Die europäische Verordnung über die digitale operationale Resilienz des Finanzsektors (DORA) verlangt von Finanzunternehmen - und in der Folge von ihren IKT-Dienstleistern - ein umfassendes Register der Verträge, präzise Vertragsklauseln und datierte Audit-Nachweise. SYAGA DORA-Express hilft Ihnen, diesen Anforderungen zu entsprechen, ohne zu improvisieren, ob Sie nun Finanzunternehmen oder Dienstleister sind.
DORA ist eine Verordnung, keine Richtlinie: sie gilt unmittelbar in allen Mitgliedstaaten, ohne dass eine nationale Umsetzung abgewartet werden muss.
Verordnung (EU) 2022/2554 vom 14. Dezember 2022, veröffentlicht im Amtsblatt der EU am 27. Dezember 2022, in Kraft getreten am 16. Januar 2023 und anwendbar seit dem 17. Januar 2025. Keine nationale Umsetzung erforderlich: sie ist unmittelbar anwendbar.
Jedes Finanzunternehmen muss ein vollständiges Register seiner IKT-Verträge führen und den Behörden jährlich übermitteln: Dienstleister, Art der Leistung, Kritikalität der Funktion, Land der Datenhaltung.
Prüfungs- und Kontrollrechte, Garantien zur Verfügbarkeit und Integrität der Daten, getestete Ausstiegspläne, unverzügliche Vorfallmeldung. Diese Klauseln werden von Ihrem Finanzkunden an Sie weitergegeben, wenn Sie sein IKT-Dienstleister sind.
Vor Abschluss oder Verlängerung eines Vertrags sendet eine Bank, ein Versicherer oder ein Investor einen Cyber-Fragebogen (Governance, MFA, EDR, Verschlüsselung, Sensibilisierung). Ohne dokumentierten Nachweis zu antworten kostet Sie den Auftrag.
Am 18.-19. November 2025 veröffentlichten die europäischen Aufsichtsbehörden (EBA, ESMA, EIOPA) die erste offizielle Liste der kritischen IKT-Drittdienstleister gemäß Artikel 32 von DORA. Unter den durch die offiziellen Mitteilungen bestätigten Namen: AWS EMEA Sarl, Microsoft Ireland Operations Limited, Google Cloud, Orange SA, Capgemini SE (sowie 14 weitere Dienstleister, die in unseren Quellen nicht namentlich bestätigt sind).
Konkrete Folge: Wenn Ihre kritischen Dienste auf einem dieser Anbieter beruhen, muss Ihr Finanzkunde dies nun in seinem IKT-Register dokumentieren - und kann Sie zu Ihrer eigenen Subunternehmerkette befragen.
Quelle: offizielle Mitteilungen von EIOPA und ESMA vom 18.-19. November 2025 (eiopa.europa.eu, esma.europa.eu).
Eine strukturierte Begleitung in 5 Schritten, um Ihre Konformität zu dokumentieren - ohne zu versprechen, was weder ein Tool noch eine Beratungsfirma an Ihrer Stelle zertifizieren kann.
Sind Sie ein direkt unterworfenes Finanzunternehmen (eine der 21 Kategorien nach Artikel 2) oder ein indirekt betroffener IKT-Dienstleister über die Vertragsklauseln Ihrer Finanzkunden (Artikel 30)? Der genaue Anwendungsbereich bestimmt alles Weitere.
Wir beantworten Ihren Due-Diligence-Fragebogen von Bank, Investor oder Versicherer (Governance, MFA, EDR, Verschlüsselung, Sensibilisierung...) und stützen uns dabei auf ein technisches Audit Ihres Microsoft-365-Tenants als datierten und überprüfbaren Nachweis.
Wir helfen Ihnen, Ihr IKT-Vertragsregister zu strukturieren (Art. 28 Abs. 3) und die Mindest- und verstärkten Vertragsklauseln von Artikel 30 in Ihren Dienstleisterverträgen zu prüfen oder zu integrieren.
Unsere PRA/PCA Suite bietet ein sektorspezifisches Profil Finanzen (DORA, PSD2, ACPR) an, das die Anforderungen an Tests der operationalen Resilienz aus Kapitel IV von DORA abdeckt, ausgerichtet an ISO 22301.
Übergabe an Ihre Geschäftsführung, Ihren CISO oder CFO einer konsolidierten Akte, mit den genauen Punkten, die von Ihrem Rechtsberater vor jeder Kommunikation an die Behörden zu klären sind.
Konkrete, quellenbelegte Leistungen, ohne ein Zertifizierungsversprechen, das niemand garantieren kann
10 typische Due-Diligence-Fragen für Bank/M&A, dokumentiert und mit Quellenangabe (ILPA DDQ, CSA CAIQ, Fragebögen von Cyber-Versicherern).
Quellenbelegte Zusammenfassung der Verordnung (EU) 2022/2554.
Struktur des von den Behörden geforderten umfassenden Registers.
Zur Integration oder Prüfung in Ihren IKT-Dienstleisterverträgen.
Business-Continuity- und Wiederherstellungsplan, dediziertes Branchenprofil.
PDF- und DOCX-Formate, die alle Leistungen konsolidieren.
Auszug aus den 10 Fragen, die wir für Sie dokumentieren, mit der Quelle jeder Frage
| Thema | Frage | Quelle |
|---|---|---|
| Governance | Stützt sich Ihre Sicherheitsrichtlinie auf ein anerkanntes Rahmenwerk (NIST, ISO 27001)? | ILPA DDQ 2.0 |
| Externe Prüfung | Führen Sie ein jährliches unabhängiges Audit und Penetrationstests durch? | CSA CAIQ v4 |
| Vorfallplan | Gibt es einen formalen, dokumentierten und gepflegten Incident-Response-Plan? | CSA CAIQ v4 / ILPA DDQ 2.0 |
| MFA | Für welche Dienste schreiben Sie eine Multi-Faktor-Authentifizierung vor? | Travelers - MFA Supplement |
| Privilegierte Konten | Folgen die Zugriffe dem Prinzip der geringsten Rechte und werden sie regelmäßig überprüft? | CSA CAIQ v4 IAM |
| Messaging | Welche M365-Lizenz nutzen Sie? Ist Defender / erweitertes Threat Hunting aktiv? | vCSO.ai Cyber DD Checklist |
| Verschlüsselung | Sind die Festplatten der Endgeräte vollständig verschlüsselt? | Google VSAQ |
| Schulung | Ist ein Sicherheitssensibilisierungsprogramm für alle Mitarbeiter etabliert? | CSA CAIQ v4 HRS |
Jede Leistung gibt ausdrücklich an, was sie abdeckt - und was nicht
IKT-Register (Art. 28), Vertragsklauseln (Art. 30), Meldefristen (Art. 19), Bezugnahme auf benannte kritische IKT-Dienstleister (Art. 32).
DORA ist eine lex specialis gegenüber NIS2 für den Finanzsektor: die betroffenen Einrichtungen wenden DORA anstelle der gleichwertigen NIS2-Maßnahmen an.
Das Finanzprofil PRA/PCA orientiert sich an ISO 22301, dem Rahmenwerk für Business-Continuity-Management, das ergänzend zu DORA verwendet wird.
Die DORA-Vorfallmeldung (ACPR/AMF, Behörden in Frankreich) ist von der DSGVO-Meldung (an die zuständige Datenschutzbehörde, in Frankreich die CNIL) bei einer Verletzung personenbezogener Daten zu unterscheiden: beide können gleichzeitig erforderlich sein.
Jede DORA-Akte ist je nach Ihrem Status unterschiedlich - in jedem Fall ein individuelles Angebot
Sie erbringen Leistungen für ein oder mehrere Finanzunternehmen
Sie unterliegen direkt DORA (eine der 21 Kategorien, Art. 2)
Regelmäßige Aktualisierung der Akte (Pflichten, Verträge, Register)
Kontaktieren Sie uns für ein individuelles Angebot je nach Ihrem Status (Finanzunternehmen oder IKT-Dienstleister).