Zum Inhalt springen
Horizon Scanner
Demo buchen
DORAFramework-Seite

DORA-Monitoring
in einem Posteingang.

DORA (Verordnung (EU) 2022/2554) ist seit 17. Januar 2025 vollständig anwendbar. 18 Monate nach Anwendungsbeginn laufen die Aufsichtsbehörden jetzt im zweiten Register-of-Information-Zyklus (Jahres-Einreichung 31. März 2026) — und der Inspektions-Fokus hat sich von „ist es aufgesetzt?" zu „ist das Drittparteienregister tatsächlich vollständig und die Sub-Outsourcing-Kette gemappt?" verschoben. RTS, ITS, Q&As und nationale Umsetzungsakte erscheinen weiterhin quer durch alle drei ESAs und jede NCA — und CASPs sind neben Versicherern und Kreditinstituten im Scope. Horizon Scanner überwacht jede Quelle, scort jedes Finding gegen Ihr IKT-Risiko- und Drittparteienregister und routet es an das verantwortliche Team.

Demo buchenSo funktioniert das Scoring

Scope

Was DORA abdeckt — und was wir dafür crawlen.

  • Level-1-Text und Änderungen

    Verordnung (EU) 2022/2554 selbst plus alle Änderungsakte von Rat und Parlament — am Tag der Veröffentlichung im Amtsblatt aus EUR-Lex abgegriffen.

  • RTS und ITS pro ESA

    Alle finalen Joint-Committee-RTS und -ITS sowie die technischen Standards einzelner Behörden von EBA, EIOPA und ESMA — inklusive Konsultations­entwürfen, Public-Hearing-Folien und der final beschlossenen Texte.

  • Aufsichts-Q&A und Leitlinien

    Die Q&A-Datenbanken von EIOPA, EBA und ESMA werden täglich abgefragt. Jede Antwort wird mit dem Artikel verknüpft, den sie interpretiert.

  • TIBER-EU und bedrohungs­geführte Penetrationstests

    Updates zum TIBER-EU-Rahmenwerk, nationale TIBER-Schemata sowie Leitlinien für threat-intelligence-led testing der EZB und der nationalen Aufsichtsbehörden.

  • Pflichten zum IKT-Drittparteienregister

    Artikel 28 und der Register-of-Information-ITS — zweiter Jahres-Zyklus zum 31. März 2026 abgeschlossen. Meldefristen, Taxonomie-Updates, Completeness-vs-Aufsichts-Feedback-Diffs und Art. 30 Sub-Outsourcing-Ketten.

  • Klassifikation und Meldung von Major-Incidents

    Incident-Reporting-Standards aus Art. 17–23 plus die Klassifikations­kriterien für Major-Incidents (Delegierte Verordnung (EU) 2024/1772) und Reporting-Templates (CIR (EU) 2025/302), jetzt anwendbar. Initial-/Intermediate-/Final-Notification-Kadenz, aufsichtliche Schreiben, freiwillige Cyber-Threat-Meldungen.

  • Scope quer durch Finanzinstitute — inklusive CASPs

    DORA gilt für alle Finanzunternehmen aus Art. 2 Abs. 1, einschließlich nach MiCA lizenzierter CASPs und ART-Emittenten. Art. 68 MiCA verweist CASPs für IKT-Risikomanagement auf DORA. Wir taggen Findings dort mit beiden Frameworks, wo zutreffend.

Wie Horizon Scanner unterstützt

Speziell für DORA-Teams.

  • 01

    Vorgefiltert auf IKT-Scope

    Jedes erfasste Dokument wird vor der Bewertung gegen die DORA-Scope-Taxonomie geprüft — aufsichtliche Schreiben z.B. zur Solvency-II-Berichterstattung landen erst gar nicht in Ihrer DORA-Queue.

  • 02

    Dual-Model verifiziert

    Jedes Finding mit Impact ≥ 3 gegen DORA wird vor dem Routing von einem unabhängigen zweiten Modell verifiziert. False-Positives sind in dieser Domäne der teuerste Fehlermodus.

  • 03

    Geroutet an IT-Sec & TPRM

    Die Default-Routing-Matrix schickt RTS zu Unterauftrags­vergabe an Ihren Third-Party-Risk-Lead, Updates zur Incident-Klassifikation an den CISO und TIBER-Guidance an den Red-Team-Programmverantwortlichen.

  • 04

    Prüfungsbereiter Audit-Trail

    Jede Aktion — Erfassung, Scoring, Routing, Acknowledgement, Eskalation — wird unveränderbar mit Zeitstempel und Akteur protokolliert. 5 Jahre Aufbewahrung sind Standard, kein Upgrade.

Überwachte Quellen

Die Aufsichts­behörden, die wir für DORA crawlen.

  • EIOPADORA-relevante Leitlinien, Q&A-Datenbankeinträge, Konsultationen zu technischen Standards und finale Veröffentlichungen.
  • EBAJoint-Committee-RTS/ITS, technische Standards der Einzelbehörde, aufsichtliche Erwartungen an operationelle Resilienz.
  • ESMADORA-relevante technische Standards, öffentliche Statements zu Handels- und Marktinfrastruktur.
  • EUR-LexVerordnung 2022/2554 und alle delegierten/Durchführungs­rechtsakte aus dem Amtsblatt.
  • BaFinMaRisk, BAIT/VAIT/ZAIT und DORA-Umsetzungsrundschreiben, FAQ-Updates, aufsichtliche Erwartungen.
  • FMA (AT)DORA-Umsetzungs-Guidance, FMA-Mindeststandards zum IKT-Risikomanagement, Meldungen zu bedrohungs­geführten Tests.
  • ACPREmpfehlungen zu Auslagerung und IKT-Risiko, aufsichtliche Schreiben an Versicherungs- und Bankensektor.
  • ECBUpdates zum TIBER-EU-Rahmenwerk, aufsichtliche Erwartungen zur Cyber-Resilienz signifikanter Institute.

Eigene Quellen lassen sich in Minuten hinzufügen — Aufsichts-Blog-Feeds, Verbandsrundschreiben, interne Counsel-Memos laufen alle durch dieselbe Engine.

FAQ

Was DORA-Käufer zuerst fragen.

Wie behandeln Sie nationale Umsetzungen und Gold-Plating?

Jede nationale Quelle ist mit ihrer Jurisdiktion getaggt. Ein Rundschreiben eines nationalen Aufsehers zur Umsetzung eines DORA-RTS erscheint mit beiden Tags im Posteingang. Gruppen mit Aktivität in mehreren EU-Jurisdiktionen können Team-Subscriptions pro Jurisdiktion scopen oder aggregieren.

Bleibt die Register-of-Information-ITS-Taxonomie aktuell?

Die ITS-Taxonomie wird in der Routing-Engine als kontrolliertes Vokabular geführt. Sobald EIOPA ein Taxonomie-Update veröffentlicht, werden die betroffenen Register-Einträge mit Diff zur Vorversion zum Review markiert.

Erfüllt der Audit-Trail eine 5-jährige Aufbewahrungspflicht?

Ja, standardmäßig — der Export umfasst sowohl die per-Finding-Kette (Fetch → Score → Route → Acknowledge → Escalate) als auch das Konfigurations-Change-Log (wer hat wann welche Routing-Regel bearbeitet). CSV- und JSON-Export sind in jedem Tier verfügbar.

Wie funktioniert die Dual-Verifikation bei DORA-Findings?

In den Professional- und Enterprise-Tiers wird jedes Dokument mit Impact ≥ 3 aus dem primären Scoring-Pass unabhängig von einem zweiten, bewusst unterschiedlichen Processing-Layer neu bewertet. Bei Unstimmigkeit landet das Finding in einer Human-Review-Queue statt im Auto-Routing. False-Positives sind der teuerste Fehler in der IKT-Compliance.

Vertiefung

Mehr zu DORA im Detail.

DORA im Posteingang sehen.
Zwanzig Minuten. Keine Folien.

Demo buchenAlle Frameworks ansehen