Finanz-Compliance und DORA-Beratung
Regulatorische Compliance für Banken, Versicherer, Zahlungsinstitute und Finanz-Dienstleister. DORA-Umsetzung, BaFin-Anforderungen, Geldwäscheprävention nach GwG, MiFID II, PSD2/PSD3 und MaRisk-BAIT-Mapping.
Unsere Finanz-Compliance-Leistungen
DORA-Umsetzung und ICT-Risikomanagement
Vollständige DORA-Umsetzung nach Verordnung (EU) 2022/2554: ICT-Risikomanagement-Framework, Vorfallklassifizierung, Meldepflichten, Resilienz-Tests und Third-Party-Risk.
BaFin-konforme ICT-Compliance (MaRisk / BAIT)
Abbildung der BaFin-Rundschreiben — MaRisk (Mindestanforderungen Risikomanagement), BAIT (Bankaufsichtliche Anforderungen an die IT), VAIT (für Versicherer) und KAIT (für Kapitalverwalter).
Geldwäscheprävention (GwG) und Sanktionslisten
Aufbau und Betrieb eines vollständigen AML-Programms nach Geldwäschegesetz: KYC-Prozesse, Transaktionsmonitoring, Verdachtsmeldungen (FIU), Sanktionslistenprüfung und Schulungen.
Auslagerungs- und Third-Party-Risk-Management
Strukturiertes Lieferantenmanagement nach DORA Art. 28–30: Risikobewertung, Exit-Strategien, Vertragsanhänge, Subunternehmer-Transparenz und laufendes Monitoring kritischer ICT-Dienstleister.
MiFID II, PSD2/PSD3 und Solvency II
Beratung zu MiFID II (Wertpapierdienstleistungen), PSD2/PSD3 (Zahlungsdienste, Strong Customer Authentication), Solvency II (Versicherer) und CRR/CRD (Banken-Eigenkapital).
Aufsichtsprüfungen und Berichterstattung
Vorbereitung auf BaFin-Sonderprüfungen (§ 44 KWG), Begleitung während der Prüfung, Stellungnahmen zu Feststellungen und Monitoring der Maßnahmenplan-Umsetzung.
Die Realität der Finanzaufsicht
BaFin, EBA und Bundesbank prüfen zunehmend strenger. Regulatorische Mängel werden nicht mehr nur sanktioniert — sie führen zur faktischen Geschäftseinschränkung.
DORA-Bußgelder bis 2 % Konzernumsatz
Art. 50 DORA erlaubt Sanktionen bis zu 2 % des jährlichen weltweiten Konzernumsatzes oder 10 Mio. € — plus tägliche Zwangsgelder bei Nicht-Abhilfe.
Persönliche Haftung nach § 25a KWG
Geschäftsleitung einer CRR-Institut haftet persönlich für ein wirksames Risikomanagement. BaFin kann individuell Bußgelder verhängen, Abberufung anordnen oder Tätigkeitsverbote verhängen.
GwG-Verdachtsmeldungen und FIU-Rückfragen
Die Finanzstelle für Geldwäsche (FIU) hat ihre Prüfungsaktivitäten deutlich verschärft. Mängel im AML-Prozess führen zu Wiederholungsprüfungen, Bußgeldern und Namensnennung.
Widerruf der Zulassung
In Extremfällen kann die BaFin die Erlaubnis nach § 32 KWG widerrufen. Das Institut verliert damit die Geschäftsgrundlage — Beispiele aus der jüngeren Aufsichtspraxis sind dokumentiert.
DORA in der Praxis: Die fünf Kernthemen
Der Digital Operational Resilience Act (DORA) ist das bestimmende Regulatorikthema für deutsche Finanzinstitute. Wir übersetzen die fünf Kernbereiche in konkrete Umsetzungsschritte.
ICT-Risikomanagement und Governance
- ICT-Risikomanagement-Framework (Art. 5–16 DORA)
- Geschäftsleitungs-Verantwortung und Rollen
- Policy-Set: ICT-Strategie, Informationssicherheits-Leitlinie, BCM
- Identifikation und Inventarisierung kritischer ICT-Assets
- Schutzmaßnahmen nach ISO 27001 / BAIT / BSI-Grundschutz
- Kontinuierliche Überwachung und Management-Reporting
Vorfall-Management und Meldungen
- Vorfall-Klassifizierungssystem nach EBA-RTS
- Erst-Meldung innerhalb von 4 Stunden bei schwerwiegenden Vorfällen
- Zwischenbericht innerhalb von 72 Stunden
- Abschlussbericht nach Wiederherstellung
- Meldung an BaFin und ggf. Bundesbank über MVP-Portal
- Kundenkommunikation bei Zahlungsdienstleister-Vorfällen
Resilienz-Tests und Third-Party-Risk
- Threat-Led Penetration Testing (TLPT) alle 3 Jahre
- Regelmäßige Business-Continuity-Tests
- Scenario-basierte Tabletop-Übungen
- Third-Party-Register kritischer ICT-Dienstleister
- Exit-Strategien und alternative Anbieter
- Vertragsprüfung nach DORA Annex III
DORA-Readiness in 12 Monaten
Monat 1–2: Scoping und Gap-Analyse
Klärung der DORA-Anwendbarkeit, Identifikation kritischer Funktionen, Gap-Analyse gegen alle fünf DORA-Kernthemen und Regulatory Technical Standards (RTS).
Monat 3–6: Governance und Framework
Aufbau des ICT-Risikomanagement-Frameworks, Erstellung aller Pflicht-Richtlinien, Geschäftsleitungs-Schulung, Rollen-Setup und initiale Risikobewertung.
Monat 6–9: Umsetzung und Third-Party
Auslagerungs-Register aufbauen, bestehende Verträge gegen DORA-Annex-III prüfen und nachverhandeln, Exit-Strategien entwickeln, Vorfall-Meldewege technisch einrichten.
Monat 9–12: Testing und Go-Live
TLPT-Vorbereitung (falls anwendbar), Business-Continuity-Tests, Tabletop-Übungen, Dry-Run der Meldeprozesse, finale Dokumentation für die Aufsicht.
Häufig gestellte Fragen zur Finanz-Compliance
DORA gilt seit dem 17. Januar 2025 für rund 22.000 Finanzunternehmen in der EU: Banken (alle CRR-Institute), Versicherer und Rückversicherer, Wertpapierfirmen, Zahlungs- und E-Geld-Institute, Investmentvermögen-Verwalter, Ratingagenturen, Krypto-Dienstleister (nach MiCA) und kritische ICT-Dienstleister (nach TPP-Designation). Auch in die EU einliefernde Anbieter fallen unter DORA.
BAIT (Bankaufsichtliche Anforderungen an die IT) ist ein BaFin-Rundschreiben für deutsche Banken und Wertpapierinstitute. DORA ist eine unmittelbar geltende EU-Verordnung mit europaweit einheitlichen Vorgaben. BAIT geht in Teilen über DORA hinaus (z. B. detailliertere Vorgaben zum Anforderungsmanagement), während DORA strengere Anforderungen an Third-Party-Risk und Resilienz-Tests enthält. Für deutsche Institute gelten beide parallel — wir liefern ein Mapping.
Für ein mittelgroßes deutsches Kreditinstitut (100–500 Mitarbeitende, bestehende BAIT-Umsetzung): 120.000–350.000 € Beratungsaufwand über 9–12 Monate. Ohne BAIT-Basis: 300.000–600.000 €. Größere Institute werden individuell kalkuliert. Wir liefern nach dem Scoping einen belastbaren Fest- oder Obergrenzenpreis.
Unser Finanz-Compliance-Team hält einschlägige Zertifizierungen: CRMA (Certified Risk Management Assurance), CAMS (Certified Anti-Money Laundering Specialist), CIPP/E für Datenschutz, CISM und ISO 27001 Lead Auditor. Mehrjährige Erfahrung bei deutschen CRR-Instituten, BaFin-Interaktion und EBA-RTS-Umsetzung.
Ja. Vollständiges AML-Programm: KYC- und KYB-Prozesse, Transaktionsmonitoring-Regeln, Alert-Handling, Verdachtsmeldungen an die FIU, Sanktionslistenprüfung, Schulungen und interne Audits. Wir arbeiten mit gängigen Tools (Actico, NetReveal, Hawk AI, Finastra) und können auch zur Tool-Auswahl beraten.
Wir unterstützen vor, während und nach der Prüfung: (1) Prüfungsvorbereitung mit Dokumenten-Bereitstellung und Rollen-Training, (2) Begleitung während der Prüfung, Übersetzung aufsichtsrechtlicher Fragen und Sparring für Interviews, (3) Stellungnahmen zu Feststellungen, Maßnahmenplan-Erstellung und Monitoring der Umsetzung, (4) ggf. Follow-up-Prüfungen.
DORA fordert regelmäßige Tests der ICT-Resilienz: (a) jährliche Tests kritischer Funktionen (z. B. Failover, Backups, BCM-Tabletops), (b) alle 3 Jahre ein Threat-Led Penetration Testing (TLPT) für Institute über der TLPT-Schwelle (typischerweise systemrelevante Institute). Wir organisieren und begleiten beide Testarten inklusive Testing-Lieferanten-Auswahl.
Ja. Für kleinere Institute übernehmen wir die Rolle des ICT-Risiko-Officers als ausgelagerte Funktion — inklusive Berichterstattung an die Geschäftsleitung, Erstellung der DORA-Jahresberichte und Kontakt zur Aufsicht. Alternativ begleiten wir interne Rolleninhaber als fachlicher Sparringspartner.
Ja. Krypto-Asset-Service-Provider (CASPs) unterliegen seit 2024 MiCA (Markets in Crypto-Assets). Wir beraten bei der CASP-Zulassung bei der BaFin, AML/CFT-Pflichten nach GwG (Stichwort: Travel Rule), ICT-Risikomanagement nach DORA und Transparenz-Pflichten nach MiCA.
Ja — wir sind kein Wirtschaftsprüfer und liefern deshalb keine „Prüfungsurteile". Genau das macht unsere Beratung komplementär: Wir arbeiten konstruktiv mit Ihrem Jahresabschlussprüfer, Innenrevision und Aufsichtsrat zusammen und schaffen eine gemeinsame Faktengrundlage.
Verwandte Leistungen
Branchen mit Finanz-Compliance-Schwerpunkt
Bereit für DORA, BaFin und GwG?
Kostenloses Erstgespräch — 30 Minuten. Wir prüfen Ihre Aufsichtslandschaft, identifizieren Handlungsbedarf und erstellen ein abgestimmtes Umsetzungsangebot.