Cybersecurity

DORA-Compliance-Software: BaFin-konforme Tools 2026

DORA-Compliance-Software für Deutschland: Informationsregister, IKT-Drittparteienmanagement, BaFin-Vorfallsmeldungen und TLPT im Vergleich für 2026.

Welche DORA-Compliance-Software brauchen BaFin-beaufsichtigte Finanzunternehmen? Kurzantwort: eine Plattform, die das Informationsregister über alle IKT-Drittdienstleister führt und an die BaFin übermittelbar hält, das Management dieser Drittparteien inklusive Vertrags- und Konzentrationsrisiken abbildet, schwerwiegende IKT-Vorfälle fristgerecht meldet und die Nachweise für die Resilienztests bis hin zum bedrohungsgeleiteten Penetrationstest (TLPT) dokumentiert. Der Digital Operational Resilience Act gilt seit dem 17. Januar 2025 unmittelbar in allen Mitgliedstaaten; in Deutschland ist die BaFin die zuständige Aufsichtsbehörde für Banken, Versicherer und Zahlungsdienstleister.

Dieser Beitrag zeigt, welche Funktionen DORA-Software abdecken muss, wie sie sich mit bestehender DSGVO- und NIS2-Tooling verzahnt und worauf beim Kauf zu achten ist.

Key Takeaways

  • DORA gilt seit 17. Januar 2025 unmittelbar; zuständig ist in Deutschland die BaFin.
  • Das Informationsregister über alle IKT-Drittdienstleister ist die zentrale, an die Aufsicht übermittelbare Pflicht.
  • Schwerwiegende IKT-Vorfälle sind abgestuft zu melden (Erstmeldung, Zwischenmeldung, Abschlussbericht).
  • Bedeutende Institute müssen bedrohungsgeleitete Penetrationstests (TLPT) durchführen und nachweisen.
  • DORA überschneidet sich mit NIS2 und der DSGVO — eine integrierte Plattform vermeidet Doppelpflege.

Was DORA-Software leisten muss

DORA bündelt die Anforderungen an die digitale operationale Resilienz des Finanzsektors in fünf Säulen: IKT-Risikomanagement, Behandlung und Meldung von IKT-Vorfällen, Resilienztests, Management des IKT-Drittparteienrisikos und Informationsaustausch. Software hilft vor allem an vier Stellen.

Informationsregister (Register of Information). Jedes betroffene Finanzunternehmen muss ein vollständiges Register aller vertraglichen Vereinbarungen über IKT-Dienstleistungen führen — mit Angaben zu Anbietern, Funktionen, Substituierbarkeit und der Frage, ob eine kritische oder wichtige Funktion unterstützt wird. Dieses Register ist auf Verlangen an die BaFin zu übermitteln, in einem vorgegebenen Format. Die Pflege dieses Registers von Hand ist bei Dutzenden Dienstleistern kaum fehlerfrei möglich; hier liegt der Kern jeder DORA-Software.

IKT-Drittparteienmanagement. Über das Register hinaus verlangt DORA eine Bewertung der Risiken jedes Anbieters, Mindestvertragsinhalte (Kündigungs-, Prüf- und Audit-Rechte), die Beobachtung von Konzentrationsrisiken und besondere Regeln für kritische Drittanbieter. Die Software muss Verträge, Bewertungen und Ausstiegsstrategien verknüpft führen.

Vorfallsmeldung an die BaFin. Schwerwiegende IKT-bezogene Vorfälle sind abgestuft zu melden — eine Erstmeldung, eine Zwischenmeldung und ein Abschlussbericht, nach den technischen Standards der europäischen Aufsichtsbehörden. Ein geführter Melde-Workflow mit Klassifizierungslogik verhindert Fristversäumnisse und Fehlklassifikationen.

Resilienztests und TLPT. Alle Institute müssen ihr Resilienzprogramm testen; bedeutende Institute müssen zusätzlich bedrohungsgeleitete Penetrationstests (Threat-Led Penetration Testing, TLPT) nach dem TIBER-EU-Rahmen durchführen. Die Software sollte Testpläne, Ergebnisse und Behebungsmaßnahmen dokumentieren.

Die Vergleichskriterien

Kriterium Warum entscheidend
Informationsregister Kernpflicht, BaFin-Format, übermittelbar
IKT-Drittparteien-Bewertung Risiko, Vertrag, Konzentration, Exit
Vorfalls-Workflow Abgestufte Meldung mit Klassifizierung
Resilienztests / TLPT Testpläne und Nachweise dokumentieren
IKT-Risikomanagement-Rahmen Governance und Kontrollen abbilden
BaFin-Reporting-Formate Behördenkonforme Exporte
Integration DSGVO/NIS2 Dienstleisterregister mehrfach nutzen
Deutsche Lokalisierung BaFin-Kommunikation auf Deutsch

Der anspruchsvollste Punkt ist das Informationsregister im geforderten Format: Die Aufsicht erwartet strukturierte, maschinenlesbare Daten. Eine Plattform, die das Register nur als Freitext führt, erzeugt beim ersten Übermittlungsverlangen Nacharbeit unter Zeitdruck.

Kritische versus wichtige Funktionen

Ein Kernkonzept von DORA, das die Software abbilden muss, ist die Unterscheidung, ob ein IKT-Dienstleister eine kritische oder wichtige Funktion unterstützt. Diese Einordnung entscheidet über die Tiefe der Pflichten: Für Dienstleister kritischer Funktionen gelten strengere Mindestvertragsinhalte, umfangreichere Ausstiegsstrategien und eine engmaschigere Überwachung. Ein Zahlungsdienstleister etwa, dessen Kernabwicklung von einem einzigen Cloud-Anbieter abhängt, muss die Substituierbarkeit dieses Anbieters bewerten und einen belastbaren Exit-Plan vorhalten — für den Fall, dass der Anbieter ausfällt oder gekündigt werden muss.

Genau hier zeigt sich der Wert einer strukturierten Software gegenüber einer Tabellenlösung. Das Informationsregister muss pro Vertrag ausweisen, welche Funktion unterstützt wird, wie kritisch sie ist und welche Absicherung besteht. Ändert sich die Kritikalität — etwa weil ein Dienstleister neue Aufgaben übernimmt —, muss das Register nachgezogen werden. Eine Plattform, die diese Verknüpfungen automatisch führt, verhindert, dass ein kritischer Dienstleister unbemerkt ohne die geforderten Vertragsklauseln betrieben wird. Die branchenspezifische Vertiefung für die beiden am stärksten betroffenen Gruppen liefern unsere Beiträge zu DORA für Versicherungen und DORA für Zahlungsdienstleister.

Über den einzelnen Vertrag hinaus verlangt DORA zudem den Blick auf das Konzentrationsrisiko: Häufen sich kritische Funktionen bei einem einzigen Anbieter — etwa einem großen Hyperscaler —, entsteht ein systemisches Risiko, das die Aufsicht beobachtet. Für die Software bedeutet das, dass sie das Register nicht nur als Liste, sondern als auswertbare Datenbasis führen muss: Wie viele kritische Funktionen hängen an welchem Anbieter, und wie ließe sich dieser bei einem Ausfall ersetzen? Diese Auswertung ist mit einer Tabellenlösung kaum verlässlich möglich, mit einer strukturierten Plattform hingegen ein Standardbericht auf Knopfdruck. Für die Geschäftsleitung ist das Konzentrationsrisiko zugleich eine strategische Frage, weil es die Verhandlungsposition gegenüber dominanten Anbietern, die Ausstiegskosten und die Resilienz des gesamten Geschäftsmodells betrifft — Aspekte, die weit über die reine Compliance hinaus in die Beschaffungs- und IT-Strategie hineinreichen.

Verzahnung mit DSGVO und NIS2

DORA steht nicht allein. Für Finanzunternehmen überlappt es sich mit zwei anderen Regimen. Mit der DSGVO teilt es das Dienstleisterregister: Ein IKT-Drittdienstleister, der personenbezogene Daten verarbeitet, ist zugleich Auftragsverarbeiter nach Art. 28 DSGVO und braucht eine AVV. Wer beide Register getrennt führt, pflegt dieselben Anbieter doppelt. Mit NIS2 teilt DORA die Logik des Risikomanagements und der Vorfallsmeldung; für Finanzunternehmen geht DORA als spezielleres Recht (lex specialis) allerdings vor. Die branchenspezifische Einordnung liefern unsere Beiträge zu DORA für Versicherungen unter BaFin-Aufsicht und zu DORA für Zahlungsdienstleister und Fintechs.

Für die Softwareauswahl folgt daraus: Eine Plattform, die das Dienstleisterregister einmal führt und daraus sowohl die DORA- als auch die DSGVO-Sicht bedient, spart Pflegeaufwand und verhindert widersprüchliche Angaben. Die datenschutzrechtliche Basis für Banken und Fintechs behandelt unser Leitfaden zur DSGVO für Banken und Fintechs in Deutschland; die Parallele im NIS2-Bereich der NIS2-Software-Vergleich für Deutschland. Plattformen wie Legiscope decken die datenschutzrechtliche Ebene ab, auf der die DORA-Dienstleisterdokumentation aufsetzt.

Preislogik und Kaufkriterien

DORA-Software wird selten mit veröffentlichten Preisen verkauft; im Finanzsektor gilt fast durchweg „Preis auf Anfrage". Realistisch bewegen sich spezialisierte Lösungen für mittlere Institute im mittleren fünfstelligen Bereich pro Jahr, große Häuser deutlich darüber. Der wichtigste Kaufhebel ist deshalb nicht der Listenpreis, sondern die Frage, ob die Software das Informationsregister im BaFin-Format erzeugt und ob sie sich in die bestehende GRC-, DSGVO- und NIS2-Landschaft integrieren lässt, statt ein weiteres isoliertes System zu schaffen. Fordern Sie in jeder Demo eine Beispiel-Übermittlung des Registers und einen simulierten Vorfallsbericht an — daran zeigt sich die Behördentauglichkeit. Rechnen Sie außerdem die internen Kosten mit ein: Eine Lösung, die günstig in der Lizenz, aber teuer im Betrieb ist, weil sie manuelle Nacharbeit an jedem Meldeprozess erzwingt, ist am Ende die teurere Wahl. Der belastbare Vergleich stellt deshalb Lizenz-, Einführungs- und laufenden Pflegeaufwand nebeneinander, statt nur den Jahrespreis zu betrachten.

Warum Excel und GRC-Altsysteme an DORA scheitern

Viele Institute versuchen, DORA mit vorhandenen Mitteln abzubilden — einer Tabellenkalkulation für die Dienstleisterliste oder einem allgemeinen GRC-System, das nie für DORA gebaut wurde. Beides stößt schnell an Grenzen. Eine Tabelle kann die geforderte strukturierte, maschinenlesbare Übermittlung des Informationsregisters nicht liefern und hält Verknüpfungen zwischen Vertrag, Funktion und Kritikalität nicht konsistent. Ein generisches GRC-System kennt die spezifischen DORA-Datenfelder und -Meldeformate nicht und erfordert eine aufwändige Anpassung, die den vermeintlichen Kostenvorteil auffrisst.

Der Prüfstein in jeder Anbieterauswahl ist deshalb konkret: Erzeugt das Werkzeug das Informationsregister in dem Format, das die Aufsicht erwartet, und bildet es die abgestufte Vorfallsmeldung mit der richtigen Klassifizierungslogik ab? Wer diese beiden Fragen nicht in einer Demo beantwortet bekommt, kauft ein Werkzeug, das im Ernstfall — beim ersten Übermittlungsverlangen oder beim ersten meldepflichtigen Vorfall — unter Zeitdruck nachgebessert werden muss. Die Investition in eine spezialisierte oder integrierte Plattform amortisiert sich hier nicht über Effizienz allein, sondern über die vermiedene Nacharbeit in genau den Momenten, in denen die Aufsicht hinschaut. Für Institute, die ihre Datenschutz-Dokumentation bereits in einer Plattform führen, ist der integrierte Ausbau um die DORA-Sicht meist der pragmatischste Weg.

FAQ

Seit wann gilt DORA und wer beaufsichtigt es in Deutschland?

DORA gilt seit dem 17. Januar 2025 unmittelbar in allen EU-Mitgliedstaaten. In Deutschland ist die BaFin die zuständige Aufsichtsbehörde für Banken, Versicherer, Zahlungsdienstleister und weitere Finanzunternehmen; die europäischen Aufsichtsbehörden (EBA, EIOPA, ESMA) setzen die technischen Standards.

Was ist das Informationsregister und warum ist es so wichtig?

Das Informationsregister ist ein vollständiges, strukturiertes Verzeichnis aller vertraglichen Vereinbarungen über IKT-Dienstleistungen. Es muss auf Verlangen im vorgegebenen Format an die Aufsicht übermittelt werden und ist damit die zentrale Nachweispflicht unter DORA. Eine Software, die es maschinenlesbar führt, ist der Kern jeder DORA-Lösung.

Müssen alle Institute bedrohungsgeleitete Penetrationstests durchführen?

Nein. Alle betroffenen Unternehmen müssen ihr Resilienzprogramm testen, aber bedrohungsgeleitete Penetrationstests (TLPT) nach dem TIBER-EU-Rahmen sind nur für als bedeutend eingestufte Institute verpflichtend. Die Einstufung nimmt die Aufsicht vor; die Software sollte Testpläne und Ergebnisse für beide Fälle dokumentieren.

Kann eine DSGVO-Plattform auch DORA abdecken?

Nicht vollständig, aber die Schnittmenge ist erheblich. Das Dienstleisterregister überschneidet sich mit dem AVV-Register der DSGVO. Eine integrierte Plattform kann diese gemeinsame Basis liefern; die DORA-spezifischen Teile — BaFin-Format des Registers, Resilienztests, TLPT — müssen jedoch eigens abgebildet sein.

Fazit

DORA-Software für BaFin-beaufsichtigte Unternehmen steht und fällt mit dem Informationsregister: Es muss vollständig, strukturiert und im geforderten Format an die Aufsicht übermittelbar sein. Dazu kommen IKT-Drittparteienmanagement, die abgestufte Vorfallsmeldung und die Nachweise der Resilienztests. Wegen der Überschneidung mit DSGVO und NIS2 lohnt eine integrierte Plattform, die das Dienstleisterregister nur einmal führt. Die datenschutzrechtliche Basis ordnet unser DSGVO-Software-Vergleich ein; die offiziellen Vorgaben veröffentlichen die BaFin und der Verordnungstext auf EUR-Lex.

Siehe auch: Für angrenzende Pflichten aus dem KI-Recht lohnt der Vergleich der Compliance-Software für die KI-Verordnung.

See Legiscope in action

AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.

Request a demo
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →