DORA

DORA-Resilienztests und TLPT einfach erklärt

Von SecDrills-Redaktion
DORA macht das Testen der digitalen Resilienz verbindlich – auf zwei Ebenen: ein Basis-Testprogramm für alle erfassten Unternehmen (Art. 24–25) und fortgeschrittenes Threat-Led Penetration Testing für benannte Institute (Art. 26–27). Hier ist beides mit den konkreten Pflichten erklärt.

Was verlangt das Basis-Testprogramm (Art. 24–25)?

Jedes Finanzunternehmen außer Kleinstunternehmen muss ein Programm zum Testen der digitalen operationalen Resilienz als festen Bestandteil seines IKT-Risikomanagementrahmens erstellen, pflegen und überprüfen (Art. 24 Abs. 1 DORA). Die Eckpunkte:

  • Risikobasierter Ansatz unter Berücksichtigung der Kritikalität von Assets und Diensten (Art. 24 Abs. 3).
  • Unabhängige Tester – intern oder extern; bei internen Testern ohne Interessenkonflikte (Art. 24 Abs. 4).
  • Nachverfolgung: Verfahren, um alle gefundenen Schwächen zu priorisieren und vollständig zu beheben (Art. 24 Abs. 5).
  • Jährlichkeit: Systeme und Anwendungen, die kritische oder wichtige Funktionen unterstützen, sind mindestens einmal pro Jahr zu testen (Art. 24 Abs. 6).
  • Breites Testspektrum nach Art. 25: von Schwachstellenbewertungen über szenariobasierte Tests und End-to-End-Tests bis zu Penetrationstests.

Dazu kommt aus dem Risikomanagement-Kapitel: Geschäftsfortführungs-, Reaktions- und Wiederherstellungspläne sowie Krisenkommunikationspläne sind mindestens jährlich zu testen (Art. 11 Abs. 6).

Was ist TLPT – Threat-Led Penetration Testing (Art. 26–27)?

Von den Behörden benannte Finanzunternehmen müssen zusätzlich bedrohungsorientierte Penetrationstests durchführen: reale Angreifer-Taktiken, ausgeführt an Live-Produktionssystemen, die kritische oder wichtige Funktionen unterstützen – mindestens alle drei Jahre (Art. 26 Abs. 1–2). Die technischen Standards dazu entstehen im Einklang mit dem TIBER-EU-Rahmen der EZB (Art. 26 Abs. 11). Wichtige Details: Jeder dritte Test braucht einen externen Tester; als bedeutend eingestufte Kreditinstitute müssen ausschließlich externe Tester einsetzen (Art. 26 Abs. 8). Sind IKT-Drittdienstleister im Test-Scope, sind gebündelte Tests mehrerer Finanzunternehmen möglich (Art. 26 Abs. 4). Nach Abschluss stellt die Behörde eine Bescheinigung aus, die EU-weit gegenseitig anerkannt wird (Art. 26 Abs. 7).

Basis-Testprogramm und TLPT im Vergleich

Basis-TestprogrammTLPT
Wer?alle Finanzunternehmen außer Kleinstunternehmen (abgestuft)von den Behörden benannte Finanzunternehmen
Was?Schwachstellenscans, szenariobasierte Tests, End-to-End- und Penetrationstests u. a. (Art. 25)bedrohungsorientierte Penetrationstests auf Basis realer Angreifer-Taktiken
Wo?Test-/Produktionsumgebung je nach Testartan Live-Produktionssystemen kritischer Funktionen (Art. 26 Abs. 2)
Wie oft?kritische Systeme mindestens jährlich (Art. 24 Abs. 6)mindestens alle 3 Jahre (Art. 26 Abs. 1)
Durch wen?unabhängige interne oder externe Tester (Art. 24 Abs. 4)Tester nach Art. 27; jeder dritte Test extern (Art. 26 Abs. 8)

Wer muss TLPT durchführen?

Nicht jedes Unternehmen: Die zuständigen Behörden benennen die TLPT-pflichtigen Finanzunternehmen anhand von Größe, Risikoprofil und Bedeutung für die Finanzstabilität (Art. 26 Abs. 8 UAbs. 3). Kleinstunternehmen und Unternehmen im vereinfachten Rahmen des Art. 16 sind ausgenommen – sie erfüllen ihre Testpflicht über das Basis-Testprogramm bzw. das regelmäßige Testen ihrer Geschäftsfortführungspläne.

Wo passen Tabletop-Übungen hinein?

TLPT prüft die technische Widerstandsfähigkeit. DORA verlangt daneben ausdrücklich die Erprobung von Reaktions-, Wiederherstellungs- und Kommunikationsplänen (Art. 11 Abs. 6) und nennt szenariobasierte Tests als Bestandteil des Testprogramms (Art. 25 Abs. 1) – also die menschliche und organisatorische Seite. Tabletop-Übungen decken genau diese Lücke ab: Sie trainieren Krisenstab, Eskalation und Meldewege unter Zeitdruck und liefern mit dem After-Action-Report einen prüffähigen Nachweis als Teil des Testprogramms – auch für Unternehmen, die nie ein TLPT durchführen müssen.

Häufige Fragen

Was ist TLPT unter DORA?

Threat-Led Penetration Testing ist ein bedrohungsorientierter Penetrationstest, der reale Angreifer-Taktiken nachbildet und an Live-Produktionssystemen durchgeführt wird, die kritische oder wichtige Funktionen unterstützen (Art. 26 Abs. 2). Die technischen Standards dazu orientieren sich am TIBER-EU-Rahmen der EZB (Art. 26 Abs. 11).

Wer muss TLPT durchführen – und wie oft?

Nur Finanzunternehmen, die die Behörden anhand von Größe, Risikoprofil und Bedeutung für die Finanzstabilität benennen – Kleinstunternehmen und Unternehmen im vereinfachten Rahmen sind ausgenommen. Der Zyklus: mindestens alle drei Jahre; die zuständige Behörde kann die Frequenz erhöhen oder senken (Art. 26 Abs. 1).

Zählt eine Tabletop-Übung zum DORA-Testprogramm?

Ja. Art. 25 Abs. 1 nennt ausdrücklich szenariobasierte Tests als Teil des Testprogramms, und Art. 11 Abs. 6 verlangt die mindestens jährliche Erprobung der Geschäftsfortführungs-, Reaktions- und Wiederherstellungspläne sowie der Krisenkommunikationspläne. Eine dokumentierte Tabletop-Übung erfüllt genau diese Bausteine.

Hinweis: Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung. Maßgeblich sind die jeweils geltenden Gesetzes- und Verordnungstexte sowie der aktuelle Stand der nationalen Umsetzung.

Szenariobasiert testen – mit Tabletop

Ergänzen Sie technische Tests um geübte Krisenreaktion. Starten Sie eine ENISA-konforme Tabletop-Übung.

Übungsreife-Check starten