Seit 2025 gelten für Finanzinstitute in der Europäischen Union die Anforderungen der DORA-Verordnung (Digital Operational Resilience Act, EU 2022/2554). Die Verordnung verpflichtet Banken, Versicherungen, Wertpapierfirmen, Zahlungsdienstleister und weitere Finanzunternehmen dazu, ihre digitale operationelle Resilienz strukturiert zu steuern, zu dokumentieren und gegenüber Aufsichtsbehörden nachweisbar zu machen.
Auch IKT-Drittdienstleister, die von den Europäischen Aufsichtsbehörden (EBA, ESMA, EIOPA) als kritisch eingestuft werden, unterliegen künftig einer verstärkten europäischen Aufsicht.
Mit dem HEINZELMANN Service.Desk stellt die FCS Fair Computer Systems GmbH eine modulare IT-Service-Management-Plattform bereit, die Finanzunternehmen bei der strukturierten, revisionssicheren Unterstützung der prozessualen DORA-Anforderungen unterstützt – von der Asset-Transparenz über das Risikomanagement bis hin zur lückenlosen Audit-Dokumentation.
Struktur, Nachvollziehbarkeit und kontinuierliche Verbesserung
„DORA fordert keine spezielle Software, sondern klare Strukturen, nachvollziehbare Prozesse und belastbare Dokumentation“, erklärt Bastian Brand, Spezialist für IT Management und Vertrieb bei FCS Fair Computer Systems.
„Wenn Institute den HEINZELMANN Service.Desk konsequent als zentrales ITSM- und Prozesssystem einsetzen, schaffen sie bereits die organisatorische Grundlage für viele operative DORA-Anforderungen – von strukturierten Workflows über Fristenkontrolle bis hin zur revisionssicheren Nachweisführung. Entscheidend ist nicht das Tool allein, sondern dass Prozesse systematisch und transparent darüber gesteuert werden.“
Flexibel skalierbar und wirtschaftlich planbar
Dank der modularen Architektur starten Institute mit einer Basislizenz und erweitern bedarfsgerecht um Module wie:
Automatisierte Eskalationsmechanismen und ein vollständiger Audit-Trail unterstützen insbesondere die Einhaltung enger regulatorischer Meldefristen.
Strukturierte Unterstützung zentraler DORA-Anforderungen
Der HEINZELMANN Service.Desk unterstützt die operative Umsetzung und Nachweisführung insbesondere in folgenden Bereichen:
IKT-Asset-Transparenz
DORA verlangt ein vollständiges und aktuelles Register aller IKT-Assets und ihrer Abhängigkeiten. Durch die Integration mit Asset-Management-Lösungen wie Asset.Desk können Tickets direkt mit betroffenen Geräten und Software-Assets verknüpft werden. Dadurch entsteht die notwendige Transparenzbasis für Risikoanalysen und Vorfallbewertungen.
IKT-Risikomanagement
Risiken, Maßnahmen und Verantwortlichkeiten lassen sich strukturiert als dedizierte Tickettypen (z. B. „Risiko“) erfassen.
Die integrierte Workflow-Engine unterstützt den gesamten Lebenszyklus – von Identifizierung und Bewertung bis zur Umsetzung und Dokumentation von Gegenmaßnahmen. So wird eine nachvollziehbare Steuerung regulatorischer Anforderungen ermöglicht.
Änderungsmanagement
Unkontrollierte Änderungen zählen zu den häufigsten Ursachen für IKT-Vorfälle. HEINZELMANN unterstützt kontrollierte, dokumentierte und genehmigte Change-Prozesse im Sinne eines strukturierten ITIL-orientierten Change Managements – als Baustein eines stabilen IKT-Kontrollrahmens.
IKT-Vorfälle & Meldepflichten
Standardisierte Incident-Workflows ermöglichen eine strukturierte Klassifizierung nach Schweregrad und Priorität.
Automatisiertes Eskalationsmanagement überwacht Fristen und Bearbeitungsstände. Die lückenlose Historie aller Prozessschritte schafft einen revisionssicheren Audit-Trail zur internen und externen Nachweisführung.
Lernen und Weiterentwickeln
DORA fordert eine kontinuierliche Verbesserung („Learning and Evolving“). Über die integrierte KnowledgeBase können Lösungen aus Tickets systematisch dokumentiert und wiederverwendet werden.
Erkenntnisse aus Vorfällen fließen so strukturiert in die Weiterentwicklung der Organisation ein.
Resilienztests und Prüfungen
DORA sieht umfangreiche Testanforderungen bis hin zu fortgeschrittenen Tests bei größeren Instituten vor.
Der HEINZELMANN Service.Desk führt keine Tests durch, unterstützt jedoch die strukturierte Dokumentation, Maßnahmenverfolgung und revisionssichere Ablage von Test- und Prüfungsergebnissen – beispielsweise aus Notfallübungen oder Penetrationstests.
Drittparteien-Management
DORA verpflichtet Finanzunternehmen zu einem strukturierten Management von IKT-Drittparteien.
Wiederkehrende Prüfungen von SLAs, Zertifizierungen oder vertraglichen Mindestanforderungen können über Vorlagen („Geplante Tasks“) automatisiert als periodische Tickets erzeugt und dokumentiert werden. So wird eine transparente Nachverfolgung regulatorischer Kontrollpflichten unterstützt.
Skalierbarkeit nach dem Proportionalitätsprinzip
Die modulare Struktur des HEINZELMANN Service.Desk ermöglicht eine Anwendung gemäß dem DORA-Proportionalitätsprinzip:
Kleinere Institute können schlanke, risikoorientierte Prozesse implementieren, während komplexe Organisationen erweiterte ITIL-Prozessmodelle inklusive Change-, Problem- und Eskalationsmanagement nutzen.
Praxisbeispiele aus dem regulatorischen Alltag
Um die prozessuale Unterstützung greifbar zu machen, lassen sich typische DORA-relevante Szenarien wie folgt abbilden:
Beispiel 1: Meldepflichtiger IKT-Vorfall
Ein Zahlungsdienstleister identifiziert einen schwerwiegenden IKT-Vorfall mit potenziellen Auswirkungen auf Kundentransaktionen.
Beispiel 2: Nachverfolgung eines Findings aus einem Resilienztest
Im Rahmen eines Penetrationstests wird eine kritische Schwachstelle identifiziert.
Beispiel 3: Drittparteienprüfung
Ein Institut ist verpflichtet, regelmäßig die Einhaltung vertraglicher Mindestanforderungen eines IKT-Dienstleisters zu überprüfen.
Über HEINZELMANN Service.Desk
Der HEINZELMANN Service.Desk der FCS Fair Computer Systems GmbH ist eine webbasierte ITSM-Plattform für die strukturierte Steuerung von Serviceprozessen. Dank seiner modularen Architektur ermöglicht das System eine lückenlose, revisionssichere Dokumentation von Störungen und Änderungen (Incidents & Changes) – eine unverzichtbare Basis für DORA-konforme Nachweise. Die Lösung unterstützt ITIL-orientierte Workflows und integriert Asset-Management-Daten nahtlos, um Abhängigkeiten transparent zu machen. Verfügbar als On-Premise-Installation für maximale Datenhoheit oder als zertifizierte SaaS-Lösung (Hosted in Germany).
Wichtige Hinweise zu Geltungsbereich und Compliance
Verantwortung: Die vollständige Verantwortung für die Einhaltung der DORA-Anforderungen verbleibt stets beim Finanzunternehmen – auch bei Auslagerung von IT-Dienstleistungen.
Unterstützungscharakter: Der HEINZELMANN Service.Desk unterstützt die strukturierte Umsetzung und Dokumentation regulatorischer Anforderungen, ersetzt jedoch keine eigenständige regulatorische Bewertung oder Rechtsberatung.
Auch IKT-Drittdienstleister, die von den Europäischen Aufsichtsbehörden (EBA, ESMA, EIOPA) als kritisch eingestuft werden, unterliegen künftig einer verstärkten europäischen Aufsicht.
Mit dem HEINZELMANN Service.Desk stellt die FCS Fair Computer Systems GmbH eine modulare IT-Service-Management-Plattform bereit, die Finanzunternehmen bei der strukturierten, revisionssicheren Unterstützung der prozessualen DORA-Anforderungen unterstützt – von der Asset-Transparenz über das Risikomanagement bis hin zur lückenlosen Audit-Dokumentation.
Struktur, Nachvollziehbarkeit und kontinuierliche Verbesserung
„DORA fordert keine spezielle Software, sondern klare Strukturen, nachvollziehbare Prozesse und belastbare Dokumentation“, erklärt Bastian Brand, Spezialist für IT Management und Vertrieb bei FCS Fair Computer Systems.
„Wenn Institute den HEINZELMANN Service.Desk konsequent als zentrales ITSM- und Prozesssystem einsetzen, schaffen sie bereits die organisatorische Grundlage für viele operative DORA-Anforderungen – von strukturierten Workflows über Fristenkontrolle bis hin zur revisionssicheren Nachweisführung. Entscheidend ist nicht das Tool allein, sondern dass Prozesse systematisch und transparent darüber gesteuert werden.“
Flexibel skalierbar und wirtschaftlich planbar
Dank der modularen Architektur starten Institute mit einer Basislizenz und erweitern bedarfsgerecht um Module wie:
- WORKFLOW für automatisierte Genehmigungs- und Meldeprozesse
- E-MAIL zur strukturierten Ticketgenerierung
- LDAP/AUTH zur sicheren Active-Directory-Integration
Automatisierte Eskalationsmechanismen und ein vollständiger Audit-Trail unterstützen insbesondere die Einhaltung enger regulatorischer Meldefristen.
Strukturierte Unterstützung zentraler DORA-Anforderungen
Der HEINZELMANN Service.Desk unterstützt die operative Umsetzung und Nachweisführung insbesondere in folgenden Bereichen:
IKT-Asset-Transparenz
DORA verlangt ein vollständiges und aktuelles Register aller IKT-Assets und ihrer Abhängigkeiten. Durch die Integration mit Asset-Management-Lösungen wie Asset.Desk können Tickets direkt mit betroffenen Geräten und Software-Assets verknüpft werden. Dadurch entsteht die notwendige Transparenzbasis für Risikoanalysen und Vorfallbewertungen.
IKT-Risikomanagement
Risiken, Maßnahmen und Verantwortlichkeiten lassen sich strukturiert als dedizierte Tickettypen (z. B. „Risiko“) erfassen.
Die integrierte Workflow-Engine unterstützt den gesamten Lebenszyklus – von Identifizierung und Bewertung bis zur Umsetzung und Dokumentation von Gegenmaßnahmen. So wird eine nachvollziehbare Steuerung regulatorischer Anforderungen ermöglicht.
Änderungsmanagement
Unkontrollierte Änderungen zählen zu den häufigsten Ursachen für IKT-Vorfälle. HEINZELMANN unterstützt kontrollierte, dokumentierte und genehmigte Change-Prozesse im Sinne eines strukturierten ITIL-orientierten Change Managements – als Baustein eines stabilen IKT-Kontrollrahmens.
IKT-Vorfälle & Meldepflichten
Standardisierte Incident-Workflows ermöglichen eine strukturierte Klassifizierung nach Schweregrad und Priorität.
Automatisiertes Eskalationsmanagement überwacht Fristen und Bearbeitungsstände. Die lückenlose Historie aller Prozessschritte schafft einen revisionssicheren Audit-Trail zur internen und externen Nachweisführung.
Lernen und Weiterentwickeln
DORA fordert eine kontinuierliche Verbesserung („Learning and Evolving“). Über die integrierte KnowledgeBase können Lösungen aus Tickets systematisch dokumentiert und wiederverwendet werden.
Erkenntnisse aus Vorfällen fließen so strukturiert in die Weiterentwicklung der Organisation ein.
Resilienztests und Prüfungen
DORA sieht umfangreiche Testanforderungen bis hin zu fortgeschrittenen Tests bei größeren Instituten vor.
Der HEINZELMANN Service.Desk führt keine Tests durch, unterstützt jedoch die strukturierte Dokumentation, Maßnahmenverfolgung und revisionssichere Ablage von Test- und Prüfungsergebnissen – beispielsweise aus Notfallübungen oder Penetrationstests.
Drittparteien-Management
DORA verpflichtet Finanzunternehmen zu einem strukturierten Management von IKT-Drittparteien.
Wiederkehrende Prüfungen von SLAs, Zertifizierungen oder vertraglichen Mindestanforderungen können über Vorlagen („Geplante Tasks“) automatisiert als periodische Tickets erzeugt und dokumentiert werden. So wird eine transparente Nachverfolgung regulatorischer Kontrollpflichten unterstützt.
Skalierbarkeit nach dem Proportionalitätsprinzip
Die modulare Struktur des HEINZELMANN Service.Desk ermöglicht eine Anwendung gemäß dem DORA-Proportionalitätsprinzip:
Kleinere Institute können schlanke, risikoorientierte Prozesse implementieren, während komplexe Organisationen erweiterte ITIL-Prozessmodelle inklusive Change-, Problem- und Eskalationsmanagement nutzen.
Praxisbeispiele aus dem regulatorischen Alltag
Um die prozessuale Unterstützung greifbar zu machen, lassen sich typische DORA-relevante Szenarien wie folgt abbilden:
Beispiel 1: Meldepflichtiger IKT-Vorfall
Ein Zahlungsdienstleister identifiziert einen schwerwiegenden IKT-Vorfall mit potenziellen Auswirkungen auf Kundentransaktionen.
- Das Incident wird als Ticket mit definiertem Schweregrad erfasst.
- Automatische Eskalationen informieren definierte Rollen (z. B. IT-Leitung, Informationssicherheitsbeauftragter, Compliance).
- Fristen für Erst-, Zwischen- und Abschlussmeldungen werden systemseitig überwacht.
- Sämtliche Maßnahmen, Entscheidungen und Kommunikationsschritte werden revisionssicher protokolliert.
Beispiel 2: Nachverfolgung eines Findings aus einem Resilienztest
Im Rahmen eines Penetrationstests wird eine kritische Schwachstelle identifiziert.
- Das Finding wird als Risikoticket erfasst und bewertet.
- Maßnahmen zur Behebung werden mit Verantwortlichkeiten und Fristen hinterlegt.
- Der Umsetzungsstatus wird dokumentiert.
- Nach Abschluss erfolgt eine dokumentierte Wirksamkeitsprüfung.
Beispiel 3: Drittparteienprüfung
Ein Institut ist verpflichtet, regelmäßig die Einhaltung vertraglicher Mindestanforderungen eines IKT-Dienstleisters zu überprüfen.
- Über „Geplante Tasks“ wird automatisch ein periodisches Prüfticket erzeugt.
- SLA-Nachweise, Zertifikate oder Auditberichte werden als Dokumente hinterlegt.
- Prüfergebnisse und Bewertungen werden nachvollziehbar dokumentiert.
- Bei Abweichungen werden Folgemaßnahmen als separate Tickets gesteuert.
Über HEINZELMANN Service.Desk
Der HEINZELMANN Service.Desk der FCS Fair Computer Systems GmbH ist eine webbasierte ITSM-Plattform für die strukturierte Steuerung von Serviceprozessen. Dank seiner modularen Architektur ermöglicht das System eine lückenlose, revisionssichere Dokumentation von Störungen und Änderungen (Incidents & Changes) – eine unverzichtbare Basis für DORA-konforme Nachweise. Die Lösung unterstützt ITIL-orientierte Workflows und integriert Asset-Management-Daten nahtlos, um Abhängigkeiten transparent zu machen. Verfügbar als On-Premise-Installation für maximale Datenhoheit oder als zertifizierte SaaS-Lösung (Hosted in Germany).
Wichtige Hinweise zu Geltungsbereich und Compliance
Verantwortung: Die vollständige Verantwortung für die Einhaltung der DORA-Anforderungen verbleibt stets beim Finanzunternehmen – auch bei Auslagerung von IT-Dienstleistungen.
Unterstützungscharakter: Der HEINZELMANN Service.Desk unterstützt die strukturierte Umsetzung und Dokumentation regulatorischer Anforderungen, ersetzt jedoch keine eigenständige regulatorische Bewertung oder Rechtsberatung.
