Was ist DORA und für wen gilt die Verordnung?

Der Digital Operational Resilience Act (DORA, EU 2022/2554) ist seit dem 17. Januar 2025 verbindlich für alle Finanzinstitute in der EU: Banken, Versicherungen, Investmentfirmen, Zahlungsdienstleister, Krypto-Asset-Dienstleister und kritische IKT-Drittanbieter. Ziel ist die Stärkung der digitalen operativen Resilienz des europäischen Finanzsektors.

Welche AWS-Services sind für die DORA-Compliance besonders relevant?

Für das ICT-Risikomanagement: AWS Config, AWS Security Hub, Amazon GuardDuty. Für Vorfallsmanagement: Amazon CloudWatch, AWS CloudTrail, Amazon Detective. Für Resilienztests: AWS Fault Injection Service (FIS), AWS Resilience Hub. Für Drittanbieter-Management: AWS Artifact für Compliance-Berichte, AWS Customer Compliance Center.

Gilt AWS als kritischer IKT-Drittanbieter im Sinne von DORA?

AWS kann als kritischer IKT-Drittanbieter (Critical ICT Third-Party Provider, CTPP) von der EBA/ESMA/EIOPA eingestuft werden. In diesem Fall unterliegt AWS direkt der Aufsicht durch den Lead Supervisor. Finanzinstitute müssen ihre vertraglichen Vereinbarungen mit AWS an die DORA-Anforderungen für CTPP-Verträge anpassen.

DORA-Compliance auf AWS: Praxisleitfaden für Finanzinstitute — Cloud FSI

Seit dem 17. Januar 2025 ist der Digital Operational Resilience Act (DORA) verbindlich anwendbar. Finanzinstitute in der EU müssen ihre IKT-Risikorahmen, Vorfallsmanagement-Prozesse, Resilienztests und Drittanbieter-Governance nachweislich auf die Verordnung ausrichten — oder mit Sanktionen rechnen. Dieser Leitfaden zeigt, wie Banken und Versicherungen AWS konkret nutzen, um die fünf DORA-Säulen umzusetzen, welche vertraglichen Anpassungen notwendig sind und welche Governance-Strukturen die Aufsicht erwartet.

Was ist DORA — und was fordert die Verordnung konkret?

Der Digital Operational Resilience Act (DORA), EU-Verordnung 2022/2554, ist das erste EU-weit einheitliche Regelwerk für die digitale Betriebsstabilität des Finanzsektors. Er löst die bislang fragmentierte nationale Umsetzung verschiedener EBA-Leitlinien ab und schafft einen verbindlichen Mindeststandard für alle regulierten Finanzentitäten.

DORA gilt für über 22.000 Finanzinstitute in der EU: Kreditinstitute, Versicherungen, Wertpapierfirmen, Zahlungsdienstleister, Kryptowerte-Dienstleister, Zentralverwahrer und weitere. Kritisch ist die Erweiterung auf IKT-Drittanbieter: Cloud-Anbieter wie AWS können als kritische IKT-Drittanbieter (Critical Third-Party Providers, CTPP) eingestuft werden und unterliegen dann der direkten Aufsicht durch den Lead Supervisor (EBA DORA-Seite).

Die 5 DORA-Säulen im Überblick

DORA-Säule	Kernanforderung	Artikel
ICT-Risikomanagement	Vollständiger IKT-Risikorahmen, Schutz-, Erkennung- und Wiederherstellungsmaßnahmen	Art. 5–16
Vorfallsmanagement & Meldung	Klassifizierung, Meldung schwerwiegender IKT-Vorfälle an Aufsichtsbehörde	Art. 17–23
Digitale Resilienztests	Jährliche Tests, bedrohungsorientierte Penetrationstests (TLPT) alle 3 Jahre	Art. 24–27
IKT-Drittanbieter-Management	Drittanbieter-Register, vertragliche Mindestanforderungen, Konzentrationsrisiko	Art. 28–44
Informationsaustausch	Freiwilliger Austausch von Cyberbedrohungsinformationen unter Finanzinstituten	Art. 45

Säule 1: ICT-Risikomanagement auf AWS

DORA fordert einen umfassenden IKT-Risikorahmen mit vier Funktionen: Schutz (Protect), Erkennung (Detect), Reaktion (Respond) und Wiederherstellung (Recover). AWS bietet dafür eine vollständige Service-Landschaft.

AWS Config: Kontinuierliche Bewertung der Ressourcenkonfiguration gegen Compliance-Regeln. Finanzinstitute können DORA-spezifische Conformance Packs einsetzen, die Konfigurationsabweichungen automatisch erkennen und in AWS Security Hub aggregieren. Entscheidend für Art. 9 DORA (Schutz und Prävention).
Amazon GuardDuty: Bedrohungserkennung auf Basis von Machine Learning, analysiert CloudTrail-Logs, VPC-Flow-Logs und DNS-Logs. GuardDuty Malware Protection und Runtime Monitoring ergänzen den Schutz für EC2-Instanzen und Container. Erfüllt die Erkennungsanforderungen aus Art. 10 DORA.
AWS Security Hub: Zentrales Security-Dashboard, das Befunde aus GuardDuty, Config, Inspector und Macie aggregiert. Automatisierte Workflows über EventBridge ermöglichen die sofortige Eskalation bei Befunden mit hohem Schweregrad — wesentlich für die Vorfallserkennung nach DORA Art. 17.
AWS Backup: Zentrale Backup-Verwaltung mit Vault Lock (WORM) für unveränderliche Backups. DORA Art. 12 schreibt Backup-Strategien und Wiederherstellungstests vor — AWS Backup Audit Manager dokumentiert die Einhaltung automatisch.

Säule 2: Vorfallsmanagement und Meldewege

DORA unterscheidet zwischen Vorfällen und schwerwiegenden IKT-Vorfällen. Letztere müssen nach einem dreistufigen Meldeweg gemeldet werden: Erstmeldung innerhalb von 4 Stunden (oder bis Geschäftsschluss), Zwischenmeldung innerhalb von 72 Stunden, Abschlussbericht innerhalb eines Monats (BaFin zu DORA).

Der AWS-Stack für DORA-konformes Vorfallsmanagement:

Erkennung: Amazon CloudWatch Alarms und AWS Security Hub identifizieren Anomalien. GuardDuty-Findings werden über EventBridge in SIEM-Systeme oder direkt in Ticketing-Systeme (PagerDuty, Jira) geleitet.
Klassifizierung: AWS Config Conformance Packs können Schwellenwerte für die DORA-Schwerwiegenheitsklassifizierung kodifizieren. Automated Playbooks in AWS Systems Manager Automation führen initiale Triage-Schritte durch.
Forensik und Beweissicherung: AWS CloudTrail liefert unveränderliche API-Logs für alle Ressourcenoperationen. Amazon Detective visualisiert Angreifer-Aktivitäten über Zeitachsen und Graphen — entscheidend für Root-Cause-Analysen nach einem Vorfall.
Eskalation und Meldung: Amazon SNS und AWS Chatbot ermöglichen sofortige Benachrichtigung der definierten Incident-Response-Teams. Strukturierte Logs in Amazon CloudWatch Logs Insights erleichtern die Erstellung der Meldedokumente für die Aufsicht.
Wiederherstellung: AWS Elastic Disaster Recovery (DRS) ermöglicht Point-in-Time-Wiederherstellung von on-premises und Cloud-Workloads mit RPO in Minuten und RTO in Stunden. Für kritische Kernbanksysteme wird Multi-Region Active-Active empfohlen.

Säule 3: Digitale Resilienztests

DORA fordert ein ganzheitliches Testprogramm: jährliche grundlegende Tests für alle Institute und bedrohungsorientierte Penetrationstests (TLPT — Threat-Led Penetration Tests) alle drei Jahre für bedeutende Finanzinstitute.

AWS stellt mit dem AWS Fault Injection Service (FIS) eine verwaltete Plattform für Chaos Engineering bereit. Vordefinierte Aktionen simulieren Instanzausfälle, Netzwerklatenz, API-Fehler und Ressourcenerschöpfung — kontrolliert und reversibel. Der AWS Resilience Hub bewertet Anwendungen gegen RTO/RPO-Ziele und liefert einen Resilience Score, der als Grundlage für die DORA-Testdokumentation dient.

Für TLPT-Tests im Scope: AWS ermöglicht Penetrationstests durch autorisierte Dritte auf die eigene Infrastruktur. Das AWS Penetration Testing Policy-Verfahren stellt sicher, dass Tests regelkonform durchgeführt werden. Storm Reply begleitet als zertifizierter Partner sowohl die technische Durchführung als auch die regulatorische Dokumentation.

Säule 4: IKT-Drittanbieter-Management und AWS-Verträge

Dies ist die anspruchsvollste DORA-Säule für Cloud-nutzende Finanzinstitute. Art. 30 DORA definiert Mindestvertragsklauseln für alle IKT-Drittanbieter-Verträge:

DORA-Anforderung (Art. 30)	AWS-Mechanismus
Klare Beschreibung der IKT-Dienstleistungen	AWS Service Terms + Service-spezifische Addenda im AWS Customer Agreement
Datenlokalisierung und -verarbeitung	AWS-Regionswahl + AWS Data Processing Addendum (GDPR DPA)
Subunternehmer-Transparenz	AWS Subprocessor-Liste (öffentlich, laufend aktualisiert)
Auditrechte und Inspektionsrechte	AWS Artifact: SOC 1/2/3, ISO 27001, BSI C5 Type II — als Nachweise anerkannt
Ausstiegs- und Portabilitätsrechte	AWS-Daten-Export-Tools (S3 Transfer, Snowball) + Exit-Plan-Dokumentation
SLAs für Verfügbarkeit und Qualität	AWS SLAs (z. B. EC2: 99,99 % Multi-AZ, S3: 99,99 %) — vertraglich verbindlich
Notfallpläne und Business Continuity	AWS Business Continuity Plan (BCP) — verfügbar über AWS Artifact

Finanzinstitute, die mit AWS einen Enterprise Support-Vertrag oder ein Enterprise Discount Program (EDP) abgeschlossen haben, können zusätzliche vertragliche Anpassungen für DORA-Compliance verhandeln. Storm Reply unterstützt als AWS Premier Partner bei der Vertragsstrukturierung.

Konzentrationsrisiko: Wenn AWS zum systemischen Risiko wird

DORA Art. 29 verpflichtet Finanzinstitute, das IKT-Konzentrationsrisiko zu bewerten und zu steuern. Das betrifft insbesondere die Abhängigkeit von einem einzelnen Cloud-Anbieter. Aufsichtsbehörden können Finanzinstitute zu Maßnahmen verpflichten, wenn dieses Risiko als zu hoch eingestuft wird.

Praktische Maßnahmen zur Risikominderung auf AWS:

Multi-Region-Architektur: Kritische Workloads über mindestens zwei AWS-Regionen verteilen (z. B. eu-central-1 Frankfurt + eu-west-1 Irland). AWS Global Accelerator und Route 53 Health Checks ermöglichen automatisches Failover.
Hybrid-Architektur: AWS Outposts oder AWS Local Zones für datensouveräne, latenz-kritische Workloads — kombiniert mit klassischer On-Premises-Infrastruktur für kritische Kernbankfunktionen.
Multi-Cloud-Readiness: Containerisierte Anwendungen (Amazon EKS) und offene Standards (Kubernetes, Terraform) erhöhen die Portierbarkeit und reduzieren Vendor-Lock-in.
Dokumentierter Exitplan: DORA fordert Exit-Strategien als Bestandteil des Drittanbieter-Managements. Dazu gehört ein dokumentiertes Verfahren für die Migration zu alternativen Anbietern oder Rückverlagerung.

AWS Compliance-Nachweise und Auditrechte

DORA-Art. 30 räumt Finanzinstituten Auditrechte gegenüber IKT-Drittanbietern ein. AWS begegnet dieser Anforderung mit einem pooled-audit-Modell: Statt individueller Inspektionen stellt AWS umfassende Compliance-Berichte über AWS Artifact bereit, die von Aufsichtsbehörden anerkannt werden:

SOC 2 Type II: Jährlicher Bericht über Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz. Abgedeckte Services: über 100 AWS-Services. Relevant für DORA Art. 5 (ICT-Risikomanagement) und Art. 28 (Drittanbieter-Management).
BSI C5 Type II: Deutscher Cloud-Computing-Compliance-Kriterienkatalog des Bundesamts für Sicherheit in der Informationstechnik. AWS Frankfurt (eu-central-1) ist BSI C5 Type II attestiert — besonders relevant für BaFin-regulierte Institute.
ISO 27001 / ISO 22301: ISO 27001 für Informationssicherheit, ISO 22301 für Business Continuity Management. Beide Zertifizierungen sind von Aufsichtsbehörden als DORA-relevante Nachweise anerkannt.
PCI DSS Level 1: Für Zahlungsdienstleister und Kreditkartenverarbeitung. AWS ist als Level 1 Service Provider zertifiziert — der höchste PCI-DSS-Konformitätslevel.

Governance: Wer trägt die DORA-Verantwortung?

DORA legt die Verantwortung für die digitale operationale Resilienz explizit auf das Leitungsorgan — also Vorstand und Aufsichtsrat. Art. 5 DORA schreibt vor, dass das Leitungsorgan den IKT-Risikorahmen genehmigt, regelmäßig überprüft und über ausreichend Kenntnisse verfügt, um IKT-Risiken bewerten zu können.

Das bedeutet für die praktische Governance in AWS-Umgebungen:

Einrichtung eines Cloud Governance Board mit Vorstandsbeteiligung
Regelmäßige (quartalsweise) Resilience-Dashboards für das Leitungsorgan — aus AWS Resilience Hub und Security Hub automatisiert generierbar
Klare Rollenverteilung: CISO (IKT-Risikomanagement), CTO/CIO (technische Umsetzung), COO (Business Continuity), CFO (Drittanbieter-Verträge)
Jährliche DORA-Schulungspflicht für das Leitungsorgan

Storm Reply: DORA-Readiness auf AWS

Storm Reply ist AWS Premier Consulting Partner mit ausgewiesener Expertise im Finanzsektor. Mit der AWS Migration Competency, Security Competency und Financial Services Industry-Erfahrung begleiten wir Banken, Versicherungen und Zahlungsdienstleister auf dem Weg zur DORA-Compliance.

Unser DORA-Readiness-Angebot umfasst: Gap-Analyse gegen die fünf DORA-Säulen, Ableitung einer AWS-Service-Architektur für ICT-Risikomanagement, Drittanbieter-Vertragsreview, Aufbau des Resilienztestprogramms und Dokumentation für die Aufsichtsbehörde.

Häufig gestellte Fragen zu DORA und AWS

Was ist DORA und für wen gilt die Verordnung?: Der Digital Operational Resilience Act (DORA, EU 2022/2554) ist seit dem 17. Januar 2025 verbindlich für alle Finanzinstitute in der EU: Banken, Versicherungen, Investmentfirmen, Zahlungsdienstleister, Krypto-Asset-Dienstleister und kritische IKT-Drittanbieter.
Welche AWS-Services sind für die DORA-Compliance besonders relevant?: Für ICT-Risikomanagement: AWS Config, AWS Security Hub, Amazon GuardDuty. Für Vorfallsmanagement: Amazon CloudWatch, AWS CloudTrail, Amazon Detective. Für Resilienztests: AWS Fault Injection Service (FIS), AWS Resilience Hub.
Gilt AWS als kritischer IKT-Drittanbieter im Sinne von DORA?: AWS kann als kritischer IKT-Drittanbieter (CTPP) von EBA/ESMA/EIOPA eingestuft werden. Finanzinstitute müssen ihre vertraglichen Vereinbarungen an die DORA-Anforderungen für CTPP-Verträge anpassen und ein Konzentrationsrisiko-Management etablieren.
Wie erfüllt AWS die Auditrechte aus DORA Art. 30?: AWS stellt Compliance-Berichte (SOC 2 Type II, BSI C5 Type II, ISO 27001) über AWS Artifact bereit. Aufsichtsbehörden erkennen dieses pooled-audit-Modell an, sodass Finanzinstitute keine individuellen On-Site-Audits bei AWS durchführen müssen.

Quellen

DORA-Readiness Assessment?

Storm Reply analysiert Ihre Lücken gegenüber den fünf DORA-Säulen und definiert den AWS-Umsetzungspfad.

Kontakt aufnehmen

DORA-Compliance auf AWS: Praxisleitfaden für Finanzinstitute