Menu

Menu

Menu

Menu

Menu

Featured

Managed Services

Starke Allianzen

Data & AI

Menu

Ergebnisse werden geladen

Resilienz gestalten: Was Finanzunternehmen jetzt beachten müssen

Digital Operational Resilience Act (DORA)

Frankfurt, Skyline von unten

Ihr Experte für Fragen

Philipp Schulz
Partner, DORA Lead bei PwC Deutschland
Tel.: +49 211 981-2296
E-Mail

Harmonisierung der Sicherheit im gesamten EU-Finanzsektor 

Mit der DORA-Verordnung (Digital Operational Resilience Act) verfolgt die Europäische Kommission das Ziel, die digitale Widerstandsfähigkeit der Finanzwirtschaft in der EU zu stärken. Die Verordnung schafft erstmals einen einheitlichen Rahmen für das Management von IKT- und Cyberrisiken – mit Fokus auf die Aufrechterhaltung des Geschäftsbetriebs auch im Falle schwerwiegender IT-Störungen oder Cyberangriffe.

Angesichts der zunehmenden Bedrohungslage ist es für Finanzunternehmen entscheidend, ihre Systeme und Prozesse frühzeitig nicht nur auf DORA auszurichten, sondern nachhaltig resilient aufzustellen. Die Umsetzung bedeutet zwar zusätzliche Anforderungen und Investitionen, eröffnet jedoch zugleich die Chance, die eigene Cyber-Resilienz strukturell zu stärken und Sicherheitsstandards nachhaltig zu harmonisieren.

DORA verändert somit grundlegend, wie Finanzunternehmen Risiken, Resilienz und Regulierung betrachten. Bei PwC gehen wir über reine Compliance hinaus: Wir helfen Ihnen, operationale Resilienz aufzubauen, die Ihr Geschäft schützt, Vertrauen bei Stakeholdern stärkt und langfristigen Wert schafft. Unsere Expert:innen begleiten Sie über den gesamten DORA-Lebenszyklus – von der strategischen Planung über die technische Implementierung bis zur Audit-Vorbereitung – mit maßgeschneiderten Services und tiefem Branchenwissen.

Die wichtigsten Fakten zur DORA-Verordnung im Überblick:

In einer Welt voller geopolitischer Unsicherheiten, Cyberbedrohungen und digitaler Abhängigkeiten ist operationale Resilienz eine strategische Notwendigkeit. DORA schafft einen harmonisierten Rahmen für Finanzunternehmen, um IKT-Risiken zu managen, Kontinuität auch bei schweren IKT-Störungen oder Cyberangriffen sicherzustellen und das Finanzsystem zu schützen.

DORA schafft EU-weit einheitliche Anforderungen für IKT- und Cyberrisikomanagement, das Melden von Störungen, das Testen der eingerichteten Maßnahmen sowie den Umgang mit Drittparteien. Im Fokus stehen somit die fünf Kernbereiche: IKT-Risikomanagement, Incident-Management, Resilience-Testing, Drittparteien-Management und Informationsaustausch.

DORA trat am 16. Januar 2023 in Kraft und ist seit dem 17. Januar 2025 verbindlich anzuwenden. Unternehmen sollten ihre DORA-Compliance jetzt abschließen bzw. abgeschlossen haben, da die letzten finalen technischen Regulierungsstandards (RTS/ITS) im ersten Halbjahr 2025 veröffentlicht wurden und somit alle Anforderungen bekannt sind.

„DORA ist mehr als eine Regulierung – es ist ein Weckruf für die Finanzbranche. Organisationen müssen Resilienz neu denken: nicht als Compliance-Pflicht, sondern als Wettbewerbsvorteil. PwC unterstützt Sie dabei, diese Herausforderung in einen strategischen Vorteil zu verwandeln.“

Philipp Schulz,Partner und DORA Lead bei PwC Deutschland

Wofür wir stehen

Wir unterstützen unsere Kunden während des gesamten DORA-Lebenszyklus und stellen sicher, dass nichts unberücksichtigt bleibt.

Unsere global vernetzten Teams vereinen funktionsübergreifendes Fachwissen mit internationalen Best Practices, um regulatorischen als auch operationalen Anforderungen gerecht werden.

Wir haben Kunden erfolgreich durch komplexe Resilienzprogramme und Aufsichtsprüfungen begleitet – damit Sie sich in jeder Phase Ihres Vorhabens sicher fühlen können.

Wir nutzen starke Partnerschaften mit Microsoft, WIZ und Formalize, um die Implementierung zu beschleunigen, die Resilienz zu verbessern und skalierbare Lösungen zu liefern.

< Back

< Back
[+] Read More

Unsere Services im Bereich DORA

Gemeinsam bewerten wir Ihre DORA-Reife und identifizieren priorisierte Handlungsfelder

Wir etablieren klare Strukturen, Rollen und Entscheidungswege für Ihre Resilienz.

Wir unterstützen Sie beim Aufbau wirksamer Kontrollen und beim Management von ICT- und Drittparteirisiken.

Durch laufende Tests und Monitoring stärken wir dauerhaft Ihre operationale Resilienz.

Wir unterstützen Sie bei der Stärkung Ihrer Audit-Readiness und der sicheren Prüfungsbegleitung.

Mit KI-Lösungen und starken Allianzen steigern wir Effizienz und Automatisierung Ihrer Resilienz.

< Back

< Back
[+] Read More

Lernen Sie unser Team kennen

Kontaktieren Sie uns

DORA legt den regulatorischen Schwerpunkt auf fünf wichtige Säulen

Operational Resilience und Risikomanagement

Finanzunternehmen sind verpflichtet, ein umfassendes IKT-Risikomanagement einzurichten, einschließlich 

  • Einrichtung und Pflege belastbarer IKT-Systeme und -Werkzeuge, die die Auswirkungen von IKT-Risiken minimieren,
  • Schlüsselelemente wie Identifizierung, Klassifizierung und Dokumentation kritischer Funktionen,
  • Kontinuierliche Überwachung aller Quellen von IKT-Risiken, um Schutz- und Präventionsmaßnahmen einzurichten,
  • Sofortige Erkennung von anomalen Aktivitäten,
  • Einführung spezieller und umfassender Business-Continuity-Richtlinien sowie Notfall- und Wiederherstellungspläne, einschließlich jährlicher Tests der Pläne, die alle unterstützenden Funktionen abdecken,
  • Einrichtung von Mechanismen, um sowohl aus externen Ereignissen als auch aus eigenen IKT-Vorfällen zu lernen und sich weiterzuentwickeln.

Management von IKT-Vorfällen und Cyber Security

Finanzunternehmen sind verpflichtet:

  • ein bewährtes Verfahren zu entwickeln, um alle IKT-Vorfälle zu protokollieren/zu klassifizieren und schwerwiegende Vorfälle gemäß den in der Verordnung aufgeführten und von den europäischen Aufsichtsbehörden (EBA, EIOPA und ESMA) weiter spezifizierten Kriterien zu bestimmen,
  • einen Anfangs-, Zwischen- und Abschlussbericht über IKT-bezogene Vorfälle vorzulegen,
  • die Berichterstattung über IKT-bezogene Vorfälle anhand der von den ESAs entwickelten Standardvorlagen zu harmonisieren.

Digital Operational Resilience Testing

Die Verordnung verpflichtet alle Einrichtungen, dass sie:

  • jährlich grundlegende Tests von IKT-Werkzeugen und -Systemen durchführen,
  • Schwachstellen, Mängel oder Lücken identifizieren, abmildern und umgehend beseitigen, indem sie Gegenmaßnahmen ergreifen,
  • regelmäßig fortgeschrittene bedrohungsgesteuerte Penetrationstests (TLPT) für IKT-Dienste durchführen, die sich auf kritische Funktionen auswirken. Drittanbieter von IKT-Dienstleistungen sind verpflichtet, an den Tests teilzunehmen und vollständig zu kooperieren.

Governance und Management von Drittparteien

Die Finanzunternehmen sind verpflichtet: 

  • eine solide Überwachung der Risiken zu gewährleisten, die sich aus der Inanspruchnahme von IKT-Drittanbietern ergeben,
  • ein vollständiges Verzeichnis aller ausgelagerten Tätigkeiten, einschließlich gruppeninterner Dienstleistungen und aller Änderungen bei der Auslagerung kritischer Dienstleistungen an IKT-Drittanbieter, zu melden,
  • das IT-Konzentrationsrisiko und die Risiken, die sich aus Sub-Outsourcing-Aktivitäten ergeben, zu berücksichtigen,
  • Schlüsselelemente der Dienstleistung und der Beziehung zu IKT-Drittanbietern zu harmonisieren, um eine „vollständige“ Überwachung zu ermöglichen,
  • sicherzustellen, dass die Verträge mit den IKT-Drittanbietern alle notwendigen Details zur Überwachung und Erreichbarkeit enthalten, wie z. B. eine vollständige Beschreibung des Leistungsumfangs, die Angabe der Standorte, an denen die Daten verarbeitet werden, usw.,
  • Kritische IKT-Drittdienstleister werden einem EU-Aufsichtsrahmen unterliegen, der Empfehlungen zur Minderung festgestellter IKT-Risiken aussprechen kann. Finanzunternehmen müssen die IKT-Drittrisiken ihres Dienstleisters berücksichtigen, wenn dieser die festgelegten Empfehlungen nicht befolgt. 

Informationsaustausch

  • Die Verordnung erlaubt es Finanzunternehmen, untereinander Vereinbarungen zum Austausch von Informationen und Erkenntnissen über Cyberbedrohungen zu treffen.
  • Die Aufsichtsbehörde wird den Finanzunternehmen relevante anonymisierte Informationen und Erkenntnisse über Cyber-Bedrohungen zur Verfügung stellen. Daher sollten die Unternehmen Mechanismen einrichten, um die von den Behörden weitergegebenen Informationen zu überprüfen und entsprechende Maßnahmen zu ergreifen.

DORA Asset Library 

Webcastaufzeichnungen, Whitepaper und Handlungempfehlungen entlang der DORA-Pillars – das gibt's hier zum Download. Registrieren Sie sich einmalig für den Zugang zu all unseren DORA-Assets und sichern Sie sich alle relevanten Insights. 

Mehr erfahren

Follow us

Contact us

Philipp Schulz

Philipp Schulz

Partner, DORA Lead, PwC Germany

E-Mail
Rüdiger Giebichenstein

Rüdiger Giebichenstein

Partner IT-Resilienz Insurance, PwC Germany

Tel.: +49 175 7954901

E-Mail
Hide

© 2017 - 2026 PwC. All rights reserved. PwC refers to the PwC network and/or one or more of its member firms, each of which is a separate legal entity. Please see www.pwc.com/structure for further details.

Wir erbringen hochwertige, branchenspezifische Dienstleistungen in den Bereichen Wirtschaftsprüfung, Steuer- und Unternehmensberatung.