VERORDNUNG (EU) 2022/2554 - ANWENDBAR SEIT DEM 17. JANUAR 2025

Ihre DORA-Konformität,
dokumentiert und verteidigungsfähig

Die europäische Verordnung über die digitale operationale Resilienz des Finanzsektors (DORA) verlangt von Finanzunternehmen - und in der Folge von ihren IKT-Dienstleistern - ein umfassendes Register der Verträge, präzise Vertragsklauseln und datierte Audit-Nachweise. SYAGA DORA-Express hilft Ihnen, diesen Anforderungen zu entsprechen, ohne zu improvisieren, ob Sie nun Finanzunternehmen oder Dienstleister sind.

17/01
Anwendbar seit 2025
21
Betroffene Kategorien von Einrichtungen (Art. 2)
4h
Frist für die Meldung eines schwerwiegenden Vorfalls
19
Bereits benannte kritische IKT-Dienstleister

Der regulatorische Kontext

DORA ist eine Verordnung, keine Richtlinie: sie gilt unmittelbar in allen Mitgliedstaaten, ohne dass eine nationale Umsetzung abgewartet werden muss.

DORA gilt unmittelbar seit dem 17. Januar 2025

Verordnung (EU) 2022/2554 vom 14. Dezember 2022, veröffentlicht im Amtsblatt der EU am 27. Dezember 2022, in Kraft getreten am 16. Januar 2023 und anwendbar seit dem 17. Januar 2025. Keine nationale Umsetzung erforderlich: sie ist unmittelbar anwendbar.

📋

Ein umfassendes IKT-Register wird verlangt (Art. 28 Abs. 3)

Jedes Finanzunternehmen muss ein vollständiges Register seiner IKT-Verträge führen und den Behörden jährlich übermitteln: Dienstleister, Art der Leistung, Kritikalität der Funktion, Land der Datenhaltung.

📄

Ihre Verträge müssen präzise Klauseln enthalten (Art. 30)

Prüfungs- und Kontrollrechte, Garantien zur Verfügbarkeit und Integrität der Daten, getestete Ausstiegspläne, unverzügliche Vorfallmeldung. Diese Klauseln werden von Ihrem Finanzkunden an Sie weitergegeben, wenn Sie sein IKT-Dienstleister sind.

📧

Der Due-Diligence-Fragebogen liegt bereits in Ihrem Postfach

Vor Abschluss oder Verlängerung eines Vertrags sendet eine Bank, ein Versicherer oder ein Investor einen Cyber-Fragebogen (Governance, MFA, EDR, Verschlüsselung, Sensibilisierung). Ohne dokumentierten Nachweis zu antworten kostet Sie den Auftrag.

Der Auslöser vom 18. November 2025

Ihre Cloud-Dienstleister wurden gerade offiziell als „kritisch" eingestuft

Am 18.-19. November 2025 veröffentlichten die europäischen Aufsichtsbehörden (EBA, ESMA, EIOPA) die erste offizielle Liste der kritischen IKT-Drittdienstleister gemäß Artikel 32 von DORA. Unter den durch die offiziellen Mitteilungen bestätigten Namen: AWS EMEA Sarl, Microsoft Ireland Operations Limited, Google Cloud, Orange SA, Capgemini SE (sowie 14 weitere Dienstleister, die in unseren Quellen nicht namentlich bestätigt sind).

Konkrete Folge: Wenn Ihre kritischen Dienste auf einem dieser Anbieter beruhen, muss Ihr Finanzkunde dies nun in seinem IKT-Register dokumentieren - und kann Sie zu Ihrer eigenen Subunternehmerkette befragen.

Quelle: offizielle Mitteilungen von EIOPA und ESMA vom 18.-19. November 2025 (eiopa.europa.eu, esma.europa.eu).

Unsere Antwort: DORA-Express

Eine strukturierte Begleitung in 5 Schritten, um Ihre Konformität zu dokumentieren - ohne zu versprechen, was weder ein Tool noch eine Beratungsfirma an Ihrer Stelle zertifizieren kann.

1
Schritt 1 - Qualifizierung

Ermitteln wir Ihre tatsächliche Betroffenheit

Sind Sie ein direkt unterworfenes Finanzunternehmen (eine der 21 Kategorien nach Artikel 2) oder ein indirekt betroffener IKT-Dienstleister über die Vertragsklauseln Ihrer Finanzkunden (Artikel 30)? Der genaue Anwendungsbereich bestimmt alles Weitere.

2
Schritt 2 - Due Diligence

Beantwortung Ihres Cyber-Fragebogens

Wir beantworten Ihren Due-Diligence-Fragebogen von Bank, Investor oder Versicherer (Governance, MFA, EDR, Verschlüsselung, Sensibilisierung...) und stützen uns dabei auf ein technisches Audit Ihres Microsoft-365-Tenants als datierten und überprüfbaren Nachweis.

3
Schritt 3 - Register und Verträge

IKT-Register und Klauseln nach Artikel 30

Wir helfen Ihnen, Ihr IKT-Vertragsregister zu strukturieren (Art. 28 Abs. 3) und die Mindest- und verstärkten Vertragsklauseln von Artikel 30 in Ihren Dienstleisterverträgen zu prüfen oder zu integrieren.

4
Schritt 4 - Kontinuität und Resilienz

BCP/DRP Branchenprofil Finanzsektor

Unsere PRA/PCA Suite bietet ein sektorspezifisches Profil Finanzen (DORA, PSD2, ACPR) an, das die Anforderungen an Tests der operationalen Resilienz aus Kapitel IV von DORA abdeckt, ausgerichtet an ISO 22301.

5
Schritt 5 - Übergabe

Eine dokumentierte Compliance-Akte

Übergabe an Ihre Geschäftsführung, Ihren CISO oder CFO einer konsolidierten Akte, mit den genauen Punkten, die von Ihrem Rechtsberater vor jeder Kommunikation an die Behörden zu klären sind.

Was Sie erhalten

Konkrete, quellenbelegte Leistungen, ohne ein Zertifizierungsversprechen, das niemand garantieren kann

📝

Antworten zur Cyber-Due-Diligence

10 typische Due-Diligence-Fragen für Bank/M&A, dokumentiert und mit Quellenangabe (ILPA DDQ, CSA CAIQ, Fragebögen von Cyber-Versicherern).

  • Sicherheitsrichtlinie / anerkanntes Rahmenwerk
  • MFA, Least Privilege, privilegierte Konten
  • M365-Lizenz, EDR / Threat Hunting
  • Legacy-Protokolle, Festplattenverschlüsselung
  • Sensibilisierungsprogramm
📄

DORA-Referenzblatt

Quellenbelegte Zusammenfassung der Verordnung (EU) 2022/2554.

  • Anwendungsbereich: 21 Kategorien von Einrichtungen (Art. 2)
  • 5 Pflichtenbereiche
  • Meldefristen (4 Std. / 72 Std. / 1 Monat)
  • Verhältnis zu NIS2 (lex specialis)
📋

IKT-Register (Vorlage Art. 28 Abs. 3)

Struktur des von den Behörden geforderten umfassenden Registers.

  • Dienstleister und Art der Leistung
  • Kritikalität der unterstützten Funktion
  • Land der Datenhaltung
  • Format bereit für die jährliche Übermittlung
🔐

Vertragsklauseln (Vorlage Art. 30)

Zur Integration oder Prüfung in Ihren IKT-Dienstleisterverträgen.

  • Mindestklauseln (alle Verträge)
  • Verstärkte Klauseln (kritische Funktionen)
  • Prüfungs- und Kontrollrechte
  • Ausstiegspläne und Extrahierbarkeit der Daten
🏗

BCP/DRP Finanzprofil

Business-Continuity- und Wiederherstellungsplan, dediziertes Branchenprofil.

  • Abdeckung Kapitel IV DORA (Resilienztests)
  • Ausgerichtet an ISO 22301
  • Sektorprofil DORA / PSD2 / ACPR
  • Aus unserer bestehenden PRA/PCA Suite
💾

Dokumentierte Compliance-Akte

PDF- und DOCX-Formate, die alle Leistungen konsolidieren.

  • Bereit für Geschäftsführung / CISO / CFO
  • Von Ihrem Anwalt zu prüfende Punkte gekennzeichnet
  • Grundlage für Ihren Austausch mit ACPR / AMF (Behörden in Frankreich)
  • Editierbar für die jährliche Aktualisierung

Ein Beispiel: der Due-Diligence-Fragebogen einer Bank

Auszug aus den 10 Fragen, die wir für Sie dokumentieren, mit der Quelle jeder Frage

Thema Frage Quelle
Governance Stützt sich Ihre Sicherheitsrichtlinie auf ein anerkanntes Rahmenwerk (NIST, ISO 27001)? ILPA DDQ 2.0
Externe Prüfung Führen Sie ein jährliches unabhängiges Audit und Penetrationstests durch? CSA CAIQ v4
Vorfallplan Gibt es einen formalen, dokumentierten und gepflegten Incident-Response-Plan? CSA CAIQ v4 / ILPA DDQ 2.0
MFA Für welche Dienste schreiben Sie eine Multi-Faktor-Authentifizierung vor? Travelers - MFA Supplement
Privilegierte Konten Folgen die Zugriffe dem Prinzip der geringsten Rechte und werden sie regelmäßig überprüft? CSA CAIQ v4 IAM
Messaging Welche M365-Lizenz nutzen Sie? Ist Defender / erweitertes Threat Hunting aktiv? vCSO.ai Cyber DD Checklist
Verschlüsselung Sind die Festplatten der Endgeräte vollständig verschlüsselt? Google VSAQ
Schulung Ist ein Sicherheitssensibilisierungsprogramm für alle Mitarbeiter etabliert? CSA CAIQ v4 HRS

Abgedeckte Texte und Rahmenwerke

Jede Leistung gibt ausdrücklich an, was sie abdeckt - und was nicht

DO

DORA (Verordnung (EU) 2022/2554)

IKT-Register (Art. 28), Vertragsklauseln (Art. 30), Meldefristen (Art. 19), Bezugnahme auf benannte kritische IKT-Dienstleister (Art. 32).

N2

NIS2 - Verhältnis zu DORA

DORA ist eine lex specialis gegenüber NIS2 für den Finanzsektor: die betroffenen Einrichtungen wenden DORA anstelle der gleichwertigen NIS2-Maßnahmen an.

ISO

ISO 22301 - Geschäftskontinuität

Das Finanzprofil PRA/PCA orientiert sich an ISO 22301, dem Rahmenwerk für Business-Continuity-Management, das ergänzend zu DORA verwendet wird.

RG

DSGVO - gesonderte Meldung

Die DORA-Vorfallmeldung (ACPR/AMF, Behörden in Frankreich) ist von der DSGVO-Meldung (an die zuständige Datenschutzbehörde, in Frankreich die CNIL) bei einer Verletzung personenbezogener Daten zu unterscheiden: beide können gleichzeitig erforderlich sein.

Eine auf Ihre Situation zugeschnittene Begleitung

Jede DORA-Akte ist je nach Ihrem Status unterschiedlich - in jedem Fall ein individuelles Angebot

IKT-Dienstleister

Sie erbringen Leistungen für ein oder mehrere Finanzunternehmen

Angebot
je nach Umfang
  • Antwort Cyber-Due-Diligence
  • IKT-Register auf Dienstleisterseite
  • Prüfung der Klauseln nach Artikel 30
  • Dokumentierte, übermittlungsfertige Akte
Angebot anfordern

Jährliche Betreuung

Regelmäßige Aktualisierung der Akte (Pflichten, Verträge, Register)

Angebot
wiederkehrend
  • Aktualisierung des IKT-Registers
  • Jährliche Überprüfung der Vertragsklauseln
  • Überwachung der benannten kritischen Dienstleister
  • Support für Ihre Kunden-Due-Diligences
Angebot anfordern

Häufig gestellte Fragen

Ist mein Unternehmen ein von DORA betroffenes Finanzunternehmen?
Artikel 2 von DORA listet 21 Kategorien von Finanzunternehmen auf: Kredit- und Zahlungsinstitute, Wertpapierfirmen, gemäß MiCA zugelassene Krypto-Dienstleister, Versicherung und Rückversicherung, Fondsverwaltung, Ratingagenturen und weitere. Kleinstunternehmen (weniger als 10 Mitarbeiter, Umsatz oder Bilanzsumme unter 2 Mio. €) profitieren bei bestimmten Pflichten von einer Proportionalität, sind jedoch nicht vollständig ausgenommen. Im Einzelfall mit einem Rechtsberater zu prüfen.
Ich bin keine Bank, warum betrifft mich DORA trotzdem?
Wenn Sie einem Finanzunternehmen IKT-Leistungen erbringen (IT, Cloud, Software, Hosting), verpflichtet Artikel 30 Ihren Kunden, Sie in sein Register aufzunehmen und Ihnen vertraglich präzise Klauseln aufzuerlegen: Prüfungsrechte, unverzügliche Vorfallmeldung, Ausstiegspläne. Diese Pflichten laufen über den Vertrag Ihres Kunden, nicht über eine direkte Aufsicht der Behörde - außer Sie werden selbst als kritischer IKT-Dienstleister benannt (Artikel 31).
Welche Fristen gelten für die Meldung eines schwerwiegenden IKT-Vorfalls?
Artikel 19: Erstmeldung innerhalb von 4 Stunden nach der Einstufung als schwerwiegender Vorfall (spätestens 24 Stunden nach der Entdeckung), Zwischenbericht innerhalb von 72 Stunden, Abschlussbericht innerhalb von 1 Monat. Diese Meldungen sind von einer etwaigen DSGVO-Meldung an die zuständige Datenschutzbehörde (in Frankreich die CNIL) bei einer Verletzung personenbezogener Daten zu unterscheiden.
Was ist ein „kritischer IKT-Dienstleister“?
Das sind Dienstleister, die von den europäischen Aufsichtsbehörden (EBA, ESMA, EIOPA) ausdrücklich nach Kriterien der systemischen Auswirkung, Substituierbarkeit und Abhängigkeit benannt werden (Artikel 31). Die erste offizielle Liste, veröffentlicht am 18.-19. November 2025, umfasst 19 Dienstleister. Sie unterliegen einer direkten Aufsicht (Inspektionen, erweitertes Reporting); die übrigen IKT-Dienstleister bleiben nur durch die Vertragsklauseln ihrer Finanzkunden geregelt.
Ersetzt DORA NIS2 für meinen Sektor?
Ja, für Finanzunternehmen im Sinne von Artikel 2: DORA stellt eine lex specialis gegenüber NIS2 für den Finanzsektor dar. Die 21 betroffenen Kategorien wenden DORA anstelle der gleichwertigen NIS2-Maßnahmen zum Risikomanagement und zur Vorfallmeldung an.
Stellt diese Leistung eine Rechtsberatung dar?
Nein. DORA-Express ist ein Werkzeug zur Dokumentationsunterstützung, keine Rechtsberatung. Die genaue Unterwerfung Ihrer Organisation unter DORA und die rechtliche Konformität Ihrer Verträge müssen vor jeder verbindlichen Entscheidung von einem spezialisierten Anwalt bestätigt werden.

Bereit, Ihre DORA-Konformität zu dokumentieren?

Kontaktieren Sie uns für ein individuelles Angebot je nach Ihrem Status (Finanzunternehmen oder IKT-Dienstleister).

DORA-Express ist ein Werkzeug zur Dokumentationsunterstützung und stellt keine Rechtsberatung dar. Die Unterwerfung Ihrer Organisation unter DORA sowie die rechtliche Gültigkeit Ihrer Verträge und Register müssen von einem spezialisierten Anwalt bestätigt werden.