DORA Artikel 19, 28 und 30: Warum ein ISMS für Finanzunternehmen nicht mehr ausreicht
DORA verlangt operative Kundenkommunikation bei Vorfällen, ein aktuelles IKT-Dienstleisterregister und fortlaufendes Monitoring. Ein ISMS allein reicht dafür nicht aus.
DORA Artikel 19, 28 und 30: Warum ein ISMS für Finanzunternehmen nicht mehr ausreicht
Die DORA-Verordnung gilt seit dem 17. Januar 2025 unmittelbar für fast alle Finanzunternehmen in der EU. Sie bringt Anforderungen mit sich, die ein klassisches ISMS nicht erfüllen kann – insbesondere bei der Kundenkommunikation und dem fortlaufenden Monitoring von IKT-Dienstleistern.
Was ein ISMS abdeckt – und was nicht
Ein ISMS nach ISO 27001 liefert Governance: Richtlinien, Risikoregister, Kontrollen, jährliche Audits. DORA baut darauf auf – Artikel 5 und 6 fordern einen dokumentierten IKT-Risikomanagementrahmen unter Verantwortung des Leitungsorgans. Das kann ein ISMS leisten.
Doch DORA geht an drei Stellen deutlich weiter:
1. Artikel 19(3): Kunden müssen unverzüglich informiert werden
DORA führt nicht nur Meldefristen gegenüber Aufsichtsbehörden ein (4 Stunden Erstmeldung, 72 Stunden Zwischenmeldung, 1 Monat Abschluss). Artikel 19 Absatz 3 verlangt zusätzlich:
„Wenn ein schwerwiegender IKT-bezogener Vorfall auftritt und Auswirkungen auf die finanziellen Interessen von Kunden hat, unterrichten die Finanzunternehmen, sobald sie hiervon Kenntnis erlangt haben, ihre Kunden unverzüglich."
Das ist neu: Die Kommunikation läuft nicht nur vertikal zur Behörde, sondern horizontal zu Geschäftspartnern. Ein ISMS dokumentiert Vorfälle intern – es bietet keinen Kanal zur strukturierten Kundenkommunikation in Echtzeit.
2. Artikel 28(3): Das Informationsregister muss aktuell sein
Finanzunternehmen müssen ein vollständiges Register aller IKT-Drittdienstleister führen und aktualisieren – nicht als einmalige Übung, sondern laufend. Die BaFin kann dieses Register jederzeit anfordern.
Ein ISMS enthält typischerweise eine Lieferantenliste. Aber ein Register im DORA-Sinne erfordert strukturierte, aktuelle Daten zu Vertragsumfang, Standorten, Subunternehmern und Kritikalität – idealerweise in einem Format, das sich automatisiert befüllen lässt.
3. Artikel 30(3)(e): Fortlaufende Überwachung – nicht jährliche Audits
DORA verlangt in Verträgen mit kritischen IKT-Dienstleistern „das Recht, die Leistung des IKT-Drittdienstleisters fortlaufend zu überwachen". Gleichzeitig nennt die Verordnung als Mechanismen: „Zugangs-, Inspektions- und Auditrechte", „Vor-Ort-Prüfungen".
Hier klafft eine Lücke: DORA fordert kontinuierliches Monitoring, setzt aber Instrumente aus der Welt jährlicher Audits voraus. Kein Finanzunternehmen kann 30 IKT-Dienstleister quartalsweise vor Ort prüfen. Was „fortlaufend" operativ bedeutet, muss anders gelöst werden: mit Dashboards, automatisierten Status-Updates und strukturierten Datenfeeds.
Die Lösung: ISMS für Governance, Trust Center für Operations
DORA trennt implizit zwei Welten: interne Steuerung und externe Kommunikation. Ein ISMS deckt die erste ab. Für die zweite – Kundenkommunikation bei Vorfällen, fortlaufendes Dienstleister-Monitoring, aktuelles Informationsregister – braucht es ein operatives System.
Ein Trust Center schließt genau diese Lücke: Es macht Sicherheitsstatus sichtbar, ermöglicht proaktive Kommunikation und liefert strukturierte Daten, die Kunden direkt in ihr eigenes Informationsregister übernehmen können.
Quellen: