DORA-Umsetzungs-Roadmap für den CISO: Gap-Analyse, Prioritäten und Nachweisführung
Kernaussage
DORA gilt seit dem 17.01.2025 unmittelbar; eine weitere Übergangsfrist ist nicht vorgesehen. Eine Roadmap dient deshalb nicht mehr dem fristgerechten Start, sondern der Überführung der DORA-Pflichten in einen belastbaren Regelbetrieb und dem geordneten Schließen verbliebener Lücken. Für den CISO kommt es auf die richtige Sequenz an: zuerst eine Gap-Analyse gegen die fünf Säulen der Verordnung (EU) 2022/2554, dann die priorisierte Bearbeitung der DORA-spezifischen Deltas, die ein vorhandenes ISMS nicht automatisch abdeckt. Drei dieser Deltas binden in der Praxis die meisten Ressourcen: das Register der Informationen, das bedrohungsgeleitete Penetration Testing (TLPT) für identifizierte Einheiten und die Nachverhandlung der IKT-Dienstleisterverträge. Parallel muss die Verantwortung des Leitungsorgans sichtbar verankert und die Nachweisführung als Nebenprodukt des Betriebs organisiert werden, nicht als Sammelaktion vor der nächsten Aufsichtsanfrage.
Problem in der Praxis
Mit dem Geltungsbeginn entsteht häufig der Eindruck, die DORA-Umsetzung sei mit dem Stichtag erledigt. Tatsächlich existieren in vielen Häusern Inseln: Ein Register wurde unter Zeitdruck für den ersten Meldetermin zusammengestellt, aber nicht als laufend gepflegter Bestand angelegt. Verträge mit IKT-Dienstleistern wurden inventarisiert, aber nicht systematisch um die geforderten Vertragsbestimmungen nachverhandelt. Beim TLPT herrscht Unklarheit, ob und wann das eigene Haus zu den identifizierten Einheiten gehört. Die Vorfallmeldung ist prozessual beschrieben, aber nicht gegen die konkreten Fristen und Schwellen der technischen Standards geprüft.
Das gemeinsame Muster ist eine Roadmap, die als Projektliste begann und nach dem Stichtag zerfällt. Ohne konsolidierte Gap-Analyse und ohne feste Governance-Taktung bleibt unklar, welche Pflicht erfüllt, welche nur teilweise abgedeckt und welche offen ist. Das Ergebnis ist Compliance-Theater statt nachweisbarer operationaler Resilienz.
CISO-Einordnung
DORA ist eine Verordnung und damit in allen Mitgliedstaaten unmittelbar anwendbar; in Deutschland regeln das Finanzmarktdigitalisierungsgesetz (FinmadiG) mit dem DORA-Durchführungsgesetz vor allem Zuständigkeiten und Durchführung, federführend bei BaFin und Deutscher Bundesbank. Inhaltlich strukturiert sich die Verordnung in fünf Säulen: IKT-Risikomanagement, Behandlung und Meldung IKT-bezogener Vorfälle, Resilienztests einschließlich TLPT, Management des IKT-Drittparteienrisikos und Informationsaustausch.
Die Gap-Analyse ist das Diagnoseinstrument der Roadmap, nicht ihr Ziel. Sie zeigt, wo ein bestehendes ISMS (ISO/IEC 27001, IT-Grundschutz) die DORA-Outcomes bereits trägt und wo echte Deltas bleiben. Typische Deltas sind das Register der Informationen, die Schlüsselvertragsbestimmungen, die standardisierte Klassifizierung und Meldung schwerwiegender Vorfälle, das TLPT für identifizierte Einheiten sowie die ausdrückliche Verantwortung des Leitungsorgans. Die Verordnung sieht durchgängig Proportionalität vor; für bestimmte kleinere Einheiten gilt ein vereinfachter IKT-Risikomanagementrahmen. Die Roadmap muss diese Skalierung abbilden, statt einheitlich maximale Strukturen zu fordern.
Umsetzungsperspektive
Der CISO sollte die Roadmap als wenige, klar getaktete Arbeitsströme führen:
- Gap-Baseline: Die fünf Säulen werden gegen das vorhandene Control-Set abgebildet. Jede Anforderung erhält einen Status (erfüllt, teilweise, offen), einen Owner und einen Nachweisbezug. Ergebnis ist eine gepflegte Lückenliste, nicht eine einmalige Präsentation.
- Register der Informationen: Es wird als lebender Bestand aller vertraglichen Vereinbarungen über IKT-Dienste geführt, an einen Pflegeprozess gebunden und mit dem Vertrags- und Asset-Management verzahnt. Die zuerst abgegebene Fassung ist der Startpunkt der Pflege, nicht ihr Abschluss.
- Vertragsnachverhandlung: Aus dem Register werden die Verträge priorisiert, denen geforderte Bestimmungen fehlen. Maßstab ist die Kritikalität der gestützten Funktion. Die konkreten Pflichtinhalte sind am Verordnungstext und den einschlägigen technischen Standards zu führen.
- TLPT-Scoping: Es wird geklärt, ob das Haus zu den identifizierten Einheiten zählt. Falls ja, wird ein mehrjähriger Testzyklus geplant; die Methodik lehnt sich an TIBER-EU an. Davon zu trennen sind die regelmäßigen Basistests des Testprogramms.
- Vorfallprozess: Klassifizierung, Erst-, Zwischen- und Abschlussmeldung werden gegen die in den technischen Standards festgelegten Fristen und Schwellen geprüft und an den nationalen Melde-Hub angebunden.
- Governance-Anbindung: Status, Lücken und Entscheidungen laufen in einem festen Takt zum Leitungsorgan. Die Nachweisführung entsteht aus diesem Betrieb, nicht als Sammelaktion.
Typische Fehler
- Die Roadmap endet mit dem Geltungsbeginn, statt in einen Regelbetrieb überzugehen.
- Das Register wird als einmaliger Meldedatensatz behandelt und nicht als gepflegter Bestand mit Pflegeprozess.
- Verträge werden inventarisiert, aber die Nachverhandlung der geforderten Bestimmungen wird nicht priorisiert.
- Beim TLPT wird die Frage der Identifizierung übersprungen; Basistests und TLPT werden vermischt.
- Konkrete Meldefristen und Klassifizierungsschwellen werden aus zweiter Hand übernommen, statt am einschlägigen technischen Standard verifiziert zu werden.
- Das Leitungsorgan wird informiert, aber nicht in einem nachweisbaren Takt in Entscheidungen eingebunden.
- Die Proportionalität wird ignoriert; kleinere Einheiten bauen unnötig schwere Strukturen.
Risiken und Trade-offs
Eine reine Statuszuordnung kann ein vorhandenes ISMS überschätzen: Wer Controls nur formal als erfüllt markiert, ohne ihre Wirksamkeit gegen die DORA-Outcomes zu prüfen, erzeugt eine Scheinabdeckung. Umgekehrt bindet ein vollständiger Neuaufbau Ressourcen, die für die echten Deltas fehlen.
Bei der Priorisierung steht Tempo gegen Tiefe. Vertragsnachverhandlungen sind langwierig und von der Verhandlungsmacht gegenüber großen Anbietern abhängig; eine Konzentration auf wenige kritische Dienstleister kann sinnvoller sein als ein flächiger Ansatz. Beim TLPT ist die Bindung externer Spezialisten und produktionsnaher Tests mit Eigenrisiken verbunden, die gegen den Erkenntnisgewinn abzuwägen sind. Schließlich ist der Umgang mit den als noch zu prüfen geltenden Detailwerten ein Risiko: Wer Meldefristen oder einzelne Termine fest annimmt, ohne sie am verbindlichen Rechtsakt zu verankern, riskiert Fehlsteuerung.
Entscheidungspunkte
- Welcher ISMS-Rahmen dient als Gap-Baseline, und wer verantwortet die laufende Pflege der Lückenliste?
- Fällt das Haus unter den vereinfachten Rahmen, und wie skaliert die Roadmap entsprechend?
- Nach welchem Kriterium werden Verträge für die Nachverhandlung priorisiert, und wer führt sie?
- Zählt das Haus zu den für TLPT identifizierten Einheiten, und wie wird der Testzyklus geplant?
- In welchem Takt und mit welchen Inhalten wird das Leitungsorgan eingebunden und die Entscheidung dokumentiert?
- Welche Nachweise entstehen automatisch im Prozess, und welche müssen bewusst erzeugt werden?
Praktische Empfehlungen
- Führen Sie die Gap-Analyse als gepflegte Lückenliste mit Status, Owner und Nachweisbezug, nicht als einmalige Bestandsaufnahme.
- Behandeln Sie das Register der Informationen als lebenden Bestand und verzahnen Sie es mit Vertrags- und Asset-Management.
- Priorisieren Sie die Vertragsnachverhandlung nach Kritikalität der gestützten Funktion und führen Sie die Pflichtinhalte am Verordnungstext und den technischen Standards.
- Klären Sie die TLPT-Identifizierung früh und trennen Sie TLPT sauber von den regelmäßigen Basistests.
- Verifizieren Sie Meldefristen und Klassifizierungsschwellen am einschlägigen technischen Standard und binden Sie den Prozess an den nationalen Melde-Hub.
- Verankern Sie die Verantwortung des Leitungsorgans in einem festen Berichts- und Entscheidungstakt und machen Sie Nachweise zum Nebenprodukt des Betriebs.
- Skalieren Sie die Roadmap nach Größe, Risikoprofil und Komplexität entlang der Proportionalität der Verordnung.
Relevante Normreferenzen
- DORA, Verordnung (EU) 2022/2554: unmittelbar geltendes EU-Recht; verbindliche Details über EUR-Lex und die technischen Standards (RTS/ITS) der ESAs.
- Technische Standards (RTS/ITS) des Joint Committee aus EBA, EIOPA und ESMA: maßgeblich für Vorfallklassifizierung und -meldung, Register der Informationen, TLPT und Vertragsbestimmungen.
- Nationale Durchführung in Deutschland: Finanzmarktdigitalisierungsgesetz (FinmadiG) mit DORA-Durchführungsgesetz; Zuständigkeit bei BaFin und Deutscher Bundesbank.
- ISO/IEC 27001 sowie IT-Grundschutz als ISMS-Umsetzungsrahmen: nutzbar zur Abbildung, kein Ersatz für DORA-Pflichten.
- NIST Cybersecurity Framework als Outcome- und Control-Bezugsrahmen (Mapping möglich, nicht normativ).
Häufige Fragen
Ist die DORA-Umsetzung mit dem Stichtag 17.01.2025 abgeschlossen?+
Nein. Der Stichtag markiert den Geltungsbeginn. Die Roadmap muss in einen Regelbetrieb übergehen, in dem Register, Verträge, Tests, Vorfallprozess und Governance laufend gepflegt werden.
Wo beginnt eine sinnvolle Roadmap?+
Mit einer Gap-Analyse gegen die fünf Säulen, die jeder Anforderung Status, Owner und Nachweisbezug zuordnet und als gepflegte Lückenliste fortgeschrieben wird.
Welche Pflichten binden in der Umsetzung die meisten Ressourcen?+
In der Praxis das Register der Informationen, die Vertragsnachverhandlung und das TLPT für identifizierte Einheiten, da ein bestehendes ISMS diese Deltas nicht automatisch abdeckt.
Gilt das TLPT für jedes Finanzunternehmen?+
Nein. Es betrifft identifizierte Einheiten und ist von den regelmäßigen Basistests zu trennen. Ob das eigene Haus betroffen ist, ist an der Verordnung und den technischen Standards zu prüfen.
Wie sind die Meldefristen für schwerwiegende Vorfälle anzusetzen?+
Die konkreten Fristen und Schwellen ergeben sich aus den technischen Standards (RTS/ITS) und sind dort zu verifizieren, nicht aus Sekundärdarstellungen zu übernehmen.
Wie wird das Leitungsorgan eingebunden?+
Über einen festen Berichts- und Entscheidungstakt, in dem Status, Lücken und Entscheidungen dokumentiert werden; daraus entsteht zugleich die Nachweisführung.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen DORA prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: dora-008.
