Wie V-PROOF Einhaltung der DORA-Vorschriften und im Finanzsektor beiträgt
DORA und der Finanzsektor: Was schreibt die Verordnung vor und wie V-PROOF die Nachweise?
Die Verordnung (EU) 2022/2554 ist seit Januar 2025 in vollem Umfang in Kraft. Mehr als 22.000 europäische Finanzinstitute müssen nachweisbare IT-Kontrollen vorweisen. Die Frage ist nicht mehr, ob die Vorschriften eingehalten werden – sondern wie dies gegenüber der Aufsichtsbehörde nachgewiesen werden kann.
Kernpunkte
- DORA gilt ab dem 17. Januar 2025 verbindlich für alle in der EU beaufsichtigten Finanzinstitute, ohne zusätzliche Übergangsfrist.
- Die Artikel 9, 10, 11 und 17 verlangen überprüfbare technische Aufzeichnungen über IKT-Kontrollen, Protokolle zur Erkennung von Anomalien und eine Klassifizierung von Vorfällen – keine bloßen Erklärungen.
- Die EBA, die ESMA und die EIOPA haben die regulatorischen technischen Standards (RTS) und Leitlinien veröffentlicht, in denen konkret festgelegt ist, welche Unterlagen bei Inspektionen verlangt werden.
- V-PROOF unveränderliche kryptografische Nachweise für die DORA-Kontrollen für jedes einzelne Vermögenswert, mit timestamp , der von jeder Aufsichtsbehörde überprüft werden kann.
- Die Konvergenz von DORA und EU AI Act eine doppelte Verpflichtung für Unternehmen, die KI bei Finanzentscheidungen einsetzen: V-PROOF beide Anforderungen mit einer einzigen Integration.
- Als Anbieter mit Sitz in Spanien unterliegt V-PROOF dem CLOUD Act – eine wesentliche Garantie für Unternehmen, deren Daten der europäischen Hoheitsgewalt unterliegen.
Was ist DORA und warum unterscheidet es sich von allen bisherigen Vorschriften?
Der „Digital Operational Resilience Act“ ist kein weiterer freiwilliger Rahmen für die Cybersicherheit. Es handelt sich um eine unmittelbar geltende europäische Verordnung, die rechtlich verbindliche Anforderungen an die digitale operative Widerstandsfähigkeit für den Finanzsektor festlegt – und die technische Nachweise verlangt, nicht nur dokumentierte Richtlinien.
DORA wurde am 27. Dezember 2022 im Amtsblatt der EU veröffentlicht (Verordnung (EU) 2022/2554), trat am 16. Januar 2023 in Kraft und gilt ab dem 17. Januar 2025 in vollem Umfang. Eine Übergangsfrist ist nicht vorgesehen. Die nationalen Aufsichtsbehörden haben – unter der Koordination von EBA, ESMA und EIOPA – im ersten Halbjahr 2025 mit den Prüfungen begonnen.
Die Verordnung betrifft ein äußerst breites Spektrum von Unternehmen: Banken, Sparkassen, Kreditgenossenschaften, Wertpapierfirmen, alternative Investmentfonds und OGAW, Pensionsfondsverwalter, Versicherungs- und Rückversicherungsunternehmen, Crowdfunding-Plattformen, Emittenten von Krypto-Vermögenswerten im Sinne der MiCA sowie externe IT-Dienstleister, die kritische Dienstleistungen für den Finanzsektor erbringen. Insgesamt sind das mehr als 22.000 Unternehmen in der EU.
Der strukturelle Unterschied bei DORA
Frühere Rahmenwerke für Cybersicherheit (ISO 27001, ENS, sogar NIS) basierten auf der Selbsterklärung von Kontrollmaßnahmen. DORA sieht vor, dass die Aufsichtsbehörden diese operative Widerstandsfähigkeit durch Vor-Ort- und Fernkontrollen überprüfen. Der Unterschied ist nicht philosophischer, sondern rechtlicher Natur: Verstöße können mit Geldbußen von bis zu 2 % des weltweiten Jahresumsatzes und für verantwortliche natürliche Personen mit bis zu 1 Million Euro geahndet werden.
Die Verordnung gliedert sich in fünf Säulen: IKT-Risikomanagement (Art. 5–16), Meldung schwerwiegender Vorfälle (Art. 17–23), Tests der digitalen Betriebsresilienz (Art. 24–27), IKT-Risikomanagement bei Dritten (Art. 28–44) und Informationsaustausch über Cyberbedrohungen (§§ 45–46). V-PROOF direkt auf die ersten drei Säulen V-PROOF .
Der DORA-Zeitplan: Wo stehen wir derzeit?
Artikel, für die technische Nachweise erforderlich sind – und welche konkreten Unterlagen verlangt werden
DORA verlangt keine Absichtserklärungen. In der Verordnung und den daraus abgeleiteten RTS ist festgelegt, welche Arten von technischen Aufzeichnungen die Aufsichtsbehörden bei einer Inspektion anfordern werden. Dies sind die Artikel, die direkt von der V-PROOF abgedeckt werden:
§ 17 – Einstufung schwerwiegender Vorfälle
Artikel 17 und die daraus abgeleiteten RTS legen spezifische Kriterien für die Einstufung von IKT-Vorfällen als schwerwiegend fest (Auswirkungen auf Kunden, Dauer, geografische Ausdehnung, Reputationsschaden). Die Unternehmen müssen ein klassifiziertes Protokoll der Vorfälle führen, das die vorgenommene Einstufung belegt. V-PROOF , die Einstufung jedes Vorfalls mit timestamp zu versiegeln und so ein unveränderliches Protokoll zu erstellen, das belegt, wann der Vorfall identifiziert wurde, wie er eingestuft wurde und wer die Entscheidung getroffen hat.
V-PROOF -Abdeckung V-PROOF Artikel DORA
| Artikel DORA | Verpflichtung | Reichweite | V-PROOF-Modul |
|---|---|---|---|
| IT-Risikomanagement – §§ 5–16 | |||
| § 9Schutz und Prävention | Nachprüfbare Aufzeichnungen über durchgeführte IKT-Kontrollen | ✓ Abgeschlossen | V-Seal |
| §10 Erkennung | Unveränderliche Protokolle zu ungewöhnlichen Aktivitäten und IT-Vorfällen | ✓ Abgeschlossen | V-Seal |
| §11 Antwort und Rückforderung | Nachweis von Reaktionsverfahren und Wiederherstellungsübungen | ✓ Abgeschlossen | V-Seal |
| §12: Richtlinien zur Datensicherung | Integritätsprüfung von Sicherungskopien | ◐ Teilprüfung | V-Seal |
| § 13Lernen und Entwicklung | Rückverfolgbarkeit von Änderungen an kritischen IKT-Systemen | ✓ Abgeschlossen | Git-Integration |
| Meldung von Vorfällen — §§ 17–23 | |||
| § 17Einstufung von Vorfällen | Unveränderliches Verzeichnis zur Klassifizierung schwerwiegender IKT-Vorfälle | ✓ Abgeschlossen | V-Seal |
| §§19–20 Benachrichtigung der Aufsichtsbehörden | Erst-, Zwischen- und Abschlussmeldung an die EBA/ESMA/EIOPA | — Verantwortung des Kunden | Interner Regulierungsprozess |
| Resilienzprüfungen — §§ 24–27 | |||
| §§24–25 Grundprüfungen | Nachweis regelmäßiger Resilienzprüfungen (Schwachstellenanalysen, Penetrationstests) | ◐ Teilprüfung | V-Seal |
| §26 TLPT | Zertifizierte, bedrohungsorientierte Penetrationstests | — Externe zertifizierte Vollstreckungsbeamte | Außerhalb des V-PROOF-Anwendungsbereichs |
| Konvergenz von DORA und EU AI Act Für Unternehmen, die KI bei finanziellen Entscheidungen einsetzen | |||
| DORA Art. 9+ EU AI Act . 14 | Nachprüfbare menschliche Überwachung in risikoreichen KI-Systemen im Finanzbereich | ✓ Abgeschlossen | AI Orchestrator V-Proof |
| DORA Art. 13+ EU AI Act . 12 | Protokollierung von Ereignissen bei KI-Modellen in kritischen Finanzumgebungen | ✓ Abgeschlossen | AI Orchestrator |
◐ Teilweise = V-PROOF die Nachweise für den Prozess; die operativen Maßnahmen (Durchführung der Datensicherung, Beauftragung des Penetrationstests) obliegen der Einrichtung.
Die Konvergenz von DORA und EU AI Act: Das Risiko, das niemand einkalkuliert
Es gibt einen regulatorischen Schnittpunkt, den nur sehr wenige Finanzinstitute richtig erkannt haben: Diejenigen, die KI-Systeme bei Finanzentscheidungen einsetzen, unterliegen gleichzeitig der DORA und dem EU AI Act. Und keine der beiden Vorschriften akzeptiert, dass die Einhaltung der jeweils anderen ausreichend ist.
Kreditbewertungsmodelle, Betrugserkennungssysteme, Algorithmen für den algorithmischen Handel oder Risikobewertungssysteme, die maschinelles Lernen nutzen, gelten gemäß Anhang III des EU AI Act als KI-Systeme mit hohem Risiko. Das bedeutet, dass diese Unternehmen zusätzlich zu den DORA-Anforderungen an die operative Ausfallsicherheit die Artikel 9, 12, 13, 14 und 16 des EU AI Act erfüllen müssen: Risikomanagement des KI-Systems, Ereignisprotokollierung, Rückverfolgbarkeit der Trainingsdaten, nachprüfbare menschliche Überwachung und technische Dokumentation.
Eine einzige Integration, zwei Rechtsrahmen
V-PROOF die einzige Infrastruktur, die beide Anforderungen gleichzeitig erfüllt. Das Modul „AI Orchestrator“ generiert kryptografische Nachweise über den gesamten Lebenszyklus der ML-Modelle – von den Trainingsdaten bis hin zu jeder einzelnen Entscheidung in der Produktion – und erfüllt damit die Anforderungen an die Rückverfolgbarkeit gemäß DORA (Art. 13) sowie die Anforderungen an die Ereignisprotokollierung gemäß EU AI Act Art. 12) im Rahmen derselben Integration. Das Modul V-Proof protokolliert menschliche Eingriffe bei jeder kritischen Entscheidung des Systems und erfüllt damit gleichzeitig Art. 14 des EU AI Act die Kontrollanforderungen der DORA.
Die EBA hat bereits spezifische Leitlinien zum Einsatz von KI-Modellen im Finanzsektor veröffentlicht, die diese Konvergenz verstärken. Unternehmen, die keine nachprüfbaren technischen Nachweise über die Funktionsweise ihrer KI-Modelle vorweisen können – nicht nur interne Richtlinien, sondern kryptografisch überprüfbare Aufzeichnungen –, sehen sich einem doppelten regulatorischen Risiko ausgesetzt: einer Sanktion gemäß DORA wegen mangelnder IT-Rückverfolgbarkeit und einer Sanktion gemäß dem EU AI Act fehlender nachprüfbarer KI-Governance.
Warum der Sitz des IT-Anbieters im Rahmen von DORA von Bedeutung ist
DORA führt ein neues Konzept in die Finanzregulierung ein: das Konzentrationsrisiko bei externen IT-Dienstleistern. Die §§ 28–44 verpflichten Finanzinstitute dazu, die rechtlichen Risiken ihrer IT-Dienstleister zu bewerten, einschließlich des Risikos, dass Drittländer Zugriff auf die von diesen Dienstleistern verwalteten Daten erhalten könnten.
Hier führt der CLOUD Act (18 U.S.C. § 2713) zu einer konkreten regulatorischen Reibung: Jeder in den Vereinigten Staaten ansässige IT-Anbieter kann durch einen US-Gerichtsbeschluss dazu verpflichtet werden, Daten europäischer Kunden herauszugeben, unabhängig davon, wo diese Daten gespeichert sind. Dies gilt auch für die großen, in den USA ansässigen Anbieter von GRC- und KI-Governance-Plattformen, die auf dem europäischen Markt tätig sind.
V-PROOF seinen Sitz in Spanien. Das Unternehmen kann nicht aufgrund einer US-amerikanischen gerichtlichen Anordnung vorgeladen werden. Seine europäischen Finanzkunden haben die rechtliche Gewissheit, dass ihre DORA-Compliance-Aufzeichnungen unter der Hoheitsgewalt der EU verbleiben – nicht nur technisch, sondern auch rechtlich.
V-PROOF DORA
Stärken, Anwendungsfälle im regulatorischen Bereich und Grenzen des Anwendungsbereichs
- Unveränderliche Aufzeichnungen über umgesetzte IKT-Kontrollen, die von jedem Vorgesetzten ohne Zugriff auf interne Systeme überprüft werden können § 9 – Schutz und Prävention
- Ereignisprotokolle mit timestamp : Die Integrität ist kryptografisch überprüfbar – jede Manipulation führt zu hash -Abweichung § 10 – Erkennung
- Versiegelte Nachweise zu Antwort- und Wiederherstellungstests: Datum, Teilnehmer, Systeme und Ergebnis mit nachprüfbarer menschlicher Freigabe § 11 – Reaktion und Wiederherstellung
- Rückverfolgbarkeit des Codes kritischer Finanzsysteme von Commit zu Commit – unveränderbarer Verlauf für Audits der IT-Entwicklung Art. 13 – Git-Integration
- Anbieter mit Sitz in Spanien: Ohne CLOUD Act – europäische Souveränität bei Aufzeichnungen zur Einhaltung finanzieller Vorschriften gewährleistet §§ 28–44 · Risiko durch IT-Anbieter
- Doppelte Abdeckung durch DORA und EU AI Act einer einzigen Integration für Unternehmen, die KI-Modelle bei Finanzentscheidungen einsetzen Regulatorische Konvergenz 2025–2027
- Banken, Sparkassen und Kreditgenossenschaften unterliegen ab Januar 2025 der vollständigen DORA-Pflicht Kreditinstitute – §§ 5–16
- Investmentgesellschaften und Fondsverwalter (OGAW, AIF), die Cloud-IT-Anbieter oder KI-Modelle nutzen ESMA-Anwendungsbereich – Art. 2.1
- Fintechs und Neobanken mit automatisierten Entscheidungssystemen (Scoring, Betrugsbekämpfung, KYC), die gleichzeitig den Anforderungen von DORA und dem AI Act unterliegen DORA + EU AI Act Konvergenz
- IKT-Anbieter, die kritische Dienstleistungen für den Finanzsektor erbringen und ihre Widerstandsfähigkeit gegenüber Kunden und Aufsichtsbehörden nachweisen möchten Art. 28–44 · CTPP-Rahmenwerk
- CISOs und CROs bereiten die technischen Unterlagen für Inspektionen der Banco de España, der CNMV oder der DGSFP im Jahr 2026 vor Aufsichtsprüfungen · 2026
- Erweiterte Penetrationstests TLPT (Art. 26): Erfordern zertifizierte Durchführende im Rahmen von TIBER-EU. V-PROOF die Ergebnisse beglaubigen, führt die Tests jedoch nicht selbst durch. Art. 26 – TLPT
- Geschäftskontinuitätsplan (BCP) und Notfallwiederherstellungsplan (DRP): Die Verantwortung für deren Erstellung liegt bei der Einrichtung. V-PROOF , dass diese vorhanden sind und getestet werden. § 11 – Kontinuität
- Formelle Meldung schwerwiegender Vorfälle an die EBA, die ESMA oder die EIOPA (Art. 19–20): internes Regulierungsprozess. V-PROOF das versiegelte Protokoll des klassifizierten Vorfalls. §§ 19–20 – Meldung
- SIEM, EDR und operative Cybersicherheits-Tools: V-PROOF ersetzt V-PROOF die aktive Erkennung von Bedrohungen – es erstellt unveränderliche Nachweise für die von diesen Tools erkannten Ereignisse. § 10 – Begrenzung des Anwendungsbereichs
Verfügt Ihr Unternehmen über die Unterlagen, die eine Aufsichtsbehörde morgen verlangen würde?
V-PROOF eine strategische 48-Stunden-Diagnose V-PROOF , die die für Ihr Unternehmen geltenden DORA-Verpflichtungen aufzeigt, bestehende Lücken bei den technischen Nachweisen identifiziert und den erforderlichen Integrationsumfang definiert.
Strategische DORA-Analyse anfordernQuellen und rechtliche Verweise
- Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 – EUR-Lex CELEX:32022R2554
- EBA – Abschlussbericht zum Entwurf der technischen Regulierungsstandards (RTS) zum Rahmenwerk für das IKT-Risikomanagement (Batch 1), Januar 2024 – eba.europa.eu
- EBA – Abschlussbericht zum Entwurf der technischen Regulierungsstandards im Rahmen von DORA (2. Runde), Juli 2024 – eba.europa.eu
- ESMA – Leitlinien zum DORA-Rahmenwerk für das IKT-Risikomanagement von Wertpapierfirmen – esma.europa.eu
- Banco de España – Aufsichtsbericht zu DORA, erstes Quartal 2025 – bde.es
- EBA – Stellungnahme zum Einsatz von maschinellem Lernen bei Modellen auf der Grundlage interner Ratings (Konvergenz von AI Act und DORA) – eba.europa.eu
- ENISA – DORA-Bericht zur Konvergenz der Aufsicht, 2025 – enisa.europa.eu
