DORA-Betroffenheitsprüfung

Prüfen Sie in wenigen Schritten, ob Ihr Unternehmen vom Digital Operational Resilience Act (DORA — Verordnung (EU) 2022/2554) betroffen ist und welche Anforderungen für Sie gelten. DORA ist seit dem 17. Januar 2025 vollständig anwendbar und betrifft Finanzunternehmen sowie deren IKT-Drittdienstleister.

Alle Felder sind optional. Ihre Eingaben werden nicht gespeichert und nicht an einen Server übermittelt — die gesamte Prüfung erfolgt lokal in Ihrem Browser.

Schritt 1: Unternehmensdaten

Alle Angaben sind optional und dienen nur der Ergebnisdarstellung.

Unternehmensname

Branche

Schritt 2: Unternehmensart

DORA unterscheidet zwischen Finanzunternehmen, die direkt reguliert werden, und IKT-Drittdienstleistern, die indirekt betroffen sind.

Wie ist Ihr Unternehmen einzuordnen?

Finanzunternehmen — direkt im Finanzsektor tätig IKT-Drittdienstleister — stellt IT-Dienste für Finanzunternehmen bereit Beides — Finanzunternehmen, das auch IT-Dienste erbringt Keines davon

Hinweis: DORA richtet sich primär an Finanzunternehmen und deren IKT-Drittdienstleister. Wenn Ihr Unternehmen in keine dieser Kategorien fällt, sind Sie voraussichtlich nicht direkt von DORA betroffen. Sie können die Prüfung dennoch fortsetzen, um eine Einschätzung zu erhalten.

Schritt 3: Einstufung als Finanzunternehmen

Welcher Art von Finanzunternehmen gehören Sie an? (Artikel 2 Abs. 1 DORA)

Kreditinstitut (nach CRR/KWG) Wertpapierfirma (nach MiFID II) Zahlungsdienstleister / E-Geld-Institut Versicherungsunternehmen (nach Solvency II) Rückversicherungsunternehmen Einrichtung der betrieblichen Altersversorgung (EbAV) Kapitalverwaltungsgesellschaft / AIF-Verwalter Zentraler Gegenpartei (CCP) / Zentralverwahrer (CSD) Handelsplatz / Transaktionsregister Kreditratingagentur Crowdfunding-Dienstleister

Gilt für Ihr Unternehmen eine Größenausnahme? (Artikel 16 Abs. 1 DORA)

Mikrounternehmen (< 10 Mitarbeitende UND < 2 Mio. EUR Umsatz/Bilanzsumme) — vereinfachtes Regime Kleinstversicherungsunternehmen oder kleine EbAV — vereinfachtes Regime Keiner davon

Schritt 4: Einstufung als IKT-Drittdienstleister

Welche IKT-Dienste erbringen Sie für Finanzunternehmen?

Cloud-Computing-Dienste (IaaS, PaaS, SaaS) Softwareentwicklung / -bereitstellung Rechenzentrumsleistungen / Hosting Datenanalysedienste Datensicherungs- / Wiederherstellungsdienste Netzwerk- und Sicherheitsdienste Kritische Geschäftsprozesse / Zahlungsverarbeitung

Stellen Ihre Kunden bereits DORA-konforme Vertragsanforderungen?

Ja, mehrere Kunden fordern DORA-konforme Verträge Ja, vereinzelt Nein, noch keine entsprechenden Anforderungen

Könnte Ihr Unternehmen als kritischer IKT-Drittdienstleister eingestuft werden? (Artikel 31 DORA)

Ja, wir sind systemrelevant für mehrere große Finanzinstitute Möglicherweise, wir haben wichtige Finanzdienstleister als Kunden Eher nicht, wir sind ein kleinerer Anbieter

Schritt 5: DORA-Anforderungsbereiche

Welche der folgenden DORA-relevanten Maßnahmen haben Sie bereits umgesetzt?

IKT-Risikomanagement-Rahmenwerk dokumentiert Business Continuity / Notfallkonzept für IKT vorhanden IKT-Incident-Management-Prozess etabliert Meldewege für schwerwiegende IKT-Vorfälle definiert TLPT / Penetrationstests durchgeführt IKT-Drittparteienregister geführt Vertragliche DORA-Mindestanforderungen in IKT-Verträgen Nichts davon / erst am Anfang