12. April 2026 · 10 Min. Lesezeit DORA BaFin Anwendbar seit 17.01.2025

DORA Compliance Checkliste 2026
Was BaFin jetzt verlangt — und wie Sie es automatisieren

Der Digital Operational Resilience Act (DORA, Verordnung (EU) 2022/2554) ist seit 17. Januar 2025 EU-weit anwendbar. Er betrifft Banken, Versicherungen, Zahlungsinstitute, Wertpapierfirmen, Kryptodienstleister sowie ihre IKT-Drittanbieter. Diese Checkliste zeigt, welche Pflichten konkret bestehen — und wie die Evidence-Erzeugung dafür automatisiert werden kann.

1+
Jahr DORA bereits anwendbar.
Seit 17. Januar 2025 prüft die BaFin. Die Zeit für Pilotprojekte ist vorbei — Evidence muss jetzt belastbar sein.

Was ist DORA?

DORA (Verordnung (EU) 2022/2554) schafft einen einheitlichen Rahmen für die digitale operationale Resilienz im Finanzsektor. Anders als bisherige Richtlinien ist DORA eine Verordnung — sie gilt direkt, ohne nationale Umsetzung. Die BaFin hat klare Erwartungen formuliert: Unternehmen müssen nachweisen können, dass sie ihre IKT-Risiken systematisch managen, Vorfälle zeitnah melden und ihre kritischen Dienstleister im Griff haben.

Die 6 Säulen der DORA-Compliance

1. IKT-Risikomanagement (Art. 5–16)

Pflichten

📋IKT-Risikomanagement-Rahmenwerk dokumentiert und vom Leitungsorgan genehmigt Art. 5-6
📋Vollständiges IKT-Asset-Inventar mit Business-Funktions-Mapping Art. 8
📋Schutz- und Präventionsmechanismen für alle kritischen Systeme Art. 9
📋Erkennung anomaler Aktivitäten (Monitoring, Alerting) Art. 10
📋Business-Continuity-Pläne mit definierten RTO/RPO Art. 11
📋Jährliche Überprüfung des gesamten Rahmenwerks Art. 6(5)

2. Vorfallmeldung (Art. 17–23)

Fristen

⏱️Erstmeldung schwerwiegender IKT-Vorfälle an BaFin innerhalb von 4 Stunden Art. 19
⏱️Zwischenbericht innerhalb von 72 Stunden Art. 19
⏱️Abschlussbericht innerhalb von 1 Monat Art. 19
📋Klassifizierungskriterien für schwerwiegende Vorfälle definiert Art. 18
📋IKT-Vorfallmanagement-Prozess dokumentiert Art. 17

3. Resilienztests (Art. 24–27)

Pflichten

🔬Jährliches Testprogramm für alle kritischen IKT-Systeme Art. 24-25
🔬Threat-Led Penetration Testing (TLPT) alle 3 Jahre für systemrelevante Institute Art. 26
🔬Szenariotests basierend auf realen Bedrohungen (MITRE ATT&CK, TIBER-EU) Art. 25

4. IKT-Drittparteienrisiko (Art. 28–44)

Pflichten

📋Register of Information (RoI) für alle IKT-Drittdienstleister Art. 28(3)
📋Vertragliche Mindestanforderungen geprüft (8 Standard + 7 CIF-Klauseln) Art. 30
📋Konzentrationsrisiko-Analyse durchgeführt Art. 29
📋Exit-Strategien für alle kritischen Dienstleister definiert Art. 28(8)
📋Unterauftragnehmer-Ketten dokumentiert Art. 29

5. Governance (Art. 5–6)

Pflichten

👔Leitungsorgan hat IKT-Risikostrategie genehmigt Art. 5(2)
👔Regelmäßige Board-Briefings zu IKT-Risiken Art. 5
👔Schulungen für Leitungsorgan nachgewiesen Art. 5(4)

6. Informationsaustausch (Art. 45)

Optional aber empfohlen

🤝Teilnahme an Informationsaustausch-Vereinbarungen zu Cyberbedrohungen Art. 45

Wie automatisiert man DORA-Compliance?

Die Herausforderung bei DORA liegt nicht in der Komplexität der Anforderungen, sondern in der laufenden Nachweispflicht. BaFin verlangt nicht nur, dass Sie Prozesse haben — sondern dass Sie jederzeit beweisen können, dass diese Prozesse funktionieren.

Hier kommen MCP-basierte Compliance-Tools ins Spiel. Ein AI-Agent kann über MCP-Server kontinuierlich CVEs scannen, IKT-Provider überwachen, Vorfälle klassifizieren und Board-Reports generieren — alles mit kryptografisch signierter Evidenz.

FeedOracle's DORA Operating System deckt alle 6 Säulen ab: 8 spezialisierte Oracles mit 95 MCP-Tools, vollständiger Finding-Lifecycle (Finding → Zuständiger → Retest → Close), automatische Eskalation, und signierte Board-Reports. Jede Prüfung erzeugt einen verifzierbaren Nachweis.

Nächste Schritte

Wenn Sie noch keine DORA-Readiness-Assessment durchgeführt haben, ist jetzt der letzte Zeitpunkt. Die drei wichtigsten Quick Wins: Erstens, erstellen Sie ein vollständiges IKT-Asset-Inventar. Zweitens, definieren Sie Ihre Vorfallmeldeprozesse mit konkreten Fristen. Drittens, beginnen Sie mit dem Register of Information — das ist der Teil den BaFin als erstes sehen will.

DORA-Readiness kostenlos prüfen

Unser MCP-Server liefert in Sekunden eine erste Einschätzung. 95 DORA-Tools, kostenloser Free-Tier.

DORA-Tools ansehen →

FeedOracle Technologies entwickelt Compliance-Infrastruktur für regulierte Finanzunternehmen. Unsere MCP-Server liefern maschinenlesbare, kryptografisch signierte Evidenz für DORA, MiCA und AMLR. Mehr erfahren.