DORA vs. ITIL: EU-Verordnung trifft IT-Best Practice
DORA vs. ITIL: EU-Verordnung trifft IT-Best Practice
In einer digital vernetzten Finanzwelt sind IT-Ausfälle keine Ausnahme, sondern kalkulierbare Risiken. Zwei bekannte Systeme greifen dieses Thema auf – die regulatorische Seite mit der EU-Verordnung DORA (2022/2554) und die operationale Seite mit dem ITIL-Framework für IT Service Management.
Doch wie passen diese beiden Ansätze zusammen? Kann ITIL helfen, DORA umzusetzen – oder stehen sich Gesetz und Framework im Weg?
Dieser Beitrag liefert eine praxisorientierte, kritische Analyse – und zeigt, wie Unternehmen aus beiden Welten profitieren können.
Was ist DORA – und was ist ITIL?
DORA (Digital Operational Resilience Act)
DORA ist seit Januar 2023 in Kraft und wird ab 2025 für regulierte Finanzunternehmen verbindlich. Sie schafft einheitliche Anforderungen an die digitale Belastbarkeit (Resilienz) – also an Systeme, Prozesse, Meldungen, Tests und Verträge.
Pflichtbestandteile u. a.:
-
Meldepflichten bei IKT-Vorfällen
-
Notfall- & Wiederherstellungspläne (BCP, RTO, RPO)
-
Vertragliche Absicherung kritischer Drittanbieter
-
Cyber-Resilienztests (z. B. TLPT)
-
Governance- & Auditpflichten
ITIL (Information Technology Infrastructure Library)
ITIL ist ein global anerkanntes Framework zur Gestaltung von IT-Serviceprozessen. Es ist nicht verpflichtend, aber in vielen Organisationen Standard – insbesondere im Betrieb kritischer Systeme.
Schwerpunkte von ITIL v4:
-
Wertorientierte IT-Services
-
Prozesse wie Incident-, Problem- & Change-Management
-
Rollenmodelle & Verantwortlichkeiten (RACI)
-
Integration in Unternehmensziele
Vergleich im Überblick: DORA vs. ITIL
| Thema | DORA (Verordnung) | ITIL (Framework) |
|---|---|---|
| Rechtscharakter | EU-weit verbindlich | Freiwilliger Standard |
| Geltungsbereich | Finanzsektor + kritische IKT-Dienstleister | Alle Branchen |
| Meldung von Vorfällen | Pflicht binnen 4h / 3d / 1 Monat | Intern geregelt, keine Fristen |
| Resilienztests | Pflicht für kritische Institute (z. B. TLPT) | empfohlen, nicht verpflichtend |
| Governance & Haftung | Vorstandshaftung, Auditpflicht | Empfehlungen, keine rechtliche Pflicht |
| Drittanbietersteuerung | vorgeschriebene Vertragsklauseln, Auditrechte | Servicekontinuität, aber flexibel |
| Audits | durch Aufsichtsbehörden | intern oder freiwillig extern |
| Update-Zyklus | durch EU & ESAs geregelt | Community-/Expertenbasiert |
| Anpassbarkeit | begrenzt durch Gesetz & Proportionalität | hoch flexibel, skalierbar |
Wo sich DORA & ITIL ergänzen
ITIL ist kein Ersatz für DORA – aber ein Werkzeugkasten zur Umsetzung vieler DORA-Vorgaben. Beispiele:
-
Meldestrukturen (DORA) → Incident & Escalation Management (ITIL)
-
Risikoanalysen (DORA) → Continual Improvement & Problem-Management (ITIL)
-
Drittanbietersteuerung (DORA) → Supplier Management & CMDB (ITIL)
-
Wiederanlauf & BCP (DORA) → Service Continuity & Recovery Planning (ITIL)
Wer DORA umsetzen will, findet in ITIL eine strukturierte Antwort auf das „Wie“. Der Schlüssel liegt in der Zuordnung von Pflichten zu Prozessen.
Stolpersteine & Unterschiede
Trotz vieler Überschneidungen gibt es kritische Differenzen:
-
Verbindlichkeit: ITIL allein erfüllt keine DORA-Vorgabe. Fristen und Inhalte sind gesetzlich bindend.
-
Dokumentationstiefe: DORA verlangt revisionssichere, auditierbare Nachweise. ITIL lässt Freiraum.
-
Rollenverständnis: DORA macht die Geschäftsführung haftbar – ITIL lässt Verantwortung oft im Betrieb.
Risiko in der Praxis: Wenn Unternehmen nur mit ITIL-Logik arbeiten, ohne DORA-relevante Prozesse formell zu dokumentieren, drohen Sanktionen.
Umsetzung in der Praxis – mit beiden Systemen
Ein Zahlungsinstitut wird Opfer eines Cyberangriffs. So greift die Logik beider Systeme:
-
DORA-Sicht:
-
Vorfall-Kategorisierung & Sofortmeldung an Aufsicht (4h)
-
Zwischenbericht mit Ursachenanalyse (3 Tage)
-
Abschlussbericht mit Lessons Learned (30 Tage)
-
-
ITIL-Sicht:
-
Incident-Erfassung und Eskalation nach SLA
-
Problem-Management zur Ursachenanalyse
-
Change-Prozess zur Behebung und Prävention
-
Nur im Zusammenspiel wird aus dem Vorfall ein kontrollierter, regelkonformer und nachhaltiger Prozess.
Strategien für Unternehmen
-
Pflichten zuordnen:
- Erstelle eine DORA-Checkliste und mappe diese auf bestehende ITIL-Prozesse
-
Tool-Landschaft anpassen:
- SIEM, CMDB, GRC-Systeme verknüpfen für Meldungen, Nachweise, Auditdokumentation
-
Governance klären:
- Rollen wie DORA-Officer, Compliance-Verantwortliche und ITSM-Owner formell definieren
-
Meldeschwellen simulieren:
- Probetests & Penetration Testing einführen (ggf. nach TIBER-EU)
-
Dokumentation erhöhen:
- Logs, Entscheidungsgrundlagen & Eskalationen nachvollziehbar erfassen
Fazit: DORA ist Pflicht, ITIL ist Chance
DORA zwingt zur Resilienz – ITIL hilft beim operativen Aufbau. Beide zusammen ergeben ein stabiles Fundament für ein auditfestes, krisenresistentes und regulatorisch abgesichertes IT-Management.
Wer nur DORA erfüllt, aber keine gelebten Prozesse hat, riskiert Lücken. Wer nur ITIL einsetzt, ohne regulatorische Anforderungen zu erfüllen, gefährdet Zulassungen und Reputation.
Empfehlung: Nutze ITIL bewusst als Werkzeug zur DORA-Umsetzung – und nicht als Alternative.
