Zum Hauptinhalt springen
Didit erhält 7,5 Mio. $ für die Infrastruktur für Identität und Betrug
Didit
Zurück zum Blog
Blog · 21. Mai 2026

Didit und DORA: ICT-Drittparteirisiko für Identitätsprüfung (DE)

Die DORA-Verordnung macht Finanzunternehmen für die ICT-Drittanbieter, auf die sie sich verlassen – einschließlich Identitätsanbieter – verantwortlich.

Von DiditAktualisiert
didit-dora-compliance.png

Der Digital Operational Resilience Act (DORA) hat die Bedeutung des Outsourcings verändert. Ab Januar 2025 sind Finanzunternehmen in der gesamten EU direkt für die operationelle Widerstandsfähigkeit der Informations- und Kommunikationstechnologie (ICT)-Drittanbieter verantwortlich, auf die sie sich verlassen – und ein Identitätsprüfungsanbieter, der in den Onboarding-Prozess einer Bank, eines E-Geld-Instituts oder eines Krypto-Asset-Dienstleisters eingebunden ist, ist genau diese Art von ICT-Drittanbieter.

Das wirft bei jeder Beschaffungsanfrage eine neue Frage auf: Können Sie nachweisen, dass Ihr Anbieter widerstandsfähig ist, und können Sie diesen Nachweis für Ihre Aufsichtsbehörde dokumentieren? Dieser Leitfaden erklärt, was DORA von ICT-Drittanbietern verlangt und zeigt genau, wie Didits Zertifizierungen, Kontrollen und Audit-Trail eine DORA-konforme Lieferantendatei unterstützen.

Wichtige Erkenntnisse

  • DORA macht das Finanzunternehmen verantwortlich für die von ihm genutzten ICT-Drittanbieter – einschließlich Identitäts- und Betrugsanbieter. Sie können die Verantwortung nicht auslagern, nur die Arbeit.
  • Didit ist ISO/IEC 27001:2022 zertifiziert (Bureau Veritas, ENAC-akkreditiert, Zertifikat Nr. ES144068, gültig bis 03.06.2027) – ein international anerkanntes Informationssicherheits-Managementsystem, das direkt auf die DORA-Erwartungen an das ICT-Risikomanagement abgestimmt ist.
  • Didit verfügt über eine SOC 2 Typ 1-Bescheinigung (ATOM, Stand 09.04.2026) über die Vertrauenskriterien Sicherheit, Verfügbarkeit und Vertraulichkeit, wobei eine Typ 2-Prüfung geplant ist.
  • Jede Verifizierung hinterlässt einen unveränderlichen Audit-Trail – Status, Entscheidungen und Webhook-Ereignisse, die Ihr Team zur Vorfallmeldung und für das ICT-Register wiedergeben kann.
  • Der gesamte Identitäts- und Betrugs-Lebenszyklus läuft über eine einheitliche /v3/ API, sodass Widerstandsfähigkeit, Überwachung und Berichterstattung bei einem verantwortlichen Anbieter konzentriert sind, anstatt über viele verteilt zu sein.

Was DORA verlangt

DORA ist der EU-Rahmen für die digitale operationelle Widerstandsfähigkeit im Finanzsektor. Anstatt Cybersicherheit als Nebenanliegen zu behandeln, baut es fünf Säulen in eine einzige Verordnung ein:

  1. ICT-Risikomanagement – ein dokumentierter Rahmen zur Identifizierung, zum Schutz vor, zur Erkennung, Reaktion auf und zur Wiederherstellung von ICT-bezogenen Vorfällen.
  2. ICT-Vorfallsberichterstattung – Klassifizierung und Meldung schwerwiegender Vorfälle an zuständige Behörden innerhalb festgelegter Fristen.
  3. Testen der digitalen operationellen Widerstandsfähigkeit – regelmäßige Tests von ICT-Systemen, bis hin zu Bedrohungs-gesteuerten Penetrationstests für bedeutende Unternehmen.
  4. ICT-Drittparteirisikomanagement – die Säule, die Anbieter wie Didit betrifft: Due Diligence, vertragliche Schutzmaßnahmen, ein Informationsregister über jede ICT-Vereinbarung und die Möglichkeit zur Überwachung und Beendigung.
  5. Informationsaustausch – freiwilliger Austausch von Cyber-Bedrohungsinformationen.

Die vierte Säule ist die, die ein Anbieter beantworten muss. DORA erwartet von dem Finanzunternehmen, ein Informationsregister zu führen, das jede ICT-Drittparteivereinbarung beschreibt, vor Vertragsabschluss eine Due Diligence durchzuführen, spezifische vertragliche Rechte (Audit, Zugang, Transparenz bei Unterbeauftragungen, Beendigung) zu sichern und das Konzentrationsrisiko zu bewerten. Die Aufgabe des Anbieters ist es, all dies leicht nachweisbar zu machen.

Warum es wichtig ist

Die Identitätsprüfung ist selten ein peripheres System. Sie befindet sich auf dem kritischen Pfad des Kunden-Onboardings – und zunehmend der laufenden Überwachung durch Transaktions-Screening. Wenn diese Funktion beeinträchtigt wird, stoppt das Onboarding und damit die Einnahmen. DORA behandelt genau diese Art von Abhängigkeit als etwas, wonach die Aufsichtsbehörde fragen kann.

Die praktische Konsequenz: Wenn ein Finanzunternehmen einen Identitätsanbieter in sein ICT-Register aufnimmt, benötigt es dokumentierte Zusicherungen über die Sicherheitskontrollen, Verfügbarkeitszusagen und die Incident-Haltung dieses Anbieters. Ein Anbieter, der anerkannte Zertifizierungen und einen sauberen Audit-Trail vorlegen kann, verkürzt die Due Diligence von Monaten auf Tage. Ein Anbieter, der dies nicht kann, wird zu einem Problem.

Wie Didit hilft

Didits Compliance-Haltung ist darauf ausgelegt, mit Beweisen, nicht mit Versprechungen, in eine DORA-Anbieterdatei zu passen.

ISO/IEC 27001:2022 Zertifizierung. Didit betreibt ein zertifiziertes Informationssicherheits-Managementsystem (ISMS). Das Zertifikat – Bureau Veritas Certification, ENAC-akkreditiert, Zertifikat Nr. ES144068, ursprünglich zertifiziert am 07.04.2026 und gültig bis 03.06.2027, ausgestellt an DIDIT IDENTITY SPAIN S.L. – deckt die Entwicklung, den Betrieb und den technischen Support der Didit-Lösung für digitale Identität ab. ISO 27001 ist die internationale Grundlage für das ICT-Risikomanagement: Sie erfordert einen dokumentierten Rahmen, definierte Kontrollen, Risikobewertung und kontinuierliche Verbesserung – dieselben Disziplinen, die DORA's erste Säule von den Unternehmen erwartet, die sich auf Didit verlassen. Das Zertifikat ist verteilbar, sodass es direkt in die Registerdatei aufgenommen werden kann.

SOC 2 Typ 1 Bescheinigung. Didit verfügt über einen SOC 2 Typ 1 Bericht von ATOM (einem unabhängigen Service-Auditor im Rahmen des AICPA SOC for Service Organizations Framework), der die Gestaltung der Kontrollen in den Bereichen Sicherheit, Verfügbarkeit und Vertraulichkeit zum Stand 09.04.2026 bescheinigt. Verfügbarkeit ist das Kriterium, das DORA am meisten für eine kritische Onboarding-Abhängigkeit interessiert. Eine Typ 2-Prüfung – die die operative Wirksamkeit über einen Zeitraum testet – ist geplant. Der vollständige SOC 2-Bericht ist gemäß den AICPA-Regeln nur für eingeschränkte Nutzung vorgesehen und wird potenziellen Kunden und Kunden unter NDA mitgeteilt; Didit verweist hier darauf, anstatt seinen Inhalt zu veröffentlichen.

Audit-Trail und Vorfallsnachweise. Jede Verifizierung, jede Transaktionsüberwachungsentscheidung und jede Statusänderung wird aufgezeichnet und über die einheitliche /v3/ API und Webhooks (session.status.updated, transaction.status.updated und verwandte Ereignisse) zugänglich gemacht. Das gibt einem Finanzunternehmen eine abspielbare, mit Zeitstempel versehene Aufzeichnung, die es in seine eigenen Verpflichtungen zur Vorfallmeldung und Widerstandsfähigkeitsprüfung integrieren kann – und einen klaren Datenfluss zur Dokumentation im Register.

Ein verantwortlicher Anbieter. Da Identität, Unternehmensverifizierung, AML-Screening, Transaktionsüberwachung und Wallet-Screening alle über dieselbe /v3/ API laufen, konzentriert ein Finanzunternehmen eine kritische Funktion bei einem einzigen, zertifizierten ICT-Drittanbieter, anstatt mehrere miteinander zu verbinden. Weniger Vereinbarungen im Register, eine vertragliche Beziehung zur Verwaltung, ein Satz von Zertifizierungen zur Pflege.

Deep Dive: Erstellung des ICT-Registereintrags für Didit

Ein DORA-Informationsregistereintrag für einen Identitätsanbieter muss typischerweise die bereitgestellte Funktion, ihre Kritikalität, die vertraglichen Schutzmaßnahmen und die Nachweisdokumente erfassen. Mit Didit lässt sich das sauber abbilden:

DORA-RegisterelementWas Didit liefert
ICT-DienstbeschreibungIdentitätsprüfung (KYC), Unternehmensprüfung (KYB), AML-Screening, Transaktionsüberwachung, Wallet-Screening – einheitliche /v3/ API
Kritikalität / unterstützte FunktionKunden-Onboarding und fortlaufende Überwachung – typischerweise eine kritische oder wichtige Funktion
SicherheitsnachweisISO/IEC 27001:2022 Zertifikat Nr. ES144068 (verteilbar)
Operativer NachweisSOC 2 Typ 1 (Sicherheit, Verfügbarkeit, Vertraulichkeit), Stand 09.04.2026 (unter NDA)
Datenspeicherort / -verarbeitungDokumentiert im Datenverarbeitungsvertrag; EU-Unternehmen DIDIT IDENTITY SPAIN S.L.
Audit- / ZugriffsrechteVertragliche Auditrechte; vollständiger API-Audit-Trail und Webhook-Ereignisprotokoll
Beendigung / PortabilitätStandard-API-Export von Sitzungs- und Transaktionsaufzeichnungen

Die Zertifizierungen übernehmen die Hauptarbeit bei den Nachweiszeilen. Didits Dokumentation und Sicherheits-Hub unter didit.me/security-compliance ist die zentrale Anlaufstelle, um die Artefakte zu sammeln, die Ihr Due-Diligence-Team benötigt.

Anwendungsfälle

  • EU-Banken und E-Geld-Institute, die Remote-Onboarding hinzufügen, ohne ihren ICT-Register-Footprint zu erweitern – ein zertifizierter Anbieter, eine Vereinbarung.
  • Krypto-Asset-Dienstleister unter MiCA, die ebenfalls unter DORA fallen und sowohl Onboarding als auch Transaktionsüberwachung von einem widerstandsfähigen Drittanbieter benötigen.
  • Zahlungsinstitute, die auf Anfrage einer zuständigen Behörde die Verfügbarkeit und Sicherheit einer Onboarding-Abhängigkeit nachweisen müssen.
  • Compliance- und Beschaffungsteams, die Zertifizierungen und Audit-Nachweise im Voraus erhalten möchten, anstatt sie während einer Prüfung nachfordern zu müssen.

Häufig gestellte Fragen

Gilt DORA direkt für Identitätsprüfungsanbieter?

Die DORA-Verpflichtungen liegen beim Finanzunternehmen, aber sie erreichen ICT-Drittanbieter wie Identitätsanbieter über die Säule des Drittparteirisikomanagements. Das Finanzunternehmen muss eine Due Diligence durchführen, vertragliche Rechte sichern und die Vereinbarung registrieren – was bedeutet, dass der Anbieter seine Widerstandsfähigkeit nachweisen können muss.

Ist Didit ISO 27001 zertifiziert?

Ja. Didit besitzt ein ISO/IEC 27001:2022-Zertifikat (Bureau Veritas, ENAC-akkreditiert), Zertifikat Nr. ES144068, gültig bis zum 03.06.2027, ausgestellt an DIDIT IDENTITY SPAIN S.L. Das Zertifikat ist für Ihre Anbieterdatei verteilbar.

Ist Didit SOC 2 zertifiziert?

Didit verfügt über eine SOC 2 Typ 1-Bescheinigung (ATOM) über Sicherheit, Verfügbarkeit und Vertraulichkeit, Stand 09.04.2026. Eine SOC 2 Typ 2-Prüfung ist geplant. Der vollständige Bericht wird unter NDA geteilt.

Kann ich einen Audit-Trail für die DORA-Vorfallsberichterstattung erhalten?

Ja. Jedes Verifizierungs- und Transaktionsüberwachungsereignis wird aufgezeichnet und über die /v3/ API und Webhooks zugänglich gemacht, wodurch Sie eine abspielbare, mit Zeitstempel versehene Aufzeichnung für die Vorfallsberichterstattung und Widerstandsfähigkeitsdokumentation erhalten.

Wo erhalte ich die Zertifizierungsdokumente?

Beginnen Sie im Didit-Sicherheits- und Compliance-Hub unter didit.me/security-compliance. Das ISO 27001-Zertifikat ist verteilbar; der SOC 2 Typ 1-Bericht wird unter NDA geteilt.

Bereit zum Start?

Sehen Sie sich Didits gesamten Attestierungs-Stack im Sicherheits- und Compliance-Hub an, erfahren Sie, wie die Identitätsprüfung in einen EU-Onboarding-Workflow passt, auf der Produktseite für ID-Verifizierung, und überprüfen Sie die transparenten Preise pro Prüfung auf der Preisseite. Wenn Sie bereit sind, starten Sie kostenlos – 500 kostenlose KYC-Prüfungen jeden Monat, über dieselbe einheitliche /v3/ API, die Ihr DORA-Register dokumentieren wird.

Infrastruktur für Identität und Betrugsprävention.

Eine API für KYC, KYB, Transaktionsüberwachung und Wallet-Screening. In 5 Minuten integriert.

Kostenlos startenKontaktiere uns
Lass dir diese Seite von einer KI zusammenfassen
Didit und DORA: ICT-Drittparteirisiko | Didit.