12. April 2026 · 10 Min. Lesezeit DORA BaFin Frist: Juli 2026

DORA Compliance Checkliste 2026
Was BaFin jetzt verlangt — und wie Sie es automatisieren

Der Digital Operational Resilience Act (DORA) gilt ab Juli 2026 für alle regulierten Finanzunternehmen in der EU. Das betrifft Banken, Versicherungen, Zahlungsinstitute, Wertpapierfirmen und deren IKT-Dienstleister. Diese Checkliste zeigt konkret, was Sie umsetzen müssen.

~3
Monate bis zur DORA-Durchsetzung.
Juli 2026 — BaFin wird prüfen. Die Zeit für Pilotprojekte ist vorbei.

Was ist DORA?

DORA (Verordnung (EU) 2022/2554) schafft einen einheitlichen Rahmen für die digitale operationale Resilienz im Finanzsektor. Anders als bisherige Richtlinien ist DORA eine Verordnung — sie gilt direkt, ohne nationale Umsetzung. Die BaFin hat klare Erwartungen formuliert: Unternehmen müssen nachweisen können, dass sie ihre IKT-Risiken systematisch managen, Vorfälle zeitnah melden und ihre kritischen Dienstleister im Griff haben.

Die 6 Säulen der DORA-Compliance

1. IKT-Risikomanagement (Art. 5–16)

Pflichten

📋IKT-Risikomanagement-Rahmenwerk dokumentiert und vom Leitungsorgan genehmigt Art. 5-6
📋Vollständiges IKT-Asset-Inventar mit Business-Funktions-Mapping Art. 8
📋Schutz- und Präventionsmechanismen für alle kritischen Systeme Art. 9
📋Erkennung anomaler Aktivitäten (Monitoring, Alerting) Art. 10
📋Business-Continuity-Pläne mit definierten RTO/RPO Art. 11
📋Jährliche Überprüfung des gesamten Rahmenwerks Art. 6(5)

2. Vorfallmeldung (Art. 17–23)

Fristen

⏱️Erstmeldung schwerwiegender IKT-Vorfälle an BaFin innerhalb von 4 Stunden Art. 19
⏱️Zwischenbericht innerhalb von 72 Stunden Art. 19
⏱️Abschlussbericht innerhalb von 1 Monat Art. 19
📋Klassifizierungskriterien für schwerwiegende Vorfälle definiert Art. 18
📋IKT-Vorfallmanagement-Prozess dokumentiert Art. 17

3. Resilienztests (Art. 24–27)

Pflichten

🔬Jährliches Testprogramm für alle kritischen IKT-Systeme Art. 24-25
🔬Threat-Led Penetration Testing (TLPT) alle 3 Jahre für systemrelevante Institute Art. 26
🔬Szenariotests basierend auf realen Bedrohungen (MITRE ATT&CK, TIBER-EU) Art. 25

4. IKT-Drittparteienrisiko (Art. 28–44)

Pflichten

📋Register of Information (RoI) für alle IKT-Drittdienstleister Art. 28(3)
📋Vertragliche Mindestanforderungen geprüft (8 Standard + 7 CIF-Klauseln) Art. 30
📋Konzentrationsrisiko-Analyse durchgeführt Art. 29
📋Exit-Strategien für alle kritischen Dienstleister definiert Art. 28(8)
📋Unterauftragnehmer-Ketten dokumentiert Art. 29

5. Governance (Art. 5–6)

Pflichten

👔Leitungsorgan hat IKT-Risikostrategie genehmigt Art. 5(2)
👔Regelmäßige Board-Briefings zu IKT-Risiken Art. 5
👔Schulungen für Leitungsorgan nachgewiesen Art. 5(4)

6. Informationsaustausch (Art. 45)

Optional aber empfohlen

🤝Teilnahme an Informationsaustausch-Vereinbarungen zu Cyberbedrohungen Art. 45

Wie automatisiert man DORA-Compliance?

Die Herausforderung bei DORA liegt nicht in der Komplexität der Anforderungen, sondern in der laufenden Nachweispflicht. BaFin verlangt nicht nur, dass Sie Prozesse haben — sondern dass Sie jederzeit beweisen können, dass diese Prozesse funktionieren.

Hier kommen MCP-basierte Compliance-Tools ins Spiel. Ein AI-Agent kann über MCP-Server kontinuierlich CVEs scannen, IKT-Provider überwachen, Vorfälle klassifizieren und Board-Reports generieren — alles mit kryptografisch signierter Evidenz.

FeedOracle's DORA Operating System deckt alle 6 Säulen ab: 8 spezialisierte Oracles mit 95 MCP-Tools, vollständiger Finding-Lifecycle (Finding → Zuständiger → Retest → Close), automatische Eskalation, und signierte Board-Reports. Jede Prüfung erzeugt einen verifzierbaren Nachweis.

Nächste Schritte

Wenn Sie noch keine DORA-Readiness-Assessment durchgeführt haben, ist jetzt der letzte Zeitpunkt. Die drei wichtigsten Quick Wins: Erstens, erstellen Sie ein vollständiges IKT-Asset-Inventar. Zweitens, definieren Sie Ihre Vorfallmeldeprozesse mit konkreten Fristen. Drittens, beginnen Sie mit dem Register of Information — das ist der Teil den BaFin als erstes sehen will.

DORA-Readiness kostenlos prüfen

Unser MCP-Server liefert in Sekunden eine erste Einschätzung. 95 DORA-Tools, kostenloser Free-Tier.

DORA-Tools ansehen →

FeedOracle Technologies entwickelt Compliance-Infrastruktur für regulierte Finanzunternehmen. Unsere MCP-Server liefern maschinenlesbare, kryptografisch signierte Evidenz für DORA, MiCA und AMLR. Mehr erfahren.