---
name: dora-risikoampel-und-gegenargumente
description: "Dora: Risikoampel, Gegenargumente und Verteidigungslinien im Plugin dsa dma digitalregulierung im Dsa Dma Digitalregulierung."
---

# Dora: Risikoampel, Gegenargumente und Verteidigungslinien

## Arbeitsweg

- Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht?
- Fristen und Eilrisiken zuerst markieren: DSA Art. 16 Notice-and-Action unverzügliche Reaktion, Art. 24 jährlicher Transparenzbericht, Art. 34 Risikoassessment jährlich/bei Bedarf, DMA Art. 11 Compliance-Bericht 6 Monate nach Benennung.
- Tragende Normen verifizieren: Digital Services Act (VO 2022/2065) Art. 4-15 (Haftung), 16-22 (Meldung), 24-32 (mittelgroße/VLOP), 33-43 (sehr große), 50-66 (Aufsicht), Digital Markets Act (VO 2022/1925) Art. 3 (Gatekeeper), 5-7 (Pflichten), DDG, TMG (außer Kraft), NetzDG (auslaufend) — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate.
- Zuständige Stelle bestimmen und Adressaten richtig wählen: Anbieter Vermittlungsdienst / Hosting / Online-Plattform / sehr große Online-Plattform (VLOP) / Suchmaschine (VLOSE), BNetzA als DSC, EU-KOM (DMA-Vollzug), nationaler Koordinator, Beschwerdeführer.
- Dokumente und Beweismittel sammeln und auf Lücken prüfen: AGB nach Art. 14 DSA, Transparenzbericht, Risikoassessment, Compliance-Officer-Konzept, Streitbeilegung Art. 21 DSA, DSC-Meldung, DMA-Compliance-Bericht — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis.

## Spezialwissen: Dora: Risikoampel, Gegenargumente und Verteidigungslinien
- **Normen-/Quellenanker:** EU, DSA, VO, DMA, DGA, AI, NIS, DORA, CRA, DDG, GWB, VLOP.

## Fallweichen
Wenn Unterlagen vorhanden sind, arbeite zuerst aus den Unterlagen. Stelle nur Rückfragen, die die nächste Weiche verändern:

1. Welche Rolle hat die fragende Person und wer ist Gegenüber?
2. Welches konkrete Ziel soll erreicht oder verhindert werden?
3. Welche Frist, Zustellung, Schwelle, Zahlung, Sanktion oder Verfahrensstufe ist kritisch?
4. Welche Dokumente, Registerauszüge, Bescheide, Verträge, Tabellen, Screenshots oder Nachrichten belegen den Punkt?
5. Welcher Output wird gebraucht: Memo, Checkliste, Tabelle, Entwurf, Schriftsatzbaustein, Mandantenbrief oder Entscheidungsvorlage?

## Arbeitsworkflow
1. **Fallbild bilden:** Sachverhalt, Rollen, Zeitachse und Dokumente in eine kurze Matrix bringen.
2. **Rechtsrahmen setzen:** Normen, Zuständigkeiten, Fristen, Formfragen und Verfahrensstand zum Themenfeld **DORA (Digital Operational Resilience Act)** prüfen.
3. **Prüfpunkte abarbeiten:** Tatbestandsmerkmale, Beweisfragen, typische Fehler, Gegenargumente und Ermessens- oder Wertungsfragen trennen.
4. **Risiko bewerten:** Grün/Gelb/Rot mit Begründung, Annahmen, fehlenden Belegen und möglichen Alternativwegen ausgeben.
5. **Anschluss bauen:** Passende weitere Skills desselben Plugins vorschlagen, wenn eine Vertiefung, ein Schreiben, eine Tabelle, ein Fristenblatt oder eine Verhandlungsstrategie sinnvoll ist.

## DORA (VO (EU) 2022/2554) — Risikoampel
- **Anwendungsbereich Art. 2 DORA:** Banken, Wertpapierfirmen, Zahlungsdienstleister, E-Geld-Institute, Krypto-Dienstleister, Versicherer, Pensionsfonds, ICT-Drittanbieter mit kritischer Bedeutung; Geltung **seit 17.01.2025**.
- **Pflichten:**
 - Kapitel II (Art. 5-16): IKT-Risikomanagement-Rahmen.
 - Kapitel III (Art. 17-23): IKT-Vorfallmeldung.
 - Kapitel IV (Art. 24-27): Resilienztests (TLPT — Threat-Led Penetration Testing).
 - Kapitel V (Art. 28-44): IKT-Drittanbieter-Risikomanagement.
- **Aufsicht:** BaFin in DE; bei kritischen ICT-Drittanbietern ESA (European Supervisory Authorities) — Lead Overseer.

## Risikoampel
- **Rot:** Erheblicher Vorfall nicht binnen 24 Stunden gemeldet; ICT-Drittanbieter ohne DORA-konformen Vertrag; TLPT nicht durchgeführt trotz Pflicht.
- **Gelb:** Risikomanagement-Rahmen existiert, aber Audit-Spuren fehlen; Drittanbieter-Vertrag ohne Exit-Strategie.
- **Grün:** Vollständiges Compliance-Programm, dokumentierte Vorfallklassifizierung, regelmäßige TLPT, RTR (Risk Treatment Register).

## Gegenargumente bei Aufsichtsbeanstandung
- "Vorfall war nicht erheblich" — DORA-Schwellenwerte präzise prüfen (CDR (Commission Delegated Regulation) 2024/1772).
- "Drittanbieter ist nicht kritisch" — Klassifizierungsmethodik der ESA anwenden.
- "Wir sind keine kritische Einrichtung" — § 8b BSIG / DORA Art. 2 prüfen.

## Praxis-Tipp
DORA und NIS2 überschneiden sich für Finanzunternehmen — DORA ist lex specialis (Art. 1 Abs. 2 DORA). Wer DORA-konform ist, erfüllt regelmäßig auch NIS2 in den überschneidenden Bereichen, aber nicht automatisch alle NIS2-Pflichten. Komplianztabelle empfehlen.