Zum Inhalt springen
Enterprise
🇩🇪 Deutsch 🇬🇧 English 🇫🇷 Français
90 Tage testen
Datargo OneEnterprise Single-Pane-of-Glass-Cockpit für Konzerne. Alle Module aus einer Hand. Mehr erfahren
Flaggschiffe
Datargo Monitor Verfügbarkeit und Security Posture. Datargo CRM Support-Hub für jede Marke.
Betrieb & Commerce
Datargo ID SSO und MFA für die ganze Suite. Datargo ERP GoBD-konformer Commercial-Core.
Vertrauen & Krypto
NextPKINeu Certificate Lifecycle, 47-Tage-ready.
Bundle des Monats
Reliability Bundle

Datargo Monitor + NextPKI als gemeinsam abgerechnetes Paket. NIS2-Evidence und Certificate-Lifecycle aus einem Cockpit.

Mehr erfahren
Nach Anwendungsfall
Reliability & Security NIS2-Evidence aus Monitoring + Incident. Kundenservice-Hub Live-Chat, Tickets, Multi-Brand. Identität & SSO Eine Identität für alle Module.
Nach Compliance
NIS2-Evidence Nachweise auf Knopfdruck. DORA-Resilienz Finanz-Sektor, Register-of-Information. ISO 27001 & GoBD Annex-A-Kontrollen und E-Rechnung.
Nach Größe
Solo & Indie-Team In 5 Minuten produktiv. Mittelstand SSO, Audit-Trail, Multi-Brand. Konzern & Public Sector Hunderte Sitze, Region-Pinning.
Sovereignty Kit
NIS2-Nachweis-Paket

Vorgefertigte Kontrollen für Datargo Monitor und Datargo CRM, auf NIS2-Pflichten abgebildet. Direkt in den Pilot starten.

NIS2-Whitepaper lesen
Lernen
Dokumentation Modul-Guides, API-Referenz, Schnellstart. Best-Practice-Guides NIS2-Setup, Multi-Brand-Datargo CRM, SSO-Rollout. Blog Release-Notes, Compliance-News, Roadmap.
Vertrauen
Trust Center Hosting, Zertifikate, Sub-Prozessoren. Status-Page Live-Verfügbarkeit aller Datargo-Module. Legal & Datenschutz AVV, DPA, Sub-Prozessoren-Liste.
Kunden
Kundenstimmen Fallstudien aus Finanz, Public, Tech. Partner-Programm Systemhäuser, Implementierer, MSPs. Events & Webinare it-sa, EIC, NIS2-Roadshows.
Aus dem Cockpit
47-Tage-TLS ab 2029

NextPKI ist bereits auf die neue CA/B-Forum-Realität vorbereitet. Whitepaper und Migrations-Guide jetzt verfügbar.

Whitepaper lesen
Plattform Datargo Monitor Datargo CRM Datargo ID Datargo ERP NextPKI
Datargo One Preise Compliance
Sprache
🇩🇪 Deutsch 🇬🇧 English 🇫🇷 Français
90 Tage testen Gespräch vereinbaren
Zum Inhalt springen
DORA & Finanzsektor

DORA für IKT-Dienstleister: Drittparteienrisiko und Incident-Reporting

09.12.2025 · 2 Min. Lesezeit

Seit Januar 2025 gilt DORA im Finanzsektor, mit Folgen für jeden Zulieferer. Was Auslagerungsregister, Meldeketten und die ersten kritischen Einstufungen bedeuten.

DORA, der Digital Operational Resilience Act (Verordnung (EU) 2022/2554), gilt seit dem 17. Januar 2025 für den europäischen Finanzsektor. Seit dem 19. November 2025 ist die Aufsicht konkret geworden: Die europäischen Aufsichtsbehörden EBA, EIOPA und ESMA haben die erste offizielle Liste von 19 als kritisch eingestuften IKT-Drittdienstleistern veröffentlicht, darunter AWS, Google Cloud, Microsoft, Oracle, SAP, IBM und die Deutsche Telekom. Die Liste wird jährlich fortgeschrieben.

Die naheliegende Reaktion vieler IT-Dienstleister lautet: betrifft mich nicht, ich bin keine Bank. Das ist ein Trugschluss. DORA wandert über die Lieferkette.

Warum die Verordnung jeden Zulieferer erreicht

Finanzunternehmen tragen das Risiko ihrer IKT-Auslagerungen selbst und müssen es nachweisbar steuern. Bis zum 30. April 2025 mussten sie ihr Informationsregister melden, ein vollständiges Verzeichnis aller vertraglichen Vereinbarungen mit IKT-Drittdienstleistern. Damit ist jede Auslagerung für die Aufsicht sichtbar, auch die zu nicht kritischen Anbietern.

Was das Finanzunternehmen an Pflichten trägt, reicht es vertraglich an seine Dienstleister weiter. In der Praxis verlangen Finanzkunden inzwischen:

  • DORA-konforme Vertragsklauseln mit klaren Leistungs-, Sicherheits- und Beendigungsregelungen.
  • Audit- und Zugangsrechte, damit Kunde und Aufsicht prüfen können.
  • Transparenz über Sub-Auslagerung, also wer hinter dem Dienstleister noch beteiligt ist.
  • Meldeketten bei Vorfällen, schnell genug, damit der Finanzkunde seine eigenen Fristen hält.
  • Exit- und Kontinuitätspläne sowie Nachweise aus Resilienz-Tests.

Incident-Reporting ist eine Kette, kein Formular

DORA verlangt für schwerwiegende IKT-Vorfälle eine gestufte Meldung: eine Erstmeldung binnen weniger Stunden nach Einstufung, einen Zwischenbericht und einen Abschlussbericht binnen eines Monats. Für Zulieferer heißt das: Der Vorfall muss nicht nur intern erkannt, sondern der Finanzkunde so rechtzeitig informiert werden, dass dieser seine regulatorische Uhr einhalten kann. Wer hier zu spät oder zu vage meldet, gefährdet die Compliance des Kunden und damit die eigene Geschäftsbeziehung.

Kritisch eingestuft heißt direkte Aufsicht

Wer als kritischer IKT-Drittdienstleister benannt wird, untersteht der direkten Aufsicht eines federführenden Overseers auf EU-Ebene. Da die Liste jährlich aktualisiert wird, ist die Einstufung kein statischer Zustand: Wer heute nicht gelistet ist, kann es mit wachsender Bedeutung im Finanzsektor werden.

Was jetzt sinnvoll ist

Für IKT-Dienstleister mit Finanzkunden lohnt sich, die eigenen Verträge auf DORA-Klauseln zu prüfen, die Sub-Auslagerung sauber zu dokumentieren und die Vorfallmeldung so zu proben, dass die Kette bis zum Finanzkunden in Stunden trägt. In unserem Modul Datargo Monitor greifen Monitoring, Incident-Engine und ein append-only Audit-Trail so ineinander, dass sich die Nachweise für solche Meldeketten erzeugen lassen. Der eigentliche Punkt ist aber unabhängig vom Werkzeug, nämlich die eigene Resilienz so zu dokumentieren, dass der Finanzkunde sich darauf verlassen kann.

DORA ist kein reines Bankenthema. Es ist die Anforderung, die Ihre Finanzkunden ab sofort an Sie weiterreichen.

Zurück zum Blog

Datargo Datargo

Die europäische Business Operations Platform. Monitoring, Kundenservice, Identität, Buchhaltung und Zertifikate in einer souveränen Suite. Auditierbar by design. Made in Germany.

EU-Hosting Frankfurt DSGVO-nativ Made in Germany
Plattform
  • Datargo One
  • Datargo Monitor
  • Datargo CRM
  • Datargo ID
  • Datargo ERP
  • NextPKI
Lösungen
  • Reliability & Posture
  • Kundenservice-Hub
  • Identität & SSO
  • Commerce & GoBD
  • Skalierung
Compliance
  • NIS2-Evidence
  • DORA-Resilienz
  • ISO 27001-Mapping
  • GoBD & E-Rechnung
  • Souveränität
Branchen
  • Finanzdienstleister
  • Public Sector
  • Health & Pharma
  • Industrie & TISAX
  • SaaS & Tech
Ressourcen
  • Trust Center
  • Dokumentation
  • Status-Page
  • Kundenstimmen
  • Partner-Programm
  • Blog
Unternehmen
  • Datargo One für Konzerne
  • 90 Tage testen
  • Gespräch vereinbaren
  • Kontakt
  • Karriere
© 2026 Datargo GmbH. Alle Rechte vorbehalten.
Impressum Datenschutz AGB AVV SLA Sub-ProzessorenDORA / NIS2
Deutschland · Deutsch

Datargo® und Databurg® sind eingetragene Marken der Datargo GmbH. Alle weiteren genannten Produktnamen, Logos und Marken sind Eigentum ihrer jeweiligen Inhaber.

Cookies & optionale Funktionen. Datargo nutzt technisch notwendige Cookies. Optional aktivieren wir Komfortfunktionen wie unseren Live-Chat-Support, einen eigenen Datargo-Dienst, der dabei personenbezogene Daten verarbeitet. Sie können alles akzeptieren oder bei den notwendigen Cookies bleiben.

Mehr im Datenschutz