Unter DORA sind regelmäßige Sicherheitsprüfungen kein Nice-to-have, sondern Pflicht. In der letzten Folge unserer DORA-Reihe erklärt Fachanwältin für IT-Recht Josefine Spengler, was genau getestet werden muss – und warum sich der Aufwand und ein strategisches Vorgehen dabei lohnen.

Sicher ist nur, was geprüft wird – und das regelmäßig, realitätsnah und risikoorientiert. Die letzte Folge der sechsteiligen DORA-Serie von Alles Legal – Fintech-Recht kompakt widmet sich einem der zentralen Elemente des Gesetzes: die Pflicht zu testen, wie robust digitale Prozesse bei Ausfällen oder Angriffen bleiben. Die Anforderungen an Finanzunternehmen sind dabei hoch.

unterliegen systemrelevante Unternehmen zusätzlichen Anforderungen: Sie müssen sogenannte Threat-Led Penetration Tests (TLPT) durchführen. Dabei handelt es sich um simulierte Cyber-Angriffe, die auf realistischen Bedrohungen basieren und gezielt die operative Belastbarkeit der jeweiligen Systeme überprüfen.

Auch kleinere Unternehmen sind nicht von der Testpflicht ausgenommen: Zwar gelten für Kleinstunternehmen und kleine Institute vereinfachte Regeln, ein risikobasierter Testansatz bleibt dennoch Pflicht. DORA fordert damit nicht bloß Nachweise für die Aufsicht, sondern zielt auf eine tiefere Verankerung von Testing als Teil der unternehmerischen Risikokultur.

Warum genau das ein strategischer Hebel für mehr Sicherheit ist, was bei internen Prüfer:innen beachtet werden muss und wie die BaFin über die Pflicht zu erweiterten Tests entscheidet, erfährst du in dieser kompakten Podcastfolge.