--- title: "BAIT und Cloud: Was Banken bei der Datenspeicherung beachten müssen" date: 2026-02-26T15:45:00+01:00 author: FAST LTA canonical_url: "https://www.fast-lta.de//de/blog/bait-cloud-banken" section: "Entries: Articles" --- ### 1. Von BAIT zu DORA: Recht­li­cher Rah­men und Gel­tungs­be­reich [\#](#1-von-bait-zu-dora-rechtlicher-rahmen-und-geltungsbereich "1. Von BAIT zu DORA: Rechtlicher Rahmen und Geltungsbereich") BAIT steht für ​„Bank­auf­sicht­li­che Anfor­de­run­gen an die IT”. Das Rund­schrei­ben der Bun­des­an­stalt für Finanz­dienst­leis­tungs­auf­sicht (BaFin) ope­ra­tio­na­li­sier­te §25a des Kre­dit­we­sen­ge­set­zes (KWG) für Kre­dit­in­sti­tu­te: Voll­ban­ken, Spar­kas­sen, Genos­sen­schafts­ban­ken, Bau­spar­kas­sen. Es war natio­na­les Auf­sichts­recht mit Bin­dungs­wir­kung durch die BaFin. Seit dem 17. Janu­ar 2025 gilt DORA für Finanz­un­ter­neh­men und IKT-Dritt­dienst­leis­ter in der gesam­ten EU. Die BaFin hat die BAIT mit der DORA-Gel­tung weit­ge­hend auf­ge­ho­ben; aktu­el­le Rechts­grund­la­ge für IT-Sicher­heit, Daten­si­che­rung und Aus­la­ge­rung in Ban­ken ist heu­te DORA, ergänzt durch §25a und §25b KWG sowie die MaRisk. Für die Pra­xis bedeu­tet das: Wer sei­ne IT-Orga­ni­sa­ti­on nach BAIT auf­ge­baut hat, hat eine soli­de Basis. Die Prü­fungs­maß­stä­be der BaFin ori­en­tie­ren sich aber an DORA, und DORA ist in meh­re­ren Punk­ten kon­kre­ter, etwa bei Ver­trags­in­hal­ten und Exit-Strategien. #### Die rele­van­ten The­men­fel­der für Daten­spei­che­rung [\#](#die-relevanten-themenfelder-f%C3%BCr-datenspeicherung "Die relevanten Themenfelder für Datenspeicherung") Die The­men, die BAIT in eige­nen Kapi­teln behan­del­te, fin­den sich in DORA wieder: - **IT-Stra­te­gie und Gover­nan­ce:** Grund­satz­ent­schei­dun­gen zur IT-Archi­tek­tur, Ver­ant­wor­tung der Geschäfts­lei­tung (DORA Kapi­tel II, IKT-Risikomanagement) - **IT-Betrieb und Daten­si­che­rung:** Betriebs­si­cher­heit, Back­up-Richt­li­ni­en, Wie­der­her­stel­lungs­ver­fah­ren (DORA Art. 9 bis 12) - **Aus­la­ge­run­gen:** Pflich­ten beim Bezug von IKT-Dienst­leis­tun­gen Drit­ter, Cloud-Anbie­ter ein­ge­schlos­sen (DORA Kapi­tel V, Art. 28 ff.; dane­ben §25b KWG) - **Not­fall­ma­nage­ment:** Busi­ness Con­ti­nui­ty, Reco­very-Fähig­kei­ten, Wie­der­her­stel­lungs­tests (DORA Art. 11 und Kapi­tel IV, Resilienztests) --- ### 2. Was die Auf­sicht zur Daten­si­che­rung kon­kret for­dert [\#](#2-was-die-aufsicht-zur-datensicherung-konkret-fordert "2. Was die Aufsicht zur Datensicherung konkret fordert") #### Daten­si­che­rung als IT-Betriebs­pflicht [\#](#datensicherung-als-it-betriebspflicht "Datensicherung als IT-Betriebspflicht") Kre­dit­in­sti­tu­te müs­sen eine regel­mä­ßi­ge und voll­stän­di­ge Daten­si­che­rung sicher­stel­len. DORA Art. 12 ver­langt aus­drück­lich Richt­li­ni­en und Ver­fah­ren für Daten­si­che­rung sowie Wie­der­her­stel­lungs­ver­fah­ren. Die Anfor­de­run­gen umfassen: - Regel­mä­ßi­ge Back­ups aller geschäfts­kri­ti­schen Daten - Nach­weis der Wie­der­her­stell­bar­keit durch regel­mä­ßi­ge Restore-Tests - Fest­ge­leg­te Reco­very Time Objec­ti­ves (RTO) und Reco­very Point Objec­ti­ves (RPO) - Schutz der Siche­rungs­ko­pien vor unbe­fug­tem Zugriff und Manipulation Star­re Min­dest­fre­quen­zen gibt es nicht. Maß­geb­lich ist das Risi­ko­pro­fil des Insti­tuts: Ein kri­ti­sches Zah­lungs­sys­tem erfor­dert ande­re Back­up-Inter­val­le als ein Archiv für Kreditunterlagen. #### Not­fall­ma­nage­ment: Wie­der­her­stel­lung als Pflicht [\#](#notfallmanagement-wiederherstellung-als-pflicht "Notfallmanagement: Wiederherstellung als Pflicht") Die Auf­sicht for­dert einen nach­ge­wie­se­nen Not­fall­plan, der expli­zit die Wie­der­her­stel­lung von IT-Sys­te­men und Daten abdeckt. Kon­kret muss das Institut: - Sze­na­ri­en für den Total­aus­fall kri­ti­scher Sys­te­me durch­ge­spielt haben - Wie­der­her­stel­lungs­pro­zes­se doku­men­tie­ren und regel­mä­ßig testen - Sicher­stel­len, dass Back­ups auch im Angriffs­fall (Ran­som­wa­re, Sabo­ta­ge) ver­füg­bar bleiben Ein Back­up, das im Ernst­fall nicht wie­der­her­stell­bar ist, erfüllt die­se Anfor­de­run­gen nicht, auch wenn es tech­nisch existiert. --- ### 3. Cloud-Back­up als kri­ti­sche Aus­la­ge­rung: Was die Auf­sicht for­dert [\#](#3-cloud-backup-als-kritische-auslagerung-was-die-aufsicht-fordert "3. Cloud-Backup als kritische Auslagerung: Was die Aufsicht fordert") #### Wann liegt eine Aus­la­ge­rung vor? [\#](#wann-liegt-eine-auslagerung-vor "Wann liegt eine Auslagerung vor?") Eine Aus­la­ge­rung ist die Über­tra­gung von Akti­vi­tä­ten und Pro­zes­sen auf einen exter­nen Dienst­leis­ter, die sonst vom Insti­tut selbst erbracht wür­den. Wer sei­ne Daten­si­che­rung in eine Public Cloud aus­la­gert, erfüllt die­se Defi­ni­ti­on regel­mä­ßig. Unter DORA ist jeder Cloud-Anbie­ter zugleich ein IKT-Dritt­dienst­leis­ter, des­sen Nut­zung den Anfor­de­run­gen des Kapi­tels V unterliegt. #### IKT-Diens­te für kri­ti­sche oder wich­ti­ge Funk­tio­nen [\#](#ikt-dienste-f%C3%BCr-kritische-oder-wichtige-funktionen "IKT-Dienste für kritische oder wichtige Funktionen") DORA unter­schei­det, ob ein IKT-Dienst eine kri­ti­sche oder wich­ti­ge Funk­ti­on des Insti­tuts unter­stützt. Das ist der Fall, wenn der Dienst: - Tätig­kei­ten betrifft, die für die Ein­hal­tung regu­la­to­ri­scher Anfor­de­run­gen wesent­lich sind - Den Betrieb oder die Sicher­heit des Insti­tuts wesent­lich beein­flus­sen kann - Bei Aus­fall die Erbrin­gung von Finanz­dienst­leis­tun­gen erheb­lich beeinträchtigt Cloud-Back­up fällt in aller Regel in die­se Kate­go­rie. Die Daten­si­che­rung ist eine regu­la­to­ri­sche Kern­pflicht. Fällt der Cloud-Anbie­ter aus, sei es durch tech­ni­sche Stö­rung, Insol­venz oder behörd­li­che Anord­nung, ver­liert das Insti­tut den Zugriff auf sei­ne Sicherungskopien. #### Kon­troll­pflich­ten des Insti­tuts bei Cloud-Aus­la­ge­run­gen [\#](#kontrollpflichten-des-instituts-bei-cloud-auslagerungen "Kontrollpflichten des Instituts bei Cloud-Auslagerungen") Auch nach der Aus­la­ge­rung bleibt das Kre­dit­in­sti­tut voll­um­fäng­lich ver­ant­wort­lich. Die Auf­sicht fordert: - Ein akti­ves Manage­ment der IKT-Dritt­par­tei­ri­si­ken mit eige­nen Kontrollmechanismen - Regel­mä­ßi­ge Prü­fung des Dienst­leis­ters (Audit-Rech­te müs­sen ver­trag­lich ver­ein­bart sein) - Nach­weis, dass das Insti­tut die Kon­trol­le über aus­ge­la­ger­te Pro­zes­se jeder­zeit aus­üben kann - Doku­men­ta­ti­on aller IKT-Dritt­dienst­leis­ter im Infor­ma­ti­ons­re­gis­ter nach DORA Art. 28 Die Pra­xis zeigt: Hypers­ca­ler-Ver­trä­ge (AWS, Azu­re, Goog­le) räu­men Ban­ken die­se Audit-Rech­te nicht ohne wei­te­res ein. Indi­vi­du­el­le Ver­trags­ver­hand­lun­gen sind not­wen­dig und erfah­rungs­ge­mäß aufwendig. --- ### 4. Anfor­de­run­gen an Aus­la­ge­rungs­ver­ein­ba­run­gen [\#](#4-anforderungen-an-auslagerungsvereinbarungen "4. Anforderungen an Auslagerungsvereinbarungen") #### Was ver­trag­lich ste­hen muss [\#](#was-vertraglich-stehen-muss "Was vertraglich stehen muss") Für IKT-Diens­te, die kri­ti­sche oder wich­ti­ge Funk­tio­nen unter­stüt­zen, schreibt DORA Art. 30 detail­lier­te Min­dest­in­hal­te vor. Der Ver­trag muss min­des­tens regeln: - **Leis­tungs­be­schrei­bung:** exak­te Spe­zi­fi­ka­ti­on der gesi­cher­ten Daten, Spei­cher­or­te, Fristen - **Daten­zu­griff:** garan­tier­ter Zugriff des Insti­tuts auf eige­ne Daten, auch im Kri­sen­fall und bei Vertragsende - **Audit-Recht:** Recht des Insti­tuts, den Dienst­leis­ter selbst oder durch Drit­te zu prüfen - **Daten­lö­schung:** garan­tier­te Löschung der Daten bei Vertragsende - **Unter­ver­ga­be:** Trans­pa­renz über Sub-Dienst­leis­ter, Genehmigungsvorbehalt - **Daten­spei­cher­ort:** Fest­le­gung, in wel­chen Län­dern Daten gespei­chert und ver­ar­bei­tet werden - **Not­fall­pla­nung:** Pflich­ten des Dienst­leis­ters im Störungsfall - **Exit-Rege­lung:** Rech­te, Pflich­ten und Unter­stüt­zungs­leis­tun­gen bei Vertragsbeendigung Ein Cloud-Back­up-Ver­trag, der die­se Ele­men­te nicht ent­hält, ist nicht DORA-kon­form, unab­hän­gig davon, ob der Anbie­ter ein nam­haf­ter Hypers­ca­ler ist. #### Der Daten­spei­cher­ort: EU reicht nicht immer [\#](#der-datenspeicherort-eu-reicht-nicht-immer "Der Datenspeicherort: EU reicht nicht immer") Weder BAIT noch DORA ent­hal­ten eine expli­zi­te Pflicht zur Daten­spei­che­rung in Deutsch­land oder der EU. Ban­ken sind aber ver­pflich­tet, die Daten­zu­griffs­mög­lich­kei­ten aus­län­di­scher Behör­den zu bewer­ten. Der US CLOUD Act gibt US-Behör­den unter bestimm­ten Umstän­den Zugriff auf Daten von US-Unter­neh­men, auch wenn die­se phy­sisch in der EU gespei­chert sind. Die­se Kon­stel­la­ti­on ist regu­la­to­risch nicht abschlie­ßend gelöst. Wer das Risi­ko voll­stän­dig aus­schlie­ßen will, nutzt euro­päi­sche Anbie­ter ohne US-Kon­zern­mut­ter oder betreibt die Daten­spei­che­rung On-Premises. --- ### 5. Exit-Stra­te­gie als Auf­sichts­pflicht [\#](#5-exit-strategie-als-aufsichtspflicht "5. Exit-Strategie als Aufsichtspflicht") #### War­um Cloud-Lock-in ein Com­pli­ance-Pro­blem ist [\#](#warum-cloud-lock-in-ein-compliance-problem-ist "Warum Cloud-Lock-in ein Compliance-Problem ist") DORA ver­pflich­tet Insti­tu­te aus­drück­lich, für IKT-Diens­te, die kri­ti­sche oder wich­ti­ge Funk­tio­nen unter­stüt­zen, Exit-Stra­te­gien zu doku­men­tie­ren (Art. 28 Abs. 8). Das bedeu­tet: Das Insti­tut muss in der Lage sein, die aus­ge­la­ger­te Leis­tung, hier das Back­up, inner­halb einer ange­mes­se­nen Frist wie­der selbst zu erbrin­gen oder zu einem ande­ren Anbie­ter zu wechseln. Cloud-Back­up erzeugt struk­tu­rel­len Lock-in: - Pro­prie­tä­re Daten­for­ma­te erschwe­ren den Anbieterwechsel - Egress-Kos­ten für die Rück­mi­gra­ti­on gro­ßer Daten­men­gen sind erheblich - Abhän­gig­keit vom API-Öko­sys­tem des Anbie­ters schränkt Wahl­frei­heit ein - Im Kri­sen­fall (Anbie­ter­aus­fall, Ran­som­wa­re beim Anbie­ter) fehlt der schnel­le Zugriff #### On-Pre­mi­ses als Exit-Stra­te­gie-Fun­da­ment [\#](#on-premises-als-exit-strategie-fundament "On-Premises als Exit-Strategie-Fundament") Ein phy­si­sches On-Pre­mi­ses-Back­up besei­tigt die­se Abhän­gig­keit struk­tu­rell. Die Daten lie­gen im eige­nen Rechen­zen­trum, auf eige­ner Hard­ware, unter eige­ner Kon­trol­le. Im Not­fall ist kei­ne Rück­mi­gra­ti­on über ein Netz not­wen­dig. Das Insti­tut kann sofort auf sei­ne Daten zugreifen. Das Silent Brick Sys­tem von FAST LTA ermög­licht Air-Gap-gesi­cher­te Back­ups On-Pre­mi­ses. Silent Brick Pro-Ein­hei­ten las­sen sich phy­sisch aus dem Con­trol­ler X ent­neh­men, wodurch ein ech­ter phy­si­scher Air Gap ent­steht. Alter­na­tiv bie­tet Silent Brick Max Air eine gal­va­ni­sche Tren­nung ohne phy­si­sches Ent­neh­men. Bei­de Vari­an­ten erfül­len die auf­sicht­li­che Anfor­de­rung, Back­ups auch im Angriffs­fall ver­füg­bar zu halten. --- ### 6. Was die BaFin bei Cloud-Nut­zung prüft [\#](#6-was-die-bafin-bei-cloud-nutzung-pr%C3%BCft "6. Was die BaFin bei Cloud-Nutzung prüft") #### Prü­fungs­aspek­te [\#](#pr%C3%BCfungsaspekte "Prüfungsaspekte") Die BaFin prüft bei Vor-Ort-Inspek­tio­nen und Son­der­prü­fun­gen nach §44 KWG unter anderem: - Voll­stän­dig­keit des Infor­ma­ti­ons­re­gis­ters: Sind alle IKT-Dritt­dienst­leis­ter und Cloud-Diens­te erfasst? - Qua­li­tät der Ver­trags­ver­ein­ba­run­gen: Ent­hal­ten Ver­trä­ge alle Pflicht­be­stand­tei­le nach DORA Art. 30? - Nach­wei­se über Audit-Aus­übung: Hat das Insti­tut sein Prüf­recht gegen­über dem Anbie­ter tat­säch­lich genutzt? - Res­to­re-Tests: Gibt es doku­men­tier­te Nach­wei­se, dass Back­ups tat­säch­lich wie­der­her­stell­bar sind? - Exit-Stra­te­gie: Ist eine Exit-Stra­te­gie doku­men­tiert und operationalisierbar? - Not­fall­plä­ne: Deckt der Not­fall­plan auch den Aus­fall des Cloud-Anbie­ters ab? Insti­tu­te, die Cloud-Back­up ein­set­zen, aber kein akti­ves Dritt­par­tei­ri­si­ko-Manage­ment nach­wei­sen kön­nen, ris­kie­ren Beanstandungen. --- ### 7. Auf­sichts­an­for­de­run­gen im Ver­gleich: Cloud-Back­up und On-Pre­mi­ses [\#](#7-aufsichtsanforderungen-im-vergleich-cloud-backup-und-on-premises "7. Aufsichtsanforderungen im Vergleich: Cloud-Backup und On-Premises") - **Daten­kon­trol­le:** Beim Cloud-Back­up abhän­gig vom Ver­trag und fak­tisch ein­ge­schränkt; On-Pre­mi­ses hat das Insti­tut die voll­stän­di­ge Kontrolle. - **Audit-Rech­te:** In der Cloud ver­trag­lich erkämpf­bar, aber sel­ten stan­dard­mä­ßig; On-Pre­mi­ses eigen­ver­ant­wort­lich ohne Drittabhängigkeit. - **Daten­spei­cher­ort:** In der Cloud nur durch Ver­trag steu­er­bar; On-Pre­mi­ses phy­sisch beim Institut. - **Exit-Stra­te­gie:** In der Cloud struk­tu­rell auf­wen­dig (Egress, For­ma­te); On-Pre­mi­ses lie­gen die Daten bereits vor Ort. - **CLOUD-Act-Risi­ko:** Bei US-Anbie­tern auch bei EU-Spei­che­rung rele­vant; bei deut­schen On-Pre­mi­ses-Anbie­tern ent­fällt es. - **Wie­der­her­stel­lung im Not­fall:** In der Cloud abhän­gig von Netz­ver­bin­dung und Anbie­ter-Sta­tus; On-Pre­mi­ses unab­hän­gig von Drittanbietern. - **Regis­ter­pflicht:** Cloud-Diens­te erfor­dern Pflicht­ein­trag und lau­fen­des Moni­to­ring im Infor­ma­ti­ons­re­gis­ter; eigen­be­trie­be­ne Sys­te­me wer­den nicht als IKT-Dritt­dienst klassifiziert. - **Not­fall­pla­nung:** In der Cloud muss der Anbie­ter­aus­fall expli­zit abge­deckt sein; On-Pre­mi­ses liegt die Pla­nung voll­stän­dig beim Institut. --- ### 8. Check­lis­te: Com­pli­ance für die nächs­te BaFin-Prü­fung [\#](#8-checkliste-compliance-f%C3%BCr-die-n%C3%A4chste-bafin-pr%C3%BCfung "8. Checkliste: Compliance für die nächste BaFin-Prüfung") Nut­zen Sie die­se Check­lis­te als Vor­be­rei­tung auf inter­ne Audits oder BaFin-Prüfungen: **Dritt­par­tei­ri­si­ko-Manage­ment** - Alle Cloud-Diens­te für Daten­spei­che­rung und Back­up im Infor­ma­ti­ons­re­gis­ter erfasst - Ein­stu­fung als IKT-Dienst für kri­ti­sche oder wich­ti­ge Funk­tio­nen geprüft und dokumentiert - Ver­trä­ge ent­hal­ten alle Pflicht­be­stand­tei­le nach DORA Art. 30 - Audit-Rech­te gegen­über Cloud-Anbie­tern schrift­lich ver­ein­bart und min­des­tens ein­mal ausgeübt - Sub-Dienst­leis­ter des Cloud-Anbie­ters bekannt und ver­trag­lich reguliert **Daten­si­che­rung und Recovery** - Back­up-Kon­zept doku­men­tiert mit RTO und RPO für alle kri­ti­schen Systeme - Res­to­re-Tests regel­mä­ßig durch­ge­führt und schrift­lich nachgewiesen - Back­up-Ver­füg­bar­keit auch bei Ran­som­wa­re-Angriff sicher­ge­stellt (Air Gap oder Offline-Kopie) - Not­fall­plan deckt expli­zit den Aus­fall des Cloud-Anbie­ters ab **Exit-Stra­te­gie** - Exit-Stra­te­gie für jeden kri­ti­schen Cloud-Dienst dokumentiert - Daten­rück­mi­gra­ti­on prak­tisch durch­ge­spielt (nicht nur konzipiert) - Kos­ten und Zeit­be­darf eines Anbie­ter­wech­sels bekannt **Daten­spei­cher­ort und Rechtsrahmen** - Spei­cher­or­te aller Back­ups ver­trag­lich fest­ge­legt und überprüft - CLOUD-Act-Risi­ko bewer­tet (US-Anbie­ter oder US-Konzernmutter?) - Daten­lö­schung bei Ver­trags­en­de ver­trag­lich geregelt --- ### Wei­ter­füh­ren­de Res­sour­cen [\#](#weiterf%C3%BChrende-ressourcen "Weiterführende Ressourcen") → US CLOUD Act: Was IT-Ent­schei­der wis­sen müs­sen (/de/­b­log/us-cloud-act-erklaer­t/) → DORA: Anfor­de­run­gen an die digi­ta­le Betriebs­re­si­li­enz im Finanz­sek­tor (/de/­b­log/­do­ra-anfor­de­run­gen-finanz­sek­tor/) → DORA-Com­pli­ance: ICT-Dritt­an­bie­ter bewer­ten und mana­gen (/de/­b­log/­do­ra-ict-dritt­an­bie­ter/) → Logi­scher vs. phy­si­scher Air Gap: Tech­ni­scher Ver­gleich (/de/­b­log/­lo­gi­scher-vs-phy­si­scher-air-gap/) → Was ist Daten­sou­ve­rä­ni­tät? (/de/­b­log/­was-ist-daten­sou­ve­rae­ni­tae­t/) ### DORA DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora) ### DORA DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora) ### DORA DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora) ### DORA DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora) ### DORA DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora) ### DORA DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora) ### DORA DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora) ### DORA DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora) ### DORA DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora) ### DORA DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora) ### DORA DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora) ### DORA DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora) ### DORA DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora) ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) ### DORA DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora) ### DORA DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora) ### DORA DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora) ### DORA DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora) ### DORA DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora) ### DORA DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora) ### DORA DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora) ### DORA DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora) ### DORA DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora) ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap)