DORA – Was bedeutet das konkret für den Finanzsektor?

Veröffentlicht am 20. Mai 2025 von und

Seit dem 17. Januar 2025 ist der Digital Operational Resilience Act (kurz: DORA; EU 2022/2554) umzusetzen.

Damit wurden VAIT, ZAIT und KAIT, die am 16. Januar aufgehoben wurden, ersetzt.

BAIT gilt teilweise noch bis zum 31. Dezember 2026, anschließend wird auch dieses durch DORA abgelöst.

Die Europäische Union hat mit DORA eine Finanzsektor-übergreifende, europäische Regulierung geschaffen. Viele Anforderungen aus DORA decken sich mit den BaFin-Rundschreiben BAIT, VAIT, ZAIT und KAIT, es muss also auch in der Umsetzung nicht alles neu erfunden werden.

Was fordert DORA von Ihrem Entwicklungsprozess?

DORA basiert auf fünf Säulen:

  • Risikomanagement & „Security by Design“ für Informations- und Kommunikationstechnologie (IKT)
  • Meldung von schwerwiegenden Vorfällen
  • digitale Resilienztests (einschließlich Threat-led Penetration Testing)
  • IKT-Risikomanagement für Dritte
  • Informationsaustausch

Für diesen Beitrag werden Säule 1 (IKT-Risikomanagement) und Säule 3 (Digitale Resilienztests) intensiver betrachtet, da gerade diese beiden direkt den Entwicklungsprozess beeinflussen.

Sie machen „Security by Design“ zur Pflicht und fordern somit Schutzmaßnahmen in der Anforderungs- und Architekturphase und kontinuierliche Test- und Verbesserungszyklen. Alle Prozesse müssen vollständig dokumentiert und „nachvollziehbar auditierbar“ sein. Auch ausgelagerte Entwicklungen bei Drittanbietern unterliegen diesen Anforderungen.

Hier liest Dir einer unserer KI-Avatare den kompletten Artikel vor!

Was bedeutet das konkret für Sie und Ihre Anforderungen?

Spielen wir es einmal durch:

Damit Sie die Anforderungen an Security by Design erfüllen und nachweisen können, dass Ihr Produkt „sicher konzipiert, entwickelt und betrieben“ wird, benötigen Sie eine umfassende Dokumentation.
Es reicht nicht, ein aktuell sicheres Produkt abzuliefern. Sie müssen auch für Außenstehende nachvollziehbar darstellen können, wie Sie zu den Schutzmaßnahmen gekommen sind und wie diese in Zukunft verbessert werden können.

Hierfür benötigen Sie eine Traceability Ihrer Anforderungen:

  • Einerseits, um die Entstehung der Maßnahmen transparent zu machen,
  • andererseits, um Weiterentwicklungen nachvollziehbar dokumentieren zu können.

Kontinuierliche Tests und Anforderungsqualität

DORA verlangt regelmäßige Tests zur Sicherstellung der Betriebsstabilität und zur Aufdeckung neuer Schwachstellen.
Dazu benötigen Sie Testfälle, die – genau wie Ihre Schutzmaßnahmen – kontinuierlich weiterentwickelt werden müssen.

Je besser die Qualität Ihrer Anforderungen, desto einfacher wird es, daraus neue Testfälle abzuleiten.
Gut formulierte Anforderungen sparen nicht nur Zeit und Aufwand, sondern steigern auch die Qualität Ihres Tests.

Herausforderungen bei agiler Entwicklung

Falls Sie agil entwickeln, kann das zu zusätzlichen Herausforderungen führen. Das Agile Manifest oder der Scrum Guide machen nur wenige Vorgaben, wie Arbeitsergebnisse oder Anforderungen dokumentiert werden sollen. Für die Planung der Entwicklung werden oft Kanbanboards verwendet, die priorisierte Stories strukturieren. DORA fordert nun eine Nachvollziehbarkeit, die dadurch nicht vollständig gewährleistet wird. Wie können wir eine Dokumentation für die Nachwelt, mit wenig Zusatzaufwand erstellen?
Die Erfahrung zeigt, dass am Ende eines jeden Sprints das Produkt nicht nur potentiell auslieferbar sein sollte, sondern auch die Dokumentation auf einem aktuellen, potentiell auditierbaren Stand sein sollte. D.h. in der Definition of Done sollte explizit gefordert werden, dass bevor das Ticket den Status „done“ annimmt, die nachhaltige Dokumentation entsprechend angepasst werden muss.

Gleichzeitig helfen die kontinuierlichen Feedbackzyklen der Agilität, IKT-Risiken frühzeitig zu erkennen und Schutzmaßnahmen kontinuierlich zu verfeinern, ohne den Entwicklungsfluss zu bremsen.

Hier ein Kurzer Ausblick auf ein paar Methoden die bei der DORA-Konformität helfen können:

Das STABLE-Prinzip eignet sich sehr gut als Dokumentenstruktur für eine nachhaltige Dokumentation, die gut mit Ihrem wachsenden Projekt skaliert werden kann.

Wenn Sie mehr darüber erfahren möchten, lesen Sie diese Blog-Serie über STABLE.

Das Twin‑Peaks‑Modell verzahnt die kontinuierliche Verfeinerung von Anforderungen und Architektur. Dadurch können Schutz- und Resilienz Maßnahmen von Anfang an mitwachsen und dabei sauber dokumentiert werden.  Auf diese Weise werden die DORA-Anforderungen an „Security by Design“ effizient erfüllt.

Einen Einblick in das Model bekommen Sie in diesem Blog-Beitrag anhand eines Beispiel aus der Automobilindustrie.

Das alles klingt kompliziert und aufwendig, im Kern lassen sich die meisten Punkte jedoch mit einem strukturierten Requirements Engineering lösen.

Hierbei unterstützen wir unsere Kunden seit Jahrzehnten. Wir helfen, einen passenden Prozess zu entwickeln und ihn im Unternehmen einzuführen. Wir begleiten Pilotprojekte, schulen Mitarbeitende und verbessern den Entwicklungsprozess kontinuierlich.

Ob klassisch nach Wasserfall oder agil mit Scrum, wir haben die Expert*innen, die Sie bis zur DORA-Konformität begleiten.

Das hat ihr Interesse geweckt?
Kontaktieren Sie uns und erleben Sie, wie aus Herausforderungen echter Fortschritt wird.

Tel: +49 (0)911 40 90 00         Mail: vertrieb@sophist.de

 [JH1]Was ist das? Erklären oder weglassen!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert