Compliance · DORA
DORA und E-Mail-Resilienz für Finanzdienstleister.
Der Digital Operational Resilience Act ist seit 17.01.2025 in Kraft. Für Ihre E-Mail-Schicht heißt das: Schutzmaßnahmen, Reporting, Drittanbieter-Risikomanagement — auditierbar dokumentiert.
DORA-Anhang: ICT-Risiko
TLS-Erzwingung dokumentiert
- Modus
- enforce
- Cert läuft ab
- 09.08.2026 (82 Tage)
- Self-Check
- ✓ heute 13:14
- Audit-Log
- Export verfügbar
_mta-sts.demo-kunde.at TXT "v=STSv1; id=20260318094215Z"
Kontext
DORA und der E-Mail-Kanal
Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung (2022/2554), die seit 17. Januar 2025 für Finanzdienstleister verbindlich gilt. Im Gegensatz zu NIS2 ist DORA direkt anwendbar — keine nationale Umsetzung nötig. Bei Verstößen drohen Bußgelder von bis zu 10 Mio. EUR.[1]
DORA ist sektorspezifisch und behandelt operative Resilienz gegen IKT-Ausfälle und Cyber-Angriffe. E-Mail spielt dabei eine zentrale Rolle, da sie für viele Finanzprozesse — Kundenkommunikation, interne Freigaben, Aufsichtsmeldungen — kritisch ist. Besonders relevant für die E-Mail-Schicht sind drei Artikel:
- Art. 6 & 9 (Verschlüsselung): Verpflichtende Richtlinien für die Verschlüsselung von Daten at rest und in transit. Im E-Mail-Kontext heißt das zweigleisig: MTA-STS/DANE für den Transport und S/MIME als Ende-zu-Ende-Verschlüsselung für sensible Finanzdaten.[1]
- Art. 15 (Erkennung anomaler Aktivitäten): Mechanismen zum Erkennen unautorisierter Zugriffe. DMARC-Aggregate-Reports (RUA) sind das primäre Instrument, um Domain-Spoofing-Versuche zu detektieren.
- Art. 19 (Meldepflicht): Schwerwiegende Cyber-Vorfälle sind teilweise innerhalb von 4 Stunden an die Aufsicht zu melden. Präventive E-Mail-Authentifizierung verhindert genau die Vorfälle, die diese Uhr starten.[1]
Mailantis ist kein DORA-Komplettpaket — wir adressieren konkret die E-Mail-Authentifizierung und -Resilienz als einen Baustein Ihres ICT-Risk-Management-Frameworks. Die Übersicht unten zeigt, welche DORA-Artikel Mailantis unterstützt und wo zusätzliche Maßnahmen nötig sind.
Mapping-Tabelle
DORA-Artikel ↔ Mailantis-Beitrag
| Artikel | Anforderung (Kurzform) | Mailantis-Beitrag | Status |
|---|---|---|---|
| Art. 8 | IKT-Risikomanagement-Rahmenwerk | Risiko-Score pro Domain, kontinuierliche Bewertung | unterstützt |
| Art. 9 | Schutzmaßnahmen für IKT-Systeme | SPF/DKIM/DMARC/MTA-STS aktiv überwacht und enforced | erfüllt |
| Art. 10 | Erkennung von Vorfällen | Anomalie-Erkennung, Spoofing-Detection, Alerting | erfüllt |
| Art. 11 | Reaktion und Wiederherstellung | Alert-Engine mit PagerDuty/Slack, Eskalationsstufen | erfüllt |
| Art. 12 | Lernen und Weiterentwicklung | Trend-Reports, Audit-Log für Post-Mortem | erfüllt |
| Art. 17 | Vorfall-Klassifizierung und Meldung | Severity-Stufen im Alert, Trigger für interne Meldewege | unterstützt |
| Art. 25-27 | Resilienz-Tests, Penetration-Tests | SelfCheck als kontinuierliches Testing-Tool | teilweise |
| Art. 28-30 | Drittanbieter-IKT-Risikomanagement | AVV downloadbar, EU-Hosting, SOC-Bericht auf Anfrage | erfüllt |
Hinweis: DORA verlangt ein vollständiges ICT-Risk-Management-Framework, das weit über E-Mail-Schicht hinausgeht (Backup, BCM, Penetration-Tests, Outsourcing-Verträge u. v. m.). Mailantis ist ein Baustein, kein Komplettpaket. Für die Drittanbieter-Bewertung (Art. 28) stehen AVV und Datenverarbeitungs-Liste auf Anfrage zur Verfügung.
FAQ
Häufige DORA-Fragen
Was regelt DORA?
Der Digital Operational Resilience Act (EU 2022/2554) verlangt von Finanzunternehmen — Banken, Versicherungen, Wertpapierfirmen, Krypto-Dienstleister — operative Resilienz gegen IT-Ausfälle und Cyber-Angriffe. Inkraftgetreten am 17.01.2025.
Wer ist DORA-pflichtig?
Banken, Versicherer, Pensionskassen, Wertpapierfirmen, Zahlungsdienstleister, Krypto-Asset-Dienstleister sowie deren wesentliche IT-Dienstleister (TPP — Third-Party-Providers). Erleichterungen für Mikro- und Kleinunternehmen.
Wo trifft DORA die E-Mail-Schicht?
Art. 8 (IKT-Risikomanagement), Art. 9 (Schutzmaßnahmen), Art. 11 (Kontinuität), Art. 17 (Vorfallklassifizierung) und Art. 28-30 (Drittanbieter-Risiko). E-Mail ist explizit kritischer Kommunikationskanal.
Ist Mailantis ein "kritischer Drittanbieter" nach DORA?
Mailantis selbst gilt nicht automatisch als "kritisch" im Sinne der ESA-Designation. Für Sie als Finanzdienstleister wären wir aber wahrscheinlich ein "IKT-Drittanbieter", der in Ihr Vendor-Risk-Management aufzunehmen ist. AVV und SOC-Berichte stehen auf Anfrage zur Verfügung.
Wie helfen Audit-Reports?
Mailantis liefert PDF-Reports mit DMARC-/SPF-/DKIM-/MTA-STS-Status, Policy-Historie und Konfigurations-Snapshots. Diese Reports eignen sich als Nachweis für interne Audits und Aufsichts-Prüfungen (FMA, BaFin).
Quellen
[1] Synthese aus: BaFin — DORA-Überblick; EIOPA — Digital Operational Resilience Act; DLA Piper — "Seconds matter: Understanding DORA's real-time response requirements" (2025); European Commission — RTS on ICT Risk Management Framework. Stand Mai 2026.
DORA-konforme E-Mail-Resilienz.
AVV downloadbar, EU-Hosting, Reports für die nächste Aufsichts-Prüfung.