Wie V-PROOF Einhaltung der DORA-Vorschriften und im Finanzsektor beiträgt

DORA und der Finanzsektor: Was sind die Anforderungen und wie V-PROOF die Nachweise? — V-PROOF
Rechtsvorschriften · Finanzsektor

DORA und der Finanzsektor: Was schreibt die Verordnung vor und wie V-PROOF die Nachweise?

Die Verordnung (EU) 2022/2554 ist seit Januar 2025 in vollem Umfang in Kraft. Mehr als 22.000 europäische Finanzinstitute müssen nachweisbare IT-Kontrollen vorweisen. Die Frage ist nicht mehr, ob die Vorschriften eingehalten werden – sondern wie dies gegenüber der Aufsichtsbehörde nachgewiesen werden kann.

Veröffentlicht: Juli 2026
Rechtsgrundlage: DORA · §§ 9, 10, 11, 12, 13, 17
Kategorie: Regulierung
DORA · EU 2022/2554 Europäischer Anbieter Finanzsektor

Kernpunkte

  • DORA gilt ab dem 17. Januar 2025 verbindlich für alle in der EU beaufsichtigten Finanzinstitute, ohne zusätzliche Übergangsfrist.
  • Die Artikel 9, 10, 11 und 17 verlangen überprüfbare technische Aufzeichnungen über IKT-Kontrollen, Protokolle zur Erkennung von Anomalien und eine Klassifizierung von Vorfällen – keine bloßen Erklärungen.
  • Die EBA, die ESMA und die EIOPA haben die regulatorischen technischen Standards (RTS) und Leitlinien veröffentlicht, in denen konkret festgelegt ist, welche Unterlagen bei Inspektionen verlangt werden.
  • V-PROOF unveränderliche kryptografische Nachweise für die DORA-Kontrollen für jedes einzelne Vermögenswert, mit timestamp , der von jeder Aufsichtsbehörde überprüft werden kann.
  • Die Konvergenz von DORA und EU AI Act eine doppelte Verpflichtung für Unternehmen, die KI bei Finanzentscheidungen einsetzen: V-PROOF beide Anforderungen mit einer einzigen Integration.
  • Als Anbieter mit Sitz in Spanien unterliegt V-PROOF dem CLOUD Act – eine wesentliche Garantie für Unternehmen, deren Daten der europäischen Hoheitsgewalt unterliegen.

Was ist DORA und warum unterscheidet es sich von allen bisherigen Vorschriften?

Der „Digital Operational Resilience Act“ ist kein weiterer freiwilliger Rahmen für die Cybersicherheit. Es handelt sich um eine unmittelbar geltende europäische Verordnung, die rechtlich verbindliche Anforderungen an die digitale operative Widerstandsfähigkeit für den Finanzsektor festlegt – und die technische Nachweise verlangt, nicht nur dokumentierte Richtlinien.

DORA wurde am 27. Dezember 2022 im Amtsblatt der EU veröffentlicht (Verordnung (EU) 2022/2554), trat am 16. Januar 2023 in Kraft und gilt ab dem 17. Januar 2025 in vollem Umfang. Eine Übergangsfrist ist nicht vorgesehen. Die nationalen Aufsichtsbehörden haben – unter der Koordination von EBA, ESMA und EIOPA – im ersten Halbjahr 2025 mit den Prüfungen begonnen.

Die Verordnung betrifft ein äußerst breites Spektrum von Unternehmen: Banken, Sparkassen, Kreditgenossenschaften, Wertpapierfirmen, alternative Investmentfonds und OGAW, Pensionsfondsverwalter, Versicherungs- und Rückversicherungsunternehmen, Crowdfunding-Plattformen, Emittenten von Krypto-Vermögenswerten im Sinne der MiCA sowie externe IT-Dienstleister, die kritische Dienstleistungen für den Finanzsektor erbringen. Insgesamt sind das mehr als 22.000 Unternehmen in der EU.

Der strukturelle Unterschied bei DORA

Frühere Rahmenwerke für Cybersicherheit (ISO 27001, ENS, sogar NIS) basierten auf der Selbsterklärung von Kontrollmaßnahmen. DORA sieht vor, dass die Aufsichtsbehörden diese operative Widerstandsfähigkeit durch Vor-Ort- und Fernkontrollen überprüfen. Der Unterschied ist nicht philosophischer, sondern rechtlicher Natur: Verstöße können mit Geldbußen von bis zu 2 % des weltweiten Jahresumsatzes und für verantwortliche natürliche Personen mit bis zu 1 Million Euro geahndet werden.

Die Verordnung gliedert sich in fünf Säulen: IKT-Risikomanagement (Art. 5–16), Meldung schwerwiegender Vorfälle (Art. 17–23), Tests der digitalen Betriebsresilienz (Art. 24–27), IKT-Risikomanagement bei Dritten (Art. 28–44) und Informationsaustausch über Cyberbedrohungen (§§ 45–46). V-PROOF direkt auf die ersten drei Säulen V-PROOF .

Der DORA-Zeitplan: Wo stehen wir derzeit?

27. Dezember 2022
Veröffentlichung im Amtsblatt der Europäischen Union
Die Verordnung (EU) 2022/2554 und die Richtlinie (EU) 2022/2556 (DORA-Änderungsrichtlinie) werden im Amtsblatt der Europäischen Union veröffentlicht.
16. Januar 2023
Inkrafttreten
Die Verordnung tritt in Kraft. Damit beginnt die 24-monatige Frist, in der die Einrichtungen die Umsetzung vorbereiten müssen.
2023 – 2024
Veröffentlichung von RTS und Leitlinien
Die EBA, die ESMA und die EIOPA veröffentlichen die regulatorischen technischen Standards (RTS) und die Leitlinien, in denen die detaillierten technischen Anforderungen festgelegt sind. Die erste Tranche der RTS wird im Januar 2024 verabschiedet, die zweite Tranche im Juli 2024.
17. Januar 2025 — HEUTE
Vollständige verbindliche Anwendung
DORA gilt uneingeschränkt für alle Einrichtungen in seinem Anwendungsbereich. Die nationalen Aufsichtsbehörden haben Überprüfungen und Inspektionen eingeleitet. Es gibt keine zusätzliche Übergangsfrist.
2025 – 2026
Kontrollen und erste Sanktionen
Die nationalen Aufsichtsbehörden (Banco de España, CNMV, DGSFP in Spanien) führen derzeit Compliance-Prüfungen durch. Die ersten nennenswerten Sanktionen werden für das zweite Halbjahr 2026 für Unternehmen erwartet, die keine überprüfbaren technischen Unterlagen vorlegen können.
2025 – 2027
TLPT – Fortgeschrittene Penetrationstests
Signifikante Einrichtungen müssen ihren ersten Zyklus von „Threat-Led Penetration Testing“ (TLPT) im Rahmen des TIBER-EU-Rahmenwerks absolvieren. Die Nachweise für die Tests und deren Ergebnisse müssen dokumentiert und aufbewahrt werden.

Artikel, für die technische Nachweise erforderlich sind – und welche konkreten Unterlagen verlangt werden

DORA verlangt keine Absichtserklärungen. In der Verordnung und den daraus abgeleiteten RTS ist festgelegt, welche Arten von technischen Aufzeichnungen die Aufsichtsbehörden bei einer Inspektion anfordern werden. Dies sind die Artikel, die direkt von der V-PROOF abgedeckt werden:

§ 9 – IKT-Risikomanagement
Schutz und Prävention: Kontrollen mit nachweisbarer Rückverfolgbarkeit
Unternehmen müssen über Schutz- und Präventionsmechanismen verfügen, die auf dokumentierten Sicherheitsrichtlinien basieren, und technische Aufzeichnungen vorweisen können, die belegen, dass diese Kontrollmaßnahmen tatsächlich vorhanden sind und funktionieren – und nicht nur in einem Richtliniendokument festgehalten sind.
V-PROOF-Nachweis V-Seal für jede implementierte Kontrolle einen unveränderlichen kryptografischen Nachweis: welche Konfiguration festgelegt wurde, wer sie genehmigt hat, wann und in welchem Status. Der in Base L2 verankerte hash kann von jedem Prüfer ohne Zugriff auf die internen Systeme überprüft werden.
§ 10 – Aufdeckung
Mechanismen zur Erkennung anomaler Aktivitäten anhand unveränderbarer Protokolle
Unternehmen müssen robuste Mechanismen zur Erkennung ungewöhnlicher Aktivitäten einführen, darunter Probleme mit der Netzwerkleistung und IT-Vorfälle. Die RTS legen fest, dass diese Protokolle vollständig und manipulationssicher sein müssen – genau das, was die Blockchain-Architektur von V-PROOF .
V-PROOF Jedes über V-PROOF erfasste Sicherheitsereignis oder jede Anomalie V-PROOF einen unveränderlichen timestamp . Die Integrität des Protokolls ist kryptografisch überprüfbar: Jede nachträgliche Manipulation des Eintrags führt zu einer hash .
§ 11 – Antwort und Rückforderung
Nachweis über Verfahren zur Reaktion auf IKT-Vorfälle
Die Unternehmen müssen ihre Reaktions- und Wiederherstellungsfähigkeiten dokumentieren, einschließlich des Nachweises, dass die Verfahren getestet wurden. Die Aufsichtsbehörden können Aufzeichnungen über die durchgeführten Kontinuitäts- und Wiederherstellungsübungen anfordern.
V-PROOF-Nachweis V-PROOF kryptografisch versiegelte Protokolle über jeden durchgeführten Wiederherstellungstest: Datum, Teilnehmer, getestete Systeme, Ergebnis und nachprüfbare manuelle Freigabe. Die Rückverfolgbarkeit der Tests ist vor interner Manipulation geschützt.
§ 13 – Lernen und Entwicklung
Rückverfolgbarkeit des Codes und der kritischen IKT-Systeme
Unternehmen müssen aus vergangenen Vorfällen lernen und ihre IT-Systeme auf dokumentierte Weise weiterentwickeln. Dazu gehört auch die Nachverfolgung von Änderungen an kritischen Systemen – eine Anforderung, die das Modul „Git Integration“ von V-PROOF für intern entwickelte Software von Haus aus V-PROOF .
V-PROOF Git Integration versiegelt jeden Commit im Lebenszyklus kritischer Finanzsoftware kryptografisch. Der Änderungsverlauf in Handels-, Risikomanagement- oder Compliance-Systemen wird unter Angabe des Entwicklers, des genauen Datums und mit überprüfbarer Integrität protokolliert.

§ 17 – Einstufung schwerwiegender Vorfälle

Artikel 17 und die daraus abgeleiteten RTS legen spezifische Kriterien für die Einstufung von IKT-Vorfällen als schwerwiegend fest (Auswirkungen auf Kunden, Dauer, geografische Ausdehnung, Reputationsschaden). Die Unternehmen müssen ein klassifiziertes Protokoll der Vorfälle führen, das die vorgenommene Einstufung belegt. V-PROOF , die Einstufung jedes Vorfalls mit timestamp zu versiegeln und so ein unveränderliches Protokoll zu erstellen, das belegt, wann der Vorfall identifiziert wurde, wie er eingestuft wurde und wer die Entscheidung getroffen hat.

V-PROOF -Abdeckung V-PROOF Artikel DORA

Artikel DORA Verpflichtung Reichweite V-PROOF-Modul
IT-Risikomanagement – §§ 5–16
§ 9Schutz und Prävention Nachprüfbare Aufzeichnungen über durchgeführte IKT-Kontrollen ✓ Abgeschlossen V-Seal
§10 Erkennung Unveränderliche Protokolle zu ungewöhnlichen Aktivitäten und IT-Vorfällen ✓ Abgeschlossen V-Seal
§11 Antwort und Rückforderung Nachweis von Reaktionsverfahren und Wiederherstellungsübungen ✓ Abgeschlossen V-Seal
§12: Richtlinien zur Datensicherung Integritätsprüfung von Sicherungskopien ◐ Teilprüfung V-Seal
§ 13Lernen und Entwicklung Rückverfolgbarkeit von Änderungen an kritischen IKT-Systemen ✓ Abgeschlossen Git-Integration
Meldung von Vorfällen — §§ 17–23
§ 17Einstufung von Vorfällen Unveränderliches Verzeichnis zur Klassifizierung schwerwiegender IKT-Vorfälle ✓ Abgeschlossen V-Seal
§§19–20 Benachrichtigung der Aufsichtsbehörden Erst-, Zwischen- und Abschlussmeldung an die EBA/ESMA/EIOPA — Verantwortung des Kunden Interner Regulierungsprozess
Resilienzprüfungen — §§ 24–27
§§24–25 Grundprüfungen Nachweis regelmäßiger Resilienzprüfungen (Schwachstellenanalysen, Penetrationstests) ◐ Teilprüfung V-Seal
§26 TLPT Zertifizierte, bedrohungsorientierte Penetrationstests — Externe zertifizierte Vollstreckungsbeamte Außerhalb des V-PROOF-Anwendungsbereichs
Konvergenz von DORA und EU AI Act Für Unternehmen, die KI bei finanziellen Entscheidungen einsetzen
DORA Art. 9+ EU AI Act . 14 Nachprüfbare menschliche Überwachung in risikoreichen KI-Systemen im Finanzbereich ✓ Abgeschlossen AI Orchestrator V-Proof
DORA Art. 13+ EU AI Act . 12 Protokollierung von Ereignissen bei KI-Modellen in kritischen Finanzumgebungen ✓ Abgeschlossen AI Orchestrator

◐ Teilweise = V-PROOF die Nachweise für den Prozess; die operativen Maßnahmen (Durchführung der Datensicherung, Beauftragung des Penetrationstests) obliegen der Einrichtung.

Die Konvergenz von DORA und EU AI Act: Das Risiko, das niemand einkalkuliert

Es gibt einen regulatorischen Schnittpunkt, den nur sehr wenige Finanzinstitute richtig erkannt haben: Diejenigen, die KI-Systeme bei Finanzentscheidungen einsetzen, unterliegen gleichzeitig der DORA und dem EU AI Act. Und keine der beiden Vorschriften akzeptiert, dass die Einhaltung der jeweils anderen ausreichend ist.

Kreditbewertungsmodelle, Betrugserkennungssysteme, Algorithmen für den algorithmischen Handel oder Risikobewertungssysteme, die maschinelles Lernen nutzen, gelten gemäß Anhang III des EU AI Act als KI-Systeme mit hohem Risiko. Das bedeutet, dass diese Unternehmen zusätzlich zu den DORA-Anforderungen an die operative Ausfallsicherheit die Artikel 9, 12, 13, 14 und 16 des EU AI Act erfüllen müssen: Risikomanagement des KI-Systems, Ereignisprotokollierung, Rückverfolgbarkeit der Trainingsdaten, nachprüfbare menschliche Überwachung und technische Dokumentation.

Eine einzige Integration, zwei Rechtsrahmen

V-PROOF die einzige Infrastruktur, die beide Anforderungen gleichzeitig erfüllt. Das Modul „AI Orchestrator“ generiert kryptografische Nachweise über den gesamten Lebenszyklus der ML-Modelle – von den Trainingsdaten bis hin zu jeder einzelnen Entscheidung in der Produktion – und erfüllt damit die Anforderungen an die Rückverfolgbarkeit gemäß DORA (Art. 13) sowie die Anforderungen an die Ereignisprotokollierung gemäß EU AI Act Art. 12) im Rahmen derselben Integration. Das Modul V-Proof protokolliert menschliche Eingriffe bei jeder kritischen Entscheidung des Systems und erfüllt damit gleichzeitig Art. 14 des EU AI Act die Kontrollanforderungen der DORA.

Die EBA hat bereits spezifische Leitlinien zum Einsatz von KI-Modellen im Finanzsektor veröffentlicht, die diese Konvergenz verstärken. Unternehmen, die keine nachprüfbaren technischen Nachweise über die Funktionsweise ihrer KI-Modelle vorweisen können – nicht nur interne Richtlinien, sondern kryptografisch überprüfbare Aufzeichnungen –, sehen sich einem doppelten regulatorischen Risiko ausgesetzt: einer Sanktion gemäß DORA wegen mangelnder IT-Rückverfolgbarkeit und einer Sanktion gemäß dem EU AI Act fehlender nachprüfbarer KI-Governance.

Datensouveränität · DORA-Relevanz

Warum der Sitz des IT-Anbieters im Rahmen von DORA von Bedeutung ist

DORA führt ein neues Konzept in die Finanzregulierung ein: das Konzentrationsrisiko bei externen IT-Dienstleistern. Die §§ 28–44 verpflichten Finanzinstitute dazu, die rechtlichen Risiken ihrer IT-Dienstleister zu bewerten, einschließlich des Risikos, dass Drittländer Zugriff auf die von diesen Dienstleistern verwalteten Daten erhalten könnten.

Hier führt der CLOUD Act (18 U.S.C. § 2713) zu einer konkreten regulatorischen Reibung: Jeder in den Vereinigten Staaten ansässige IT-Anbieter kann durch einen US-Gerichtsbeschluss dazu verpflichtet werden, Daten europäischer Kunden herauszugeben, unabhängig davon, wo diese Daten gespeichert sind. Dies gilt auch für die großen, in den USA ansässigen Anbieter von GRC- und KI-Governance-Plattformen, die auf dem europäischen Markt tätig sind.

V-PROOF seinen Sitz in Spanien. Das Unternehmen kann nicht aufgrund einer US-amerikanischen gerichtlichen Anordnung vorgeladen werden. Seine europäischen Finanzkunden haben die rechtliche Gewissheit, dass ihre DORA-Compliance-Aufzeichnungen unter der Hoheitsgewalt der EU verbleiben – nicht nur technisch, sondern auch rechtlich.

Der umfassende Schutz vor dem CLOUD Act hängt auch von der Infrastruktur ab, auf der der Kunde V-PROOF einsetzt. Vollständige Souveränität wird gewährleistet, wenn V-PROOF einer Cloud-Infrastruktur mit Sitz in Europa (OVHcloud, IONOS, Deutsche Telekom usw.) kombiniert wird.
Strategische Analyse

V-PROOF DORA

Stärken, Anwendungsfälle im regulatorischen Bereich und Grenzen des Anwendungsbereichs

F
Stärken · Was V-PROOF zu DORA V-PROOF
  • Unveränderliche Aufzeichnungen über umgesetzte IKT-Kontrollen, die von jedem Vorgesetzten ohne Zugriff auf interne Systeme überprüft werden können § 9 – Schutz und Prävention
  • Ereignisprotokolle mit timestamp : Die Integrität ist kryptografisch überprüfbar – jede Manipulation führt zu hash -Abweichung § 10 – Erkennung
  • Versiegelte Nachweise zu Antwort- und Wiederherstellungstests: Datum, Teilnehmer, Systeme und Ergebnis mit nachprüfbarer menschlicher Freigabe § 11 – Reaktion und Wiederherstellung
  • Rückverfolgbarkeit des Codes kritischer Finanzsysteme von Commit zu Commit – unveränderbarer Verlauf für Audits der IT-Entwicklung Art. 13 – Git-Integration
  • Anbieter mit Sitz in Spanien: Ohne CLOUD Act – europäische Souveränität bei Aufzeichnungen zur Einhaltung finanzieller Vorschriften gewährleistet §§ 28–44 · Risiko durch IT-Anbieter
  • Doppelte Abdeckung durch DORA und EU AI Act einer einzigen Integration für Unternehmen, die KI-Modelle bei Finanzentscheidungen einsetzen Regulatorische Konvergenz 2025–2027
Anwendungsbereiche · Regulatorische Anwendungsfälle
  • Banken, Sparkassen und Kreditgenossenschaften unterliegen ab Januar 2025 der vollständigen DORA-Pflicht Kreditinstitute – §§ 5–16
  • Investmentgesellschaften und Fondsverwalter (OGAW, AIF), die Cloud-IT-Anbieter oder KI-Modelle nutzen ESMA-Anwendungsbereich – Art. 2.1
  • Fintechs und Neobanken mit automatisierten Entscheidungssystemen (Scoring, Betrugsbekämpfung, KYC), die gleichzeitig den Anforderungen von DORA und dem AI Act unterliegen DORA + EU AI Act Konvergenz
  • IKT-Anbieter, die kritische Dienstleistungen für den Finanzsektor erbringen und ihre Widerstandsfähigkeit gegenüber Kunden und Aufsichtsbehörden nachweisen möchten Art. 28–44 · CTPP-Rahmenwerk
  • CISOs und CROs bereiten die technischen Unterlagen für Inspektionen der Banco de España, der CNMV oder der DGSFP im Jahr 2026 vor Aufsichtsprüfungen · 2026
Außerhalb des Geltungsbereichs · Verantwortung des Kunden
  • Erweiterte Penetrationstests TLPT (Art. 26): Erfordern zertifizierte Durchführende im Rahmen von TIBER-EU. V-PROOF die Ergebnisse beglaubigen, führt die Tests jedoch nicht selbst durch. Art. 26 – TLPT
  • Geschäftskontinuitätsplan (BCP) und Notfallwiederherstellungsplan (DRP): Die Verantwortung für deren Erstellung liegt bei der Einrichtung. V-PROOF , dass diese vorhanden sind und getestet werden. § 11 – Kontinuität
  • Formelle Meldung schwerwiegender Vorfälle an die EBA, die ESMA oder die EIOPA (Art. 19–20): internes Regulierungsprozess. V-PROOF das versiegelte Protokoll des klassifizierten Vorfalls. §§ 19–20 – Meldung
  • SIEM, EDR und operative Cybersicherheits-Tools: V-PROOF ersetzt V-PROOF die aktive Erkennung von Bedrohungen – es erstellt unveränderliche Nachweise für die von diesen Tools erkannten Ereignisse. § 10 – Begrenzung des Anwendungsbereichs
DORA-Diagnose

Verfügt Ihr Unternehmen über die Unterlagen, die eine Aufsichtsbehörde morgen verlangen würde?

V-PROOF eine strategische 48-Stunden-Diagnose V-PROOF , die die für Ihr Unternehmen geltenden DORA-Verpflichtungen aufzeigt, bestehende Lücken bei den technischen Nachweisen identifiziert und den erforderlichen Integrationsumfang definiert.

Strategische DORA-Analyse anfordern

Quellen und rechtliche Verweise

  1. Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 – EUR-Lex CELEX:32022R2554
  2. EBA – Abschlussbericht zum Entwurf der technischen Regulierungsstandards (RTS) zum Rahmenwerk für das IKT-Risikomanagement (Batch 1), Januar 2024 – eba.europa.eu
  3. EBA – Abschlussbericht zum Entwurf der technischen Regulierungsstandards im Rahmen von DORA (2. Runde), Juli 2024 – eba.europa.eu
  4. ESMA – Leitlinien zum DORA-Rahmenwerk für das IKT-Risikomanagement von Wertpapierfirmen – esma.europa.eu
  5. Banco de España – Aufsichtsbericht zu DORA, erstes Quartal 2025 – bde.es
  6. EBA – Stellungnahme zum Einsatz von maschinellem Lernen bei Modellen auf der Grundlage interner Ratings (Konvergenz von AI Act und DORA) – eba.europa.eu
  7. ENISA – DORA-Bericht zur Konvergenz der Aufsicht, 2025 – enisa.europa.eu
Zurück
Zurück

EU CRA: Rückverfolgbarkeit von Codes und Schwachstellenmanagement als gesetzliche Vorschrift

Weiter
Weiter

DSGVO und ENS im Zeitalter der KI: Wie man mit kryptografischen V-PROOF-Nachweisen Rechenschaftspflicht nachweist