art. 28/30

Auftrags-Snapshot

Ab 2.500 €

Assessment

1 Wo.

bis Ergebnisse

Festpreis

keine Bindung

Das erhalten Sie

  • Ein IKT-Risikorahmen-Mapping, das Ihre reale Cloud-Landschaft abbildet
  • Ein Informationsregister über Ihre Cloud- und IKT-Drittanbieter
  • Vorbereitete Resilienz-Tests und Incident-Reporting-Runbooks mit Ownern und Fristen

Das Problem - und was sich ändert.

Das Problem

Finanzunternehmen in der Cloud tragen DORA-Pflichten, gegen die ihre Plattform nie gemappt wurde: ein IKT-Risikorahmen, der die reale Landschaft abdecken muss, ein Informationsregister über alle IKT-Drittanbieter, Resilienz-Tests und Incident-Reporting mit harten Fristen. Die meisten Teams haben Fragmente davon in Verträgen und Wikis - nichts, dem ein Prüfer folgen könnte.

Das erhalten Sie

  • Ein IKT-Risikorahmen-Mapping, das Ihre reale Cloud-Landschaft abbildet
  • Ein Informationsregister über Ihre Cloud- und IKT-Drittanbieter
  • Vorbereitete Resilienz-Tests und Incident-Reporting-Runbooks mit Ownern und Fristen
  • Vertragsklauseln (DORA Art. 30; Register nach Art. 28) je Anbieter markiert, bereit zur juristischen Freigabe

Für wen es passt - und wie lange es dauert.

Ideal für

  • Finanzunternehmen im DORA-Anwendungsbereich: Banken, Versicherer, Zahlungs- und Krypto-Firmen sowie ihre kritischen IKT-Dienstleister
  • Teams, die BaFin oder ihrer Aufsicht ein Informationsregister und einen IKT-Risikorahmen vorlegen müssen
  • Cloud-Plattformen aus der Zeit vor DORA, deren Nachweis-Trail nachgerüstet werden muss

Typischer Zeitrahmen

Einwöchiges Assessment für die DORA-Gap-Map, dann eine typischerweise 4–8-wöchige Readiness-Phase, zugeschnitten auf die Befunde.

Was enthalten ist

Im Auftrag enthalten.

IKT-Risikorahmen-Mapping

Ihre Cloud-Accounts, Workloads und Abhängigkeiten gemappt auf DORAs IKT-Risikomanagement-Anforderungen, mit Lücken priorisiert nach Risiko und Aufwand.

Informationsregister

Das IKT-Drittanbieter-Register, aufgebaut aus Ihrem realen Bestand - Cloud-Provider, SaaS, Unterauftragsverarbeiter - in einer Struktur, die Ihre Aufsicht verarbeiten kann.

Resilienz- & Incident-Readiness

Vorbereitung der digitalen operationalen Resilienz-Tests sowie Incident-Klassifizierungs- und Reporting-Runbooks passend zu DORAs Fristen.

Vertrags- & Auslagerungs-Vorprüfung

Anbieterverträge gegen die Vertragsklauseln nach DORA Art. 30 und BaFin-Auslagerungserwartungen geprüft.

Was geliefert wird - und wie es abläuft.

Ergebnisse

  • DORA-Gap-Map über die fünf Säulen, priorisiert mit Ownern
  • Informationsregister für Ihre Cloud- und IKT-Drittanbieter
  • Incident-Reporting-Runbook mit Klassifizierungs- und Fristenmatrix
  • Resilienz-Testplan und Nachweisstruktur
  • Vertragsklausel-Checkliste je Anbieter für die juristische Freigabe

Wie es abläuft

  1. 01

    Mappen

    Ihre Cloud-Landschaft und IKT-Drittabhängigkeiten werden gegen DORAs Anforderungen gemappt. Sie erhalten eine priorisierte Gap-Liste.

  2. 02

    Aufbauen

    Informationsregister, Incident-Runbooks und Resilienz-Testvorbereitung entstehen aus dem realen Bestand, als wartbare Artefakte.

  3. 03

    Proben

    Incident-Reporting und Nachweisabruf werden geprobt, damit eine Prüferanfrage zur Routine wird.

Preise

Festpreis-Assessment, dann definierte Readiness-Arbeit

Die meisten Engagements starten mit dem einwöchigen Quick Assessment mit DORA-Fokus, dann folgt eine Festpreis-Readiness-Phase.

Assessment

Ab 2.500 €

Projektarbeit

800–1.400 € / Tag

Umfang

Festpreis möglich

FAQ

Ist DORA 2026 noch relevant?

Ja. DORA gilt seit dem 17. Januar 2025, und die Aufsicht ist aktiv: Behörden sammeln Informationsregister ein und prüfen IKT-Risikorahmen. Die Frage ist nicht mehr Vorbereitung, sondern ob Ihre Nachweise einer Anfrage standhalten.

Sind wir im DORA-Anwendungsbereich?

DORA erfasst die meisten EU-Finanzunternehmen - Banken, Versicherer, Wertpapier- und Zahlungsinstitute, Krypto-Dienstleister - und reicht bis zu ihren kritischen IKT-Drittanbietern. Ob ein konkretes Unternehmen oder ein Service erfasst ist, ist eine juristische Feststellung; ich arbeite auf Basis der Scoping-Entscheidung Ihrer Kanzlei.

Können Sie das Informationsregister erstellen?

Ja. Ich baue es aus Ihrem realen Cloud- und Anbieterbestand auf, ausgerichtet an den ESA-Vorlagen, und richte den Prozess ein, der es aktuell hält. Die Einreichung verantwortet Ihre Compliance-Funktion.

Wie verhält sich das zu den BaFin-Auslagerungsregeln?

DORA löst weite Teile der bisherigen Auslagerungsvorgaben ab, aber BaFin-Erwartungen prägen Prüfungen in Deutschland weiterhin. Die Vertrags- und Exit-Strategie-Vorbereitung deckt beide Blickwinkel ab; die finale Formulierung liegt bei Ihrer Kanzlei.

Übernehmen Sie die rechtliche Bewertung?

Nein. Ich verantworte die Engineering- und Dokumentationsseite: Mapping, Register, Runbooks, Nachweise. Die Auslegung von Anwendungsbereich und Vertragsformulierungen bleibt bei Ihrer Rechtsberatung; ich liefere ihr zu, in ihrer Sprache.

Beginnen Sie mit einer Woche.

Das Quick Assessment deckt diesen Bereich ab und beginnt bei 2.500 €.