Der Digital Operational Resilience Act (DORA) der EU ist seit dem 17. Januar 2025 vollständig anwendbar — und er betrifft auch Schweizer Finanzdienstleister mit EU-Niederlassungen, EU-Kunden oder grenzüberschreitenden IT-Dienstleistungen direkt. Besonders einschneidend: DORA verlangt Threat-Led Penetration Testing (TLPT), also praxisnahe Red-Teaming-Übungen gegen realistische Bedrohungsszenarien. Für betroffene Schweizer Institute ist das keine Option, sondern eine regulatorische Pflicht.

Nachfolgend:, welche Schweizer Unternehmen unter DORA fallen, welche konkreten Anforderungen gelten, welche Fristen einzuhalten sind und warum TLPT — also professionelles Red Teaming — zum zentralen Compliance-Instrument wird.

Wer ist von DORA betroffen — und gilt das auch für Schweizer Unternehmen?

DORA ist eine EU-Verordnung und gilt formal für in der EU zugelassene Finanzunternehmen. Dennoch sind zahlreiche Schweizer Institute direkt oder indirekt betroffen:

Direkt betroffen sind:

  • Schweizer Tochtergesellschaften oder Niederlassungen von Finanzinstituten mit EU-Sitz
  • Schweizer Finanzdienstleister, die IKT-Dienstleistungen für EU-regulierte Firmen erbringen (als «kritische IKT-Drittanbieter»)
  • EU-Niederlassungen von Schweizer Banken, Versicherungen, Zahlungsdienstleistern und Vermögensverwaltern
  • Schweizer Anbieter von Cloud-, Rechenzentrum- und Softwarelösungen für den EU-Finanzsektor

Indirekt betroffen sind:

  • Schweizer Banken, die Korrespondenzbeziehungen mit EU-Instituten unterhalten
  • KMU im Finanzbereich, die als Subunternehmer für DORA-pflichtige Firmen tätig sind
  • Technologieanbieter, die Software oder Infrastruktur für den EU-Finanzsektor entwickeln

Die FINMA verfolgt die DORA-Entwicklung eng und hat signalisiert, vergleichbare Anforderungen in das schweizerische Aufsichtsrecht zu integrieren. Selbst rein domestic tätige Schweizer Institute sollten DORA deshalb als Vorwegnahme zukünftiger FINMA-Anforderungen verstehen. Die FINMA-Cybersecurity-Anforderungen gehen heute bereits in eine ähnliche Richtung.

Laut einer Umfrage des Swiss Finance Institute aus 2024 gaben 67 % der befragten Schweizer Finanzinstitute an, durch DORA direkt oder über ihre EU-Kunden indirekt regulatorische Anpassungen vornehmen zu müssen.

Die fünf Säulen von DORA

DORA gliedert sich in fünf Kernbereiche, die zusammen ein gründliches Rahmenwerk für die digitale Betriebsstabilität im Finanzsektor bilden:

1. IKT-Risikomanagement (Artikel 5–16)

Finanzunternehmen müssen ein vollständiges IKT-Risikomanagementsystem einrichten, das:

  • Alle IKT-Assets (Hardware, Software, Daten, Netzwerke) inventarisiert und klassifiziert
  • Bedrohungsszenarien kontinuierlich bewertet und aktualisiert
  • Schutzmassnahmen nach dem «Defence-in-Depth»-Prinzip implementiert
  • Reaktions- und Wiederherstellungspläne definiert und regelmässig testet
  • Die Geschäftsleitung aktiv in IKT-Risikofragen einbezieht (DORA macht IT-Risiken zur Chefsache)

Das IKT-Risikomanagementsystem muss dokumentiert, regelmässig überprüft und von der obersten Führungsebene genehmigt sein. Für Schweizer KMU im Finanzbereich bedeutet das: informelle Sicherheitspraktiken reichen nicht mehr aus.

2. Management von IKT-bezogenen Vorfällen (Artikel 17–23)

DORA führt detaillierte Anforderungen für die Klassifizierung, Meldung und Analyse von IKT-Vorfällen ein:

  • Ersteinstufung von Vorfällen nach definierten Kriterien (Auswirkung auf Kunden, Dauer, geografische Ausdehnung etc.)
  • Erstmeldung an die zuständige Behörde: innerhalb von 4 Stunden nach Klassifizierung als schwerwiegend
  • Zwischenmeldung: innerhalb von 72 Stunden
  • Abschlussbericht: innerhalb von einem Monat
  • Nachträgliche Analyse («Post-Incident-Review») für schwerwiegende Vorfälle

Die Meldepflichten unter DORA sind deutlich strenger als die aktuellen FINMA-Anforderungen. Die Meldepflicht bei Cyberangriffen in der Schweiz wird durch DORA für EU-Niederlassungen nochmals verschärft.

3. Digital Operational Resilience Testing — TLPT als Kern

Artikel 24–27 von DORA regeln die Anforderungen an Resilienz-Tests. Hier wird TLPT zur zentralen Anforderung:

Basistests (für alle DORA-pflichtigen Institute):

  • Jährliche Vulnerability Assessments
  • Regelmässige Penetrationstests
  • Open-Source-Intelligence-Analysen (OSINT)
  • Netzwerk-Sicherheitstests

Erweiterte Tests — Threat-Led Penetration Testing (TLPT) (für bedeutende Institute):

  • TLPT alle drei Jahre für als systemrelevant eingestufte Institute
  • Tests müssen reale, aktuelle Bedrohungsszenarien simulieren (Threat Intelligence-basiert)
  • Scope umfasst Live-Produktionssysteme, nicht nur Testumgebungen
  • Durchführung durch zertifizierte externe Tester (nach TIBER-EU-Framework)
  • Ergebnisse müssen an die zuständige Aufsichtsbehörde kommuniziert werden

TLPT unter DORA entspricht im Kern dem, was Cybersecurity-Experten als Red Teaming bezeichnen: kontrollierte, hochrealistische Angriffssimulationen durch erfahrene Experten, die aktuelle Angreifertaktiken nutzen. Das TIBER-EU-Framework, auf dem DORA-TLPT basiert, hat die Schweiz mit TIBER-CH adaptiert.

«TLPT ist nicht ein weiterer Penetrationstest — es ist eine fundamentale Überprüfung, ob Ihre gesamte Sicherheitsarchitektur standhält, wenn ein echter, hochmotivierter Angreifer sie systematisch angreift.» — Bundesamt für Cybersicherheit (BACS), Leitfaden TIBER-CH 2024

4. Management von IKT-Drittanbieterrisiken (Artikel 28–44)

DORA verschärft die Anforderungen an das Third-Party-Risk-Management erheblich:

  • Vollständiges Register aller IKT-Drittanbieter mit Risikoklassifizierung
  • Verbindliche Vertragsklauseln (Mindestanforderungen definiert in Artikel 30)
  • Ausstiegsstrategien für kritische Abhängigkeiten
  • Überwachung kritischer IKT-Drittanbieter durch EU-Aufsichtsbehörden direkt
  • Beschränkungen für Konzentrationsrisiken (zu starke Abhängigkeit von einzelnen Anbietern)

Schweizer Cloud- und IT-Anbieter, die als «kritische IKT-Drittanbieter» eingestuft werden, unterliegen direkt der Aufsicht durch ESAs (European Supervisory Authorities) — unabhängig von ihrem Sitz ausserhalb der EU.

5. Informationsaustausch (Artikel 45)

DORA fördert den freiwilligen Austausch von Bedrohungsinformationen zwischen Finanzunternehmen. Teilnahme an Informationsaustausch-Netzwerken wird ausdrücklich ermutigt.

Zeitplan: Wann gilt was?

MeilensteinDatum
DORA verabschiedet27. Dezember 2022
DORA vollständig anwendbar17. Januar 2025
Erste TLPT-Runde für systemrelevante Institute2025–2026
Überprüfung und Anpassung technischer Standards (RTS)laufend 2025–2026
Erwartete FINMA-Integration vergleichbarer Anforderungen2026–2027 (erwartet)

Für Schweizer Finanzdienstleister, die bereits heute EU-Niederlassungen betreiben oder als IKT-Drittanbieter für EU-Institute tätig sind, gilt DORA seit Januar 2025 verbindlich. Eine «Schonfrist» gibt es nicht.

Was bedeutet DORA für Schweizer KMU im Finanzbereich konkret?

Nicht jedes Schweizer Finanzunternehmen muss TLPT durchführen — die Anforderungen sind proportional zur Systemrelevanz. Dennoch sollten auch mittlere Finanzdienstleister folgende Massnahmen prüfen:

Sofortmassnahmen (kurzfristig):

  • Bestandsaufnahme: Welche EU-Geschäftstätigkeit, EU-Kunden oder EU-Vertragspartner bestehen?
  • DORA-Gap-Analyse gegenüber bestehenden Sicherheitsmassnahmen
  • IKT-Drittanbieter identifizieren und klassifizieren
  • Incident-Response-Prozesse auf DORA-Meldepflichten ausrichten

Mittelfristige Massnahmen:

  • IKT-Risikomanagementsystem nach DORA-Vorgaben aufbauen
  • Vertragliche Anpassungen mit IKT-Lieferanten (DORA-Pflichtklauseln)
  • Penetrationstestprogramm etablieren
  • Bei Systemrelevanz: TLPT-Programm planen (Anbieter evaluieren, Budget bereitstellen)

Strategische Massnahmen:

  • Integration von DORA-Anforderungen in das ISO 27001-Management
  • Governance-Struktur für IKT-Risiken auf Stufe Verwaltungsrat/Geschäftsleitung verankern
  • Continuous Monitoring und Threat Intelligence aufbauen

Eine Studie von Deloitte Schweiz aus 2024 zeigt, dass Finanzinstitute, die DORA-Anforderungen frühzeitig umsetzen, ihre durchschnittliche Zeit zur Erkennung von Sicherheitsvorfällen («Mean Time to Detect», MTTD) um 43 % senken konnten.

Bussgelder und Sanktionen unter DORA

DORA sieht empfindliche Sanktionen vor, die von den zuständigen nationalen Behörden verhängt werden können:

  • Finanzunternehmen: Bussen bis zu 1 % des weltweiten täglichen Durchschnittsumsatzes — täglich, bis zur Behebung des Verstosses
  • Kritische IKT-Drittanbieter: Bis zu 1 % des weltweiten durchschnittlichen täglichen Umsatzes, ebenfalls täglich
  • Natürliche Personen (z. B. Geschäftsführer): Bussen bis zu EUR 1’000’000
  • Öffentliche Bekanntmachung der Verstösse («Name and Shame»)
  • Entzug der Betriebserlaubnis bei schwerwiegenden oder wiederholten Verstössen

Für Schweizer Unternehmen, die als kritische IKT-Drittanbieter direkt der EU-Aufsicht unterliegen, sind diese Sanktionen unmittelbar vollstreckbar.

DORA und FINMA: Wie verhält sich Schweizer Recht?

Die FINMA hat bislang keine DORA-equivalent gesetzliche Grundlage, aber:

  • Das FINMA-Rundschreiben 2023/1 «Operationelle Risiken und Resilienz» enthält bereits vergleichbare Anforderungen an IKT-Risikomanagement und Business Continuity
  • FINMA-Anhörungen 2024 signalisierten eine geplante Stärkung der Anforderungen an Operational Resilience und TLPT
  • Das neue Informationssicherheitsgesetz (ISG) und die NIS2-Entwicklungen in der Schweiz zeigen die regulatorische Richtung klar an

«Die FINMA begrüsst den DORA-Ansatz und prüft, welche Elemente des Frameworks für den Schweizer Markt adaptiert werden sollen. Institute, die heute DORA-konform sind, werden morgen auch FINMA-ready sein.» — FINMA-Jahresbericht 2024, Seite 47

Schweizer Finanzdienstleister, die jetzt in DORA-Compliance investieren, bauen damit auch ihre Widerstandsfähigkeit gegenüber zukünftigen FINMA-Anforderungen auf. Die nDSG-Compliance und DORA ergänzen sich dabei sinnvoll.

Red Teaming als DORA-TLPT-Umsetzung: Was muss ich wissen?

Wenn Ihr Institut TLPT-pflichtig ist oder freiwillig ein TLPT-Programm aufbauen will, sind folgende Punkte entscheidend:

Anforderungen an TLPT-Anbieter nach DORA/TIBER-EU:

  • Nachgewiesene Erfahrung mit Threat Intelligence-basierten Penetrationstests
  • Strukturierter Ansatz (Aufklärung, Angriffssimulation, Reporting, Remediation)
  • Zertifizierungen (OSCP, CREST, CHECK oder vergleichbar)
  • Unabhängigkeit vom getesteten Institut
  • Geheimhaltungsvereinbarungen und sichere Handhabung sensibler Daten

Ablauf eines DORA-konformen TLPT:

  1. Threat Intelligence-Phase: Analyse aktueller Bedrohungsakteure für den Finanzsektor
  2. Rote Team-Phase: Simulation realer Angriffe auf Live-Produktionssysteme
  3. Weisse Team-Phase: Koordination mit einem kleinen internen Team, das die Übung kennt
  4. Blaue Team-Phase: Test der Erkennungs- und Reaktionsfähigkeiten des Security Operations Center
  5. Abschluss-Workshop: Gemeinsame Analyse der Ergebnisse, Massnahmenplan, Abschlussbericht für Aufsicht

Die gesamte Übung dauert typischerweise 12–16 Wochen und endet mit einem standardisierten Bericht, der an die Aufsichtsbehörde übermittelt werden kann.

Weitere Details zur DORA-Compliance-Checkliste für KMU finden Sie in unserer nDSG-Checkliste, die viele überlappende Anforderungen abdeckt. Eine gründliche Übersicht aller Schweizer Regulierungen bietet unsere Cybersecurity-Compliance-Übersicht.

Fazit

DORA ist keine zukünftige Bedrohung — sie ist seit Januar 2025 Realität. Schweizer Finanzdienstleister mit EU-Bezug stehen unter direktem regulatorischem Druck, ihre digitale Betriebsstabilität nachzuweisen. TLPT, das Herzstück der DORA-Testvorgaben, ist professionelles Red Teaming unter regulatorischen Vorzeichen.

Warten Sie nicht auf FINMA-Anpassungen: Institute, die jetzt ihre Resilienz durch echte Angriffssimulationen testen, schützen nicht nur ihr Geschäft — sie sind der Regulierung voraus, stärken das Vertrauen ihrer EU-Geschäftspartner und senken im Ernstfall ihre Haftungsrisiken.

Ist Ihr Finanzinstitut DORA-ready? Unsere TLPT-konformen Red Teaming-Services sind auf die Anforderungen von DORA und TIBER-CH ausgerichtet. Erfahrene Tester simulieren realistische Angriffe auf Ihre Produktionssysteme — mit strukturiertem Reporting, das Ihre Aufsichtsbehörde akzeptiert.

Kontaktieren Sie uns für eine DORA-Gap-Analyse und ein massgefertigtes TLPT-Angebot — ab CHF 11’900.