DORA

Operationale Resilienz für KI und Daten im Finanzsektor

DORA macht IKT-Resilienz zur Pflicht auf Leitungsebene für Finanzunternehmen. Die Audit-Trails, Fail-Closed-Defaults und das souveräne, self-hosted Deployment von Scrydon verringern das Konzentrationsrisiko und geben Aufsichtsbehörden etwas, das sie prüfen können.

Worum es geht

Digital Operational Resilience Act (DORA)

Der Digital Operational Resilience Act (Verordnung (EU) 2022/2554) schafft einen einheitlichen Rahmen für die digitale operationale Resilienz des EU-Finanzsektors. Er verpflichtet Finanzunternehmen dazu, IKT-Risiken zu steuern, schwerwiegende IKT-bezogene Vorfälle zu klassifizieren und zu melden, ihre digitale operationale Resilienz zu testen und die Risiken von IKT-Drittdienstleistern zu steuern — einschließlich Konzentrationsrisiko und vertraglicher Schutzvorkehrungen. Kritische IKT-Drittdienstleister unterliegen einem eigenen EU-Überwachungsregime. DORA gilt seit Januar 2025.
Auf einen Blick
Geltungsbereich
Europäische Union
Gilt für
Finanzunternehmen in der gesamten EU — Banken, Versicherer, Wertpapierfirmen, Zahlungs- und Kryptowerte-Dienstleister und weitere — sowie die IKT-Drittdienstleister, die sie bedienen.
Sprechen Sie mit uns
Wie wir helfen

Wie Scrydon Sie bei der Einhaltung unterstützt

Die Controls sind in die Runtime eingebaut, sodass Sie Compliance mit Nachweisen aus der Plattform selbst belegen können — statt sie im Nachhinein zusammenzutragen.

IKT-Risikomanagement by Design

Fail-Closed-Defaults, ein mTLS-Service-Mesh und Policy-as-Code-Autorisierung geben Ihnen eine resiliente Least-Privilege-Architektur für KI- und Daten-Workloads. Controls werden konsistent über Application- und Data-Plane hinweg durchgesetzt und unterstützen den IKT-Risikomanagementrahmen, den DORA von Finanzunternehmen erwartet.

Audit-Log und Nachvollziehbarkeit von Vorfällen

Das unveränderliche, abfragbare Audit-Log erfasst Akteure, IP-Adressen und Entscheidungen mit Aufbewahrungs-Controls und liefert damit die Nachvollziehbarkeit, die nötig ist, um schwerwiegende IKT-bezogene Vorfälle zu erkennen, zu klassifizieren, zu untersuchen und zu melden — und um Resilienz gegenüber Aufsicht und Prüfern zu belegen.

Weniger Drittparteien- und Konzentrationsrisiko

Self-hosted und souveränes Deployment bedeutet, dass kritische Workloads nicht von einem einzelnen externen Hyperscaler abhängen müssen — das adressiert unmittelbar DORAs Sorge um das Konzentrationsrisiko bei IKT-Drittdienstleistern. Opt-in für externe KI-Anbieter hält die Lieferkette explizit und unter Ihrer Kontrolle.

Resilienztests und Kontinuität

Weil die Plattform in Ihrer eigenen Umgebung mit reproduzierbarer, richtliniengesteuerter Konfiguration laufen kann, können Sie sie in Ihre Tests der digitalen operationalen Resilienz und in Ihre Kontinuitätsplanung einbeziehen und Failover und Wiederherstellung auf Infrastruktur üben, die Sie selbst kontrollieren.

Evidence Packs je Framework

Evidence Packs bilden Plattform-Controls auf DORAs Resilienz- und IKT-Risikothemen ab — neben ISO 27001 und SOC 2 — und geben Ihren Risiko-, Compliance- und Audit-Teams einen dokumentierten Ausgangspunkt für das Informationsregister und den Austausch mit der Aufsicht.

Zentrale Anforderungen

DORA: Was von Ihnen verlangt wird

  • Betreiben Sie einen umfassenden IKT-Risikomanagementrahmen unter Verantwortung des Leitungsorgans.
  • Erkennen, klassifizieren und melden Sie schwerwiegende IKT-bezogene Vorfälle innerhalb der gesetzten Fristen.
  • Führen Sie regelmäßig Tests der digitalen operationalen Resilienz durch.
  • Steuern Sie IKT-Drittparteienrisiko, einschließlich vertraglicher Schutzvorkehrungen und Ausstiegsstrategien.
  • Überwachen und mindern Sie IKT-Konzentrationsrisiken bei kritischen Anbietern.
  • Führen Sie ein Informationsregister zu vertraglichen Vereinbarungen mit IKT-Drittdienstleistern.
  • Teilen Sie Informationen und Erkenntnisse zu Cyberbedrohungen, wo dies angemessen ist.
FAQ

Häufig gestellte Fragen

Wie unterstützt Scrydon die DORA-Compliance von Finanzunternehmen?+
Scrydon liefert die technischen Grundlagen, die DORA betont: eine resiliente, fail-closed, mTLS-gesicherte Architektur für das IKT-Risikomanagement, ein unveränderliches Audit-Log für die Erkennung und Meldung von Vorfällen und ein souveränes, self-hosted Deployment, das die Abhängigkeit von einem einzelnen externen Anbieter verringert. Evidence Packs bilden das auf DORA-Themen ab. Wir sprechen von Ausrichtung und von den Controls, die Ihnen helfen, Ihre Pflichten zu erfüllen; die Klassifizierung von Vorfällen, die Meldung an Ihre zuständige Behörde und Ihr gesamtes Resilienzprogramm bleiben Ihre Verantwortung.
Wie verringert die Plattform das IKT-Konzentrationsrisiko bei Drittdienstleistern?+
DORA benennt ausdrücklich das systemische Risiko einer zu starken Abhängigkeit von wenigen IKT-Anbietern. Weil Scrydon in Ihrer eigenen Umgebung oder auf souveräner Infrastruktur betrieben werden kann, statt kritische Workloads an einen einzelnen Hyperscaler zu binden, können Sie diversifizieren und die Kontrolle über Ihre wichtigsten KI- und Datensysteme behalten. Da externe KI-Anbieter Opt-in sind, bleibt jede Drittparteienabhängigkeit explizit und steuerbar.
Hilft Scrydon bei der Erkennung und Meldung schwerwiegender Vorfälle?+
Das unveränderliche, abfragbare Audit-Log erfasst Akteur, IP-Adresse, Entscheidung und Agentenaktivität mit Aufbewahrungs-Controls. Das unterstützt das Erkennen, Klassifizieren und Untersuchen IKT-bezogener Vorfälle und hilft, die Informationen zusammenzustellen, die Sie für die aufsichtsrechtliche Meldung benötigen. Die Plattform liefert die Nachvollziehbarkeit; die Klassifizierungsschwellen und die Meldungen an Ihre zuständige Behörde bleiben in Ihrer Hand.
Kann Scrydon Teil unserer Tests der digitalen operationalen Resilienz sein?+
Ja. Weil die Plattform mit reproduzierbarer, richtliniengesteuerter Konfiguration auf Infrastruktur läuft, die Sie kontrollieren, können Sie Failover, Wiederherstellung und Zugriffskontrollen als Teil Ihres Resilienztestprogramms üben und sie in Szenariotests und Kontinuitätsplanung einbeziehen.
Ist Scrydon ein kritischer IKT-Drittdienstleister im Sinne von DORA?+
Die Einstufung als kritischer IKT-Drittdienstleister erfolgt durch die Europäischen Aufsichtsbehörden anhand festgelegter Kriterien und wird nicht von einem Anbieter selbst erklärt. Unabhängig von der Einstufung hält ein souveränes, self-hosted Deployment von Scrydon Ihre kritischsten Workloads unter Ihrer direkten Kontrolle und hilft Ihnen, das Drittparteienrisiko innerhalb Ihres DORA-Rahmens zu steuern.