Zum Hauptinhalt springen
Startseite|Alle Leistungen
DORA COMPLIANCE

DORA Umsetzung: Projektsteuerung, Testing & Third-Party Evidence

DORA ist nicht nur Compliance, sondern Delivery unter Nachweisdruck. Ich unterstütze bei umsetzbaren Controls, klaren Verantwortlichkeiten und einem Evidence Pack, das Audit und Stakeholdern standhält. Einsatzmodell: hybrid oder remote.

Was DORA in der Umsetzung praktisch bedeutet

Der Digital Operational Resilience Act (DORA) verlangt von Finanzunternehmen nachweisbare IKT-(ICT)-Resilienz. In der Praxis bedeutet das:

  • IKT-(ICT)-Risikomanagement: Identifikation, Bewertung und Steuerung von IKT-Risiken
  • Resilience Testing: Regelmäßige Tests - inkl. Threat-Led Penetration Testing (TLPT) für ausgewählte Institute (durch die Aufsicht bestimmt)
  • Third-Party Risk: Überwachung und Steuerung kritischer ICT-Dienstleister
  • Incident Reporting: Strukturierte Meldewege für ICT-Vorfälle

Deliverables: DORA Evidence Pack

DORA-Backlog (umsetzbar, priorisiert) + Verantwortlichkeiten (RACI)
Evidence Pack Struktur: Decision Log, Risiko-Register, Testnachweise, Vendor Controls
Third-Party Control Mapping (NDA-safe Darstellung)
Reporting-Setup für Stakeholder (SteerCo Pack Outline)
Auditfähige Dokumentation (Definition of Done inkl. Nachweise)
Schnittstellen- und Delivery-Abstimmung inkl. REST/OpenAPI - je nach ICT-Provider-Setup
Tooling-Integration je nach Auftraggeber (z. B. GitHub, Jenkins, Kibana) für nachvollziehbare Nachweise entlang der Delivery-Kette

Auf Wunsch liefere ich ein strukturiertes Evidence Pack (z. B. Decision Log, Risiko-Register, Testnachweise, Third-Party Controls) - auditfähig und nachvollziehbar.

Third-Party Risk & Vendor-Steuerung

DORA stellt hohe Anforderungen an das Management kritischer ICT-Dienstleister. Ich unterstütze bei:

  • Identifikation und Klassifizierung kritischer Dienstleister
  • Control Mapping: Welche Controls existieren, welche fehlen?
  • Vendor-Governance: Reporting, Eskalation, Exit-Strategien
  • Dokumentation für Aufsicht (nachweisfähig, strukturiert)

Resilience Testing & Nachweise

DORA verlangt regelmäßige Tests der operationellen Resilienz. Ich unterstütze bei der Planung und Nachweisführung:

  • Test-Strategie und Planung (Umfang, Frequenz, Szenarien)
  • Koordination mit Dienstleistern und internen Teams
  • Testnachweise und Remediation-Tracking
  • Vorbereitung auf Threat-Led Penetration Testing (TLPT)

Zusammenarbeit mit Compliance / IT Risk

DORA-Umsetzung ist kein reines IT-Thema. Ich arbeite eng mit Second Line (Compliance, IT Risk) zusammen, um:

  • Controls so zu formulieren, dass sie umsetzbar UND nachweisbar sind
  • Reporting-Strukturen abzustimmen (Management, Aufsicht)
  • Lücken zwischen Interpretation und Umsetzung zu schließen

Projektkontexte sind anonymisiert. Rollen und Ergebnisse sind wahrheitsgetreu; Details gern nach NDA.

Häufige Fragen

Verwandte Leistungen

CORE BANKING

Core Banking Transformation

Programmsteuerung, Test- & Release-Governance für Kernsystem-Migrationen

CLOUD FINOPS

Cloud FinOps Governance

Cloud-Kostensteuerung, Tagging-Standards und Budget-Governance

Lassen Sie uns über Ihr Projekt sprechen

Unverbindliches Erstgespräch - Sie erhalten konkrete Einschätzungen zu Ihrem Vorhaben.

Projekt anfragen
Antwort innerhalb von 24 Stunden (Werktage)NDA auf AnfrageAuditfähige Dokumentation

Zuletzt aktualisiert: Januar 2026