So werden Sie als SaaS- oder Softwareanbieter DORA-konform (Leitfaden 2025)

Einführung in die DORA-Compliance

Der Digital Operational Resilience Act (DORA) ist eine wegweisende EU-Verordnung, die sicherstellen soll, dass Finanzunternehmen digitale Störungen widerstehen und sich davon erholen können. DORA-Compliance ist inzwischen eine zentrale Anforderung für Finanzinstitute und deren Technologiepartner, einschließlich SaaS- und Softwareanbieter. Mithilfe einer strukturierten DORA-Compliance-Checkliste lassen sich die Pflichten systematisch adressieren – von IKT-Risikomanagement und Incident Reporting über Resilience-Tests bis hin zu Third-Party-Risk-Management.

DORA-Compliance bedeutet mehr als nur Häkchen zu setzen; es geht um echte operationale Resilienz. Dazu gehören das Identifizieren und Reduzieren von IKT-Risiken, die Vorbereitung auf potenzielle Incidents und die Absicherung sowohl interner Systeme als auch von Third-Party-Providern. Für Finanzunternehmen ist operationale Resilienz nicht nur eine aufsichtsrechtliche Erwartung, sondern auch ein Wettbewerbsvorteil, um Vertrauen bei Kunden und Partnern in einer zunehmend digitalen Finanzwelt zu bewahren. Die Verordnung über die digitale operationale Resilienz (DORA) setzt einen neuen Standard dafür, wie Finanzinstitute Risikomanagement, Resilience-Tests und kontinuierliche Compliance im digitalen Zeitalter angehen.

DORA-Anforderungen verstehen

Um DORA-Compliance zu erreichen, müssen Finanzunternehmen die Kernanforderungen der Verordnung verstehen und umsetzen. DORA basiert auf fünf zentralen Säulen: IKT-Risikomanagement, Incident Reporting, Digital Operational Resilience Testing, Third-Party-Risk-Management und Governance. Jede Säule ist essenziell für einen ganzheitlichen Ansatz zur digitalen operationalen Resilienz.

Im Zentrum steht ein robustes IKT-Risikomanagement-Framework, das verlangt, Risiken über alle Systeme und Prozesse hinweg zu identifizieren, zu bewerten und zu mitigieren. Es müssen Meldeprotokolle für Incidents etabliert werden, um bei IKT-bezogenen Vorfällen zeitnah mit Aufsichtsbehörden und Stakeholdern zu kommunizieren. Regelmäßige Resilience-Tests – einschließlich Threat-Led Penetration Testing (TLPT) – sind vorgeschrieben, um die Wirksamkeit von Security-Kontrollen und Reaktionsfähigkeiten zu validieren. Ein weiterer Schwerpunkt ist das Third-Party-Risk-Management: Finanzinstitute sollen die Resilienz aller Third-Party-IKT-Anbieter bewerten und überwachen. Durch die Ausrichtung von IKT-Systemen, Governance-Strukturen und Risikoprozessen an den DORA-Anforderungen stellen Finanzunternehmen sicher, dass sie sowohl für aufsichtsrechtliche Prüfungen als auch reale digitale Bedrohungen gewappnet sind.

Mit dem Inkrafttreten am 17. Januar 2025 müssen Softwareanbieter, Cloud-Provider und SaaS-Unternehmen, die Finanzinstitute in der EU unterstützen, strenge Compliance-Anforderungen erfüllen. DORA gilt zudem für Finanzorganisationen und IKT-Dienstleister, die in der EU tätig sind oder sie bedienen, und reicht damit über klassische Banken und Versicherer hinaus.

DORA führt eine neue Baseline für operationale Resilienz, Risikomanagement und IKT-Aufsicht ein – und diese gilt nicht nur für Banken und Versicherer, sondern auch für Third-Party-IKT-Anbieter. Dazu zählen Ihre Infrastruktur, Prozesse, Dokumentation und sogar Subunternehmer.

Informations- und Kommunikationstechnologie (IKT) spielt eine zentrale Rolle, um unter DORA operationale Resilienz und regulatorische Compliance sicherzustellen. Ein wirksames IKT-Management ist entscheidend, um rechtliche Anforderungen zu erfüllen und robuste Risikomanagement-Frameworks zu unterstützen.

Europäische Aufsichtsbehörden wie die European Banking Authority (EBA), die European Insurance and Occupational Pensions Authority (EIOPA) und weitere ESAs sind für die Überwachung der DORA-Compliance zuständig und setzen regulatorische Standards für IKT-Risikomanagement und operationale Resilienz im EU-Finanzsektor.

Dieser Leitfaden zeigt Schritt für Schritt, wie Sie Ihr Unternehmen auf die DORA-Compliance vorbereiten – ob als SaaS-Plattform, API-Provider, Cloud-Anbieter oder Softwareentwicklungspartner. Er betont die Bedeutung der Einhaltung der DORA-Anforderungen und eines belastbaren Compliance-Prozesses, um die kontinuierliche Adhärenz sicherzustellen.

Für wen ist dieser Guide gedacht?

• CTOs und Heads of DevOps bei Softwareanbietern
• Compliance-Beauftragte in B2B-SaaS-Unternehmen
• CEOs/Gründer von Tech-Unternehmen mit Finanzinstituten als Kunden
• Produkt- oder Plattform-Teams, die sich auf Audits oder RFPs vorbereiten

Wenn Ihre Kunden Banken, Investmentfirmen, Versicherer oder Fintechs in der EU sind, ist dieser Guide für Sie.

DORA-Compliance-Checkliste: Überblick

Ein High-Level-Überblick darüber, was eine umfassende DORA-Compliance-Checkliste abdecken sollte:

Es ist außerdem wichtig, über DORA-Compliance-Termine informiert zu bleiben, um alle Fristen rechtzeitig einzuhalten.

Schritt-für-Schritt-Plan zur DORA-Compliance

Schritt 1: Prüfen, ob Sie im Scope sind

Fragen Sie sich:

• Entwickeln, hosten oder unterstützen wir Systeme, die von regulierten Finanzunternehmen genutzt werden?
• Ist unser SaaS/unsere Plattform in Workflows von Banken oder Versicherern integriert?
• Fragen Beschaffungs- oder Verlängerungsunterlagen nach IKT-Risiken?
• Gehört unsere Organisation unter DORA zu den Finanzinstituten?

Wenn Sie eine dieser Fragen mit Ja beantworten: Sie sind im Scope.

Dieser Schritt hilft, Lücken in Ihrer aktuellen Compliance-Position zu identifizieren.

Schritt 2: IKT-Assets und Abhängigkeiten erfassen

Erstellen Sie ein vollständiges Inventar von:

• Kernsystemen und Datenflüssen
• Cloud- und Hosting-Infrastruktur (AWS, GCP, Azure)
• APIs und Third-Party-Integrationen
• Unterbeauftragten Tech-Partnern oder Vendors

Nutzen Sie eine visuelle Karte oder ein Abhängigkeitsdiagramm, um Beziehungen und potenzielle Single Points of Failure zu dokumentieren – das Mapping von Abhängigkeiten ist entscheidend, um IKT-Störungen vorwegzunehmen und zu managen.

Schritt 3: Ein Risikomanagement-Framework aufbauen oder anpassen

Sie benötigen ein dokumentiertes System für:

• Identifizierung und Kategorisierung von IKT-Risiken
• Definition von Mitigationsmaßnahmen und Verantwortlichen
• Monitoring von Risikoexposure und Kontrollen
• Regelmäßige Reviews (z. B. quartalsweise)
• Regelmäßige Risiko-Assessments zur Bewertung der Vendor-Compliance und der gesamten Security-Posture

Robuste Risikomanagement-Strategien und ein solches Framework sind essenziell, um DORA-Anforderungen zu erfüllen und operationale Resilienz im Finanzsektor sicherzustellen.

📄 Nutzen Sie Vorlagen, um diesen Schritt zu beschleunigen.

Schritt 4: Incident-Response-Plan vorbereiten

Der Plan muss abdecken:

• Erkennung und Klassifizierung von Incidents, einschließlich IKT-Vorfällen, sowie Verfahren zur Reaktion auf eine Datenpanne
• Interne Eskalationsverfahren
• 24-Stunden-Meldepflichten nach außen
• Wiederanlauf- und Behebungsprozesse
• Kommunikationsflüsse mit Kunden, Aufsehern und zentralen Stakeholdern für eine koordinierte Reaktion im Incident-Management
• Etablierung von Protokollen zur Meldung IKT-bezogener Incidents, einschließlich schwerwiegender Incidents, um regulatorische Vorgaben fristgerecht zu erfüllen

💡 Planen Sie mindestens jährlich Incident-Response-Tests/Simulationen ein.

Schritt 5: Resilience-Testing planen

DORA erwartet nachweisbare, nicht nur theoretische Resilienz. Das bedeutet:

• Penetrationstests exponierter Systeme
• Tabletop-Übungen mit Ausfallszenarien
• Resilience-Tests zur Bewertung der Wiederherstellungsfähigkeit Ihrer Organisation
• Red Teaming (oder TLPT) für besonders kritische Services

Resilience-Testing hilft, Ihre Security-Posture realistisch zu bewerten und zu verbessern, damit Sie auf echte Incidents besser vorbereitet sind.

TLPT = Threat-Led Penetration Testing, oft von großen Finanzkunden gefordert.

Sie müssen TLPT nicht zwingend selbst durchführen, sollten aber auf die Teilnahme vorbereitet sein.

Schritt 6: Vendor Risk Management etablieren

Dieser Schritt wird oft übersehen. Dokumentieren Sie:

• Wer Ihre Tech-Vendors sind (Cloud, CI/CD, Logging etc.)
• Welche Services sie bereitstellen
• SLAs sowie Verfügbarkeits-/Recovery-Vorgaben
• Risikoklassifizierung und Ersatzstrategien
• Regelmäßige Vendor-Risikoassessments zur Sicherstellung kontinuierlicher Compliance und operativer Resilienz

Überwachen Sie Ihre Vendors zudem kontinuierlich, um Datenpannen und andere Sicherheitsvorfälle zu verhindern. Eine DORA-Gap-Analyse Ihres Vendor-Managements hilft, Lücken zu erkennen und zu schließen und so Ihre IKT-Resilienz zu stärken.

🛠️ Tools wie Vendor-Scorecards oder Risikoregister machen das skalierbar.

Schritt 7: Governance und Ownership festlegen

DORA verlangt Verantwortlichkeit auf Vorstandsebene. Das heißt:

• C-Level-Überwachung von IKT-Risiken und Kontinuität
• Dokumentierte Verantwortlichkeiten und Eskalationspfade
• Jährliche Reviews und strategische Ausrichtung
• Compliance-Teams unterstützen Governance-Aktivitäten, automatisieren Workflows und stellen laufende Regeltreue sicher

Der Vorstand ist zudem für die Genehmigung und Überwachung digitaler Resilienzstrategien verantwortlich, um eine wirksame Umsetzung und Top-Level-Buy-in sicherzustellen.

📋 Erstellen Sie Vorstandspräsentationsvorlagen oder Dashboards zur Kommunikation der Risikolage.

Schritt 8: Gap-Analyse gegen DORA durchführen

Bevor Sie sich bereit erklären:

• Prüfen Sie sämtliche erstellte Dokumentation
• Vergleichen Sie Stack und Prozesse mit der DORA-Baseline
• Führen Sie eine DORA-Gap-Analyse zur Bewertung Ihrer Alignments mit den DORA-Anforderungen durch
• Simulieren Sie ein Probe-Audit mit internen oder externen Prüfern

So identifizieren Sie Lücken, adressieren DORA-Anforderungen und erreichen sowie halten Ihre Compliance.

✅ Nutzen Sie eine Checkliste, damit kein Bereich ausgelassen wird.

Kontinuierliches Monitoring für dauerhafte Compliance

DORA-Compliance ist keine Einmalübung – sie erfordert kontinuierliches Monitoring und Anpassung. Finanzunternehmen müssen ihre IKT-Systeme, Prozesse und Governance regelmäßig bewerten, um neue Risiken und Schwachstellen zu erkennen. Dazu gehören regelmäßige IKT-Risikoassessments, das Monitoring der Leistung und Sicherheit von Third-Party-IKT-Anbietern sowie die Überprüfung von Incident-Response-Plänen auf Wirksamkeit.

Der Einsatz von Technologie, etwa Enterprise-Architecture-Tools, kann laufendes Monitoring und Reporting automatisieren und die Ausrichtung an DORA vereinfachen. Kontinuierliches Monitoring ermöglicht es Finanzinstituten, neue Cyberbedrohungen schnell zu erkennen und zu reagieren, regulatorische Änderungen zu adaptieren und Betriebsunterbrechungen frühzeitig zu adressieren. Durch die Verankerung regelmäßiger IKT-Risikoassessments und Third-Party-Reviews in den Compliance-Prozessen sichern Organisationen nachhaltige operationale Resilienz und laufende Compliance mit dem Digital Operational Resilience Act.

Intelligence Sharing: Zusammenarbeit für mehr Resilienz

DORA erkennt an, dass operationale Resilienz durch Zusammenarbeit und den Austausch von Intelligence im Finanzsektor gestärkt wird. Durch das Teilen von Threat Intelligence und Best Practices können Finanzunternehmen gemeinsam aufkommende digitale Bedrohungen identifizieren und ihre Incident-Response-Fähigkeiten verbessern. Die Teilnahme an branchenweiten Plattformen und regulatorischen Foren hält Institute über aktuelle Risiken und Gegenmaßnahmen auf dem Laufenden und stärkt zugleich die Resilienz des Gesamtsystems.

Dieser kollaborative Ansatz verbessert nicht nur die individuelle Security-Posture, sondern erhält auch das Vertrauen von Kunden und Partnern. Gemeinsam können Finanzunternehmen Störungen besser antizipieren und darauf reagieren – für Stabilität und Sicherheit des Finanzsektors insgesamt.

Wartung und Review: Ihr DORA-Programm aktuell halten

Laufende Pflege und regelmäßige Reviews sind entscheidend, um Ihr DORA-Compliance-Programm wirksam und aktuell zu halten. Finanzunternehmen sollten ihr IKT-Risikomanagement, ihre Incident-Response-Pläne und ihr Third-Party-Risk-Management regelmäßig prüfen und an technologische, betriebliche und regulatorische Änderungen anpassen.

Regelmäßige Gap-Analysen decken Bereiche mit möglicher Non-Compliance auf, während Vendor-Risiko- und Business-Continuity-Bewertungen sicherstellen, dass alle Aspekte der operationalen Resilienz abgedeckt sind. Auch Investitionen in Schulungen sind zentral, damit Mitarbeitende DORA-Anforderungen verstehen und ihren Beitrag zur Compliance leisten. Durch eine Kultur der Sicherheit und Resilienz können Institute Schwachstellen proaktiv adressieren, sich an neue Herausforderungen anpassen und ein belastbares Framework für digitale operationale Resilienz aufbauen, das langfristig trägt.

Wie lange dauert der Weg zur DORA-Compliance?

Abhängig von Ihrer aktuellen Reife:

Faktoren, die den Zeitplan beeinflussen:

• Komplexität Ihres Stacks (Microservices, Multi-Cloud etc.)
• Anzahl der Kunden oder Integrationen
• Verfügbarkeit interner Ressourcen

Was Sie auslagern können (und was nicht)

Das können Sie auslagern:

• Vorlagen und Policy-Frameworks
• Risk- und Dependency-Mapping
• Simulations-Workshops und Audit-Support
• TLPT-Planung und Compliance-Strategie

Das können Sie nicht auslagern:

• Managementverantwortung
• Tatsächliche interne Prozesse (z. B. Detection, Eskalation, Kommunikation)

Nutzen Sie Partner zur Beschleunigung – die Kernverantwortung bleibt jedoch bei Ihnen.

Wie SH helfen kann

Wir liefern End-to-End-DORA-Compliance-Kits und Beratungsleistungen:

• Editierbare Policy-Vorlagen (Incident, Risk, Business Continuity)
• DevOps-ausgerichtete Dependency-Mapping-Tools
• Incident-Meldeflows und Registervorlagen
• Vorstandsdokumentation und Ownership-Maps

Optionale Add-ons

• TLPT- und Red-Teaming-Planung
• Audit-Simulations-Workshops
• Stakeholder-Onboarding-Checklisten

🎯 Entwickelt für SaaS- und cloud-native Anbieter.

Praxisbeispiel: Siemens Financial Services

Wir haben Siemens Financial Services bei der Einführung cloudbasierter Plattformen unterstützt mit:

• revisionssicherer Architektur
• sicherer Zugriffskontrolle
• Business Continuity und Compliance-by-Design

"Startup House is our trusted software development partner, with whom we have worked for many years." — Piotr Stępień, Senior Project Manager, Siemens Financial Services

Finale Checkliste: Sind Sie DORA-ready?

Falls nicht, ist jetzt der richtige Zeitpunkt zu handeln.

Lassen Sie uns Ihr DORA-Playbook erstellen

Wir unterstützen SaaS- und Cloud-Anbieter in ganz Europa dabei, schnell DORA-compliant zu werden. Lassen Sie uns Sie vor der Deadline vorbereiten.