# DORA Compliance‑Paket {% hint style="info" %} 🇬🇧 [Read this page in English (DORA Compliance Package)](/trust-center/legal/dora-compliance.md) {% endhint %} **Zuletzt aktualisiert: 01.04.2025** ## 1 Einführung Die **ilert GmbH** ist ein B2B‑SaaS‑Anbieter für Incident‑Management‑ und Alarmierungslösungen. Dieses eigenständige Dossier belegt die Übereinstimmung der ilert GmbH mit der **Verordnung (EU) 2022/2554 über die digitale operationelle Resilienz im Finanzsektor ("DORA")**. Es gilt für alle Finanzmarktteilnehmer der EU (Banken, Versicherungen, Wertpapierfirmen, Zahlungsdienstleister usw.), die die SaaS‑Plattform von ilert nutzen. ilert überprüft und – falls erforderlich – überarbeitet dieses Paket mindestens jährlich sowie bei neuen regulatorischen Leitlinien. ### Wesentliche Fakten | Thema | Aussage | | ------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------- | | Rechtsform | GmbH | | Verantwortung auf Führungsebene | Der **CEO** ist der Verantwortliche der digitalen Resilienz; der **CTO** leitet das ISO‑27001‑ISMS und berichtet quartalsweise an den Vorstand. | | Daten‑Hosting | **Active/active AWS eu‑central‑1 (Frankfurt)** & **eu‑north‑1 (Stockholm)** | | Zertifizierungen | ISO/IEC 27001:2013 (Scope: SaaS‑Plattform + Support) | | DORA‑Status | Nicht als kritischer IKT‑Drittanbieter eingestuft | | DSGVO‑Rolle | Auftragsverarbeiter gem. Art. 28; [AVV](https://www.ilert.com/legal/data-processing-agreement) | | Kontinuierliche Verbesserung | Nächste DORA‑Überprüfung geplant **Q1 2026**; monatliches Regulatory Monitoring | Dieses Paket ordnet die Kontrollen von ilert den **Kernpflichten für IKT‑Drittanbieter** unter DORA zu und ist **einheitlich** für alle Kunden nutzbar. ## 2 Einhaltung der zentralen DORA‑Anforderungen | DORA‑Thema | Zusammenfassung der ilert‑Kontrollen | | -------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | | **IKT‑Risikomanagement & Governance** (Art. 5‑6) | ISO‑27001‑ISMS; vierteljährliche KPI‑Reviews durch das Management; jährliche Risikoanalyse. | | **Incident‑Erkennung & Meldung** (Art. 10‑11) | 24×7 Monitoring & SRE‑Bereitschaft; „Major ICT Incident“ = Art. 3(8) DORA. Erstmeldung an Kunden ≤ 4 Std. mit Art, Auswirkung, Gegenmaßnahmen; Updates alle ≤ 4 Std. auf ; Abschlussbericht innerhalb von 5 Werktagen. | | **Tests zur digitalen Resilienz** (Art. 15 & 24‑27) | Jährlicher externer Pen‑Test; vierteljährliche Schwachstellen‑Scans; uneingeschränkte Mitwirkung bei kundengeführten TLPTs & Cyber‑Übungen. | | **Informationsaustausch** (Art. 45) | Kritische Bedrohungswarnungen innerhalb von 24 Std. an Kunden weitergeleitet. | | **Vertragliche Drittanbieter‑Klauseln** (Art. 30) | Standard‑**DORA‑Addendum**: Audit‑ & Zugriffsrechte; Subunternehmer‑Bedingungen; Sicherheits‑ & Schulungsmitwirkung; TLPT‑Kooperation; Mitteilung wesentlicher Entwicklungen; Exit & Transition. | | **Business Continuity & Disaster Recovery** (Art. 11‑12) | **Active/active Frankfurt + Stockholm**; RPO ≤ 15 Min. & RTO ≤ 60 Min.; vierteljährliche Fail‑over‑Tests; 30‑tägige Datenaufbewahrung nach Vertragsende + Export innerhalb von 10 Werktagen. | ## 3 Zuständigkeitsverteilung | Bereich | ilert (Anbieter) | Finanz‑Unternehmen (Kunde) | | ----------------- | --------------------------------------------------------------------------------------------------- | ------------------------------------------------- | | Risikomanagement | Betrieb des ISO‑27001‑ISMS | Bewertung von ilert im Lieferanten‑Risikoprogramm | | Incident‑Handling | Erkennen → Eindämmen → Melden ≤ 4 Std.; Unterstützung bei RCA & Regulatorik | Einstufung & Meldepflicht gegenüber Aufsicht | | Audits | ISO‑Zertifikat & Pen‑Test‑Kurzbericht; 1 Remote‑Audit/Jahr kostenlos; Vor‑Ort‑Audit kostenpflichtig | Audit initiieren & bewerten | | Exit‑Plan | Datenexport (JSON/CSV) innerhalb 30 Tagen | Notfall‑/Migrationsplan pflegen | ## 4 Wesentliche Maßnahmen für kontinuierliche Compliance 1. **Security & Governance** * MFA verpflichtend; Verschlüsselung in Transit (TLS 1.2+) & at Rest (AWS KMS). * Vierteljährliche Security‑Awareness‑Schulungen für alle Mitarbeitenden. 2. **Incident Response & Benachrichtigung** * Dediziertes On‑Call‑Team mit automatischer Eskalation; **Erstmeldung per E‑Mail/API/SMS** binnen 4 Std.; laufende Updates über die öffentliche Status‑Seite . * Unterstützung während Incidents (Forensik‑Daten, Logs, Stellungnahmen). 3. **Business Continuity & Disaster Recovery** * **Active/active‑Architektur** in AWS eu‑central‑1 (Frankfurt) und eu‑north‑1 (Stockholm); automatisierte Multi‑Region‑Replikation; vierteljährliche Fail‑over‑Tests. 4. **Risiko‑Assessments & Audits** * Jährliches ISO‑Überwachungsaudit; SOC 2 Type II‑Roadmap 2026. * Kunden‑Audit‑Fenster: 10 Werktage Vorlauf; ein Audit/Jahr ohne Gebühr. ## 5 Unterstützende Dokumente (auf Anfrage erhältlich) | Dokument | Zweck | | ---------------------------------- | ----------------------------------------------- | | ISO‑27001‑Zertifikat & SoA | Externe Bestätigung des ISMS | | Informationssicherheits‑Richtlinie | Detaillierte Kontrollbeschreibungen | | Incident‑Response‑Plan | Prozesse, Rollen, Vorlagen | | BCP/DR‑Plan | Wiederherstellungs‑Architektur & Testergebnisse | | Pen‑Test‑Kurzbericht | Ergebnisse des letzten externen Tests | | Sub‑Prozessor‑Liste | Namen, Rollen, Datenstandort | *** > **Kontakt:** \ > © 2025 ilert GmbH – Alle Rechte vorbehalten --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.ilert.com/trust-center/deutsche-versionen/dora-compliance-paket.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.