Navigation
Drittparteienmanagement
DORA-Grundlagen
NIS2-Grundlagen
Praxis-Guides
Checklisten
Vergleiche
Glossar

Häufige Fragen zu DORA-Compliance

Die 15 häufigsten Fragen, die uns kleine Finanzinstitute zur DORA-Umsetzung stellen.

Allgemein

Gilt DORA auch für uns als kleines Institut?

Ja. DORA gilt für alle regulierten Finanzunternehmen in der EU, unabhängig von der Größe. Es gibt keine Ausnahme für kleine Institute. Der Umfang der Anforderungen ist identisch — nur bestimmte Testanforderungen (TLPT) gelten erst ab einer Schwelle.

Seit wann ist DORA in Kraft?

DORA gilt seit dem 17. Januar 2025 unmittelbar in allen EU-Mitgliedstaaten. Es gibt keine Übergangsfrist mehr. Institute müssen die Anforderungen jetzt erfüllen.

Was passiert bei Non-Compliance?

Die BaFin kann Maßnahmen anordnen, Bußgelder verhängen und im Extremfall Geschäftsaktivitäten einschränken. Noch kritischer: Prüfungsfeststellungen können das Vertrauensverhältnis zur Aufsicht nachhaltig belasten.

Register of Information (RoI)

Was genau ist das Register of Information?

Das RoI ist ein strukturiertes Verzeichnis aller ICT-Dienstleistungsvereinbarungen. Es enthält Informationen zu Dienstleistern, Verträgen, ICT-Systemen, Funktionszuordnungen und Subunternehmer-Ketten — im von der EBA definierten Format.

Reicht eine Excel-Tabelle als RoI?

Grundsätzlich schreibt DORA kein bestimmtes Tool vor. In der Praxis wird Excel bei mehr als 10-20 Dienstleistern schnell zum Problem: Keine Validierung (Tippfehler im LEI-Code?), kein Audit-Trail (wer hat wann was geändert?), kein automatischer EBA-Format-Export.

Die Frage ist nicht, ob es heute funktioniert — sondern ob es bei der nächsten Prüfung standhält.

Wie oft muss das RoI aktualisiert werden?

DORA verlangt ein aktuelles Register. In der Praxis bedeutet das: Bei jeder Änderung an Dienstleisterbeziehungen — neuer Vertrag, Kündigung, Änderung der Subunternehmer-Kette. Mindestens quartalsweise sollte eine vollständige Überprüfung stattfinden.

Verträge (Art. 30)

Müssen alle bestehenden Verträge angepasst werden?

Wenn bestehende Verträge die Pflichtklauseln nach Art. 30 nicht enthalten, müssen sie ergänzt werden — typischerweise durch Nachträge (Addenda). Das betrifft in der Praxis die Mehrheit der Verträge, da die meisten ICT-Standardverträge vor DORA geschlossen wurden.

Was ist, wenn der Dienstleister sich weigert, den Vertrag anzupassen?

Das ist ein häufiges Problem, besonders bei großen Cloud-Anbietern. Dokumentieren Sie den Versuch und die Ablehnung. Prüfen Sie, ob der Anbieter zentrale Compliance-Dokumente bereitstellt (viele Hyperscaler tun das). Bewerten Sie das Risiko und dokumentieren Sie Ihre Entscheidung.

Risikobewertung

Was ist eine TPRA?

TPRA steht für Third-Party Risk Assessment — die Risikobewertung Ihrer ICT-Dienstleister. DORA verlangt eine quantitative Bewertung anhand nachvollziehbarer Kriterien, nicht nur subjektive Einschätzungen.

Welche Scoring-Modelle gibt es?

Gängige Modelle bewerten Dienstleister anhand von Dimensionen wie:

  • IRP (Inherent Risk Profile) — Grundrisiko basierend auf Datentyp, Kritikalität, Standort
  • CPS (Control Performance Score) — Wie gut managt der Dienstleister seine Risiken?
  • RRS (Residual Risk Score) — Verbleibendes Risiko nach Berücksichtigung der Kontrollen

Kosten und Aufwand

Wie teuer ist DORA-Compliance?

Das hängt vom Ausgangszustand ab. Die größten Kostentreiber sind:

  • Berater: EUR 1.500+ pro Tag, oft 20-40 Tage für die initiale Umsetzung
  • Interne Arbeitszeit: Compliance Officer, ISB, IT — oft wochenlang gebunden
  • Tools: Von kostenlos (Excel) bis sechsstellig (Enterprise GRC)

Für kleine Institute ist der pragmatischste Weg: Spezialsoftware statt Enterprise-GRC, ergänzt durch punktuelle Beratung.

Brauchen wir einen externen Berater?

Nicht zwingend. Berater sind wertvoll für den initialen Aufbau und die Strategie. Aber DORA ist kein Einmalprojekt — es braucht ein System, das nach dem Berater-Projekt weiterlebt. Die ideale Kombination: Berater für die Strategie, Software für den laufenden Betrieb.

Datensicherheit

Wie sicher sind Cloud-basierte DORA-Tools?

Achten Sie auf: EU-Hosting (idealerweise Deutschland), Verschlüsselung in Transit und at Rest, Mandantentrennung, Audit-Logging und klare Regelungen zur AI-Datenverarbeitung (keine Nutzung für Modell-Training, Zero-Retention-Agreements).

Dürfen wir Vertragsdaten in der Cloud verarbeiten?

Ja, mit entsprechender vertraglicher Absicherung (AVV/DPA). Wichtig: Die Cloud-Verarbeitung muss in Ihrem eigenen DORA-Compliance-Prozess berücksichtigt werden — auch Ihr DORA-Tool ist ein ICT-Dienstleister.