Zum Hauptinhalt springen
Didit erhält 7,5 Mio. $ für die Infrastruktur für Identität und Betrug
Didit
Zurück zum Blog
Blog · 6. März 2026

DORA-Verordnung: Risikomanagement bei Drittanbietern der Identitätsprüfung (DE)

Die DORA-Verordnung (Digital Operational Resilience Act) verändert das Management von IKT-Risiken durch Finanzinstitute bei Drittanbietern, insbesondere bei Identitätsprüfungsdiensten.

Von DiditAktualisiert
dora-regulation-third-party-risk-identity-providers.png

DORAs weitreichende AuswirkungenDie DORA-Verordnung (Digital Operational Resilience Act) geht über traditionelle Finanzdienstleistungen hinaus und umfasst kritische IKT-Drittdienstleister, einschließlich derjenigen, die Lösungen zur Identitätsprüfung anbieten. Dies bedeutet, dass eine robuste operationale Resilienz nicht länger nur eine interne Angelegenheit ist, sondern eine Notwendigkeit für die gesamte Lieferkette.

Verbessertes Drittanbieter-RisikomanagementFinanzinstitute müssen gemäß DORA umfassende Rahmenwerke für das Drittanbieter-Risikomanagement implementieren, die Due Diligence, vertragliche Vereinbarungen, laufende Überwachung und Ausstiegsstrategien für Identitätsprüfungspartner umfassen. Dies erfordert ein tieferes Verständnis der Resilienzfähigkeiten der Anbieter.

Fokus auf operationale ResilienzDORA schreibt vor, dass Finanzinstitute sicherstellen müssen, dass ihre IKT-Systeme, einschließlich derer, die auf externe Identitätsanbieter angewiesen sind, allen Arten von IKT-bezogenen Störungen standhalten, darauf reagieren und sich davon erholen können. Dies umfasst strenge Anforderungen an die Meldung von Vorfällen und Tests.

Didits konforme LösungenDidits KI-native, modulare Identitätsplattform, die eine robuste ID-Verifikation, passive und aktive Liveness-Erkennung sowie AML-Screening bietet, wurde entwickelt, um die DORA-Konformität zu unterstützen, indem sie transparente, resiliente und auditierbare Verifizierungsprozesse mit kostenlosem Core KYC bereitstellt.

DORA und ihre Auswirkungen auf Identitätsanbieter verstehen

Der Digital Operational Resilience Act (DORA) ist eine wegweisende Verordnung der Europäischen Union, die darauf abzielt, die Informations- und Kommunikationstechnologie-(IKT)-Sicherheit von Finanzinstituten zu stärken. Ab dem 17. Januar 2025 führt DORA einen einheitlichen Rahmen für das Management von IKT-Risiken ein, was eine bedeutende Abkehr von früheren, fragmentierten nationalen Regeln darstellt. Entscheidend ist, dass DORA ihren Geltungsbereich über Finanzinstitute selbst hinaus auf kritische IKT-Drittdienstleister ausdehnt. Dies wirkt sich direkt auf Anbieter von Identitätsprüfungen (IDV) aus, da diese oft integraler Bestandteil der Onboarding-, Transaktionsüberwachungs- und Compliance-Prozesse eines Finanzinstituts sind.

Für Finanzinstitute schreibt DORA einen umfassenden Ansatz für das IKT-Risikomanagement vor, einschließlich robuster Meldung von Vorfällen, Tests der digitalen operativen Resilienz und strenger Anforderungen an das Management von IKT-Drittanbieterrisiken. Das bedeutet, dass, wenn Sie ein Finanzinstitut sind, das sich auf eine externe Identitätsprüfungslösung verlässt, Sie nun dafür verantwortlich sind, dass Ihr Anbieter ebenfalls die Resilienzstandards von DORA einhält. Die Verordnung betont die Notwendigkeit der Resilienz entlang der gesamten digitalen Lieferkette, wodurch die Wahl eines Identitätsprüfungspartners wichtiger denn je wird.

Verbesserung des Drittanbieter-Risikomanagements für IDV-Dienste

DORA legt einen starken Schwerpunkt auf das Management von IKT-Drittanbieter-Risiken. Finanzinstitute müssen eine gründliche Due Diligence bei der Auswahl und Vertragsgestaltung mit Drittdienstleistern, einschließlich Identitätsprüfungsplattformen, durchführen. Diese Due Diligence beschränkt sich nicht nur auf Sicherheitszertifizierungen; sie befasst sich mit den operationalen Resilienzfähigkeiten des Anbieters, seiner Fähigkeit, Dienste kontinuierlich bereitzustellen, und seinen Wiederherstellungsplänen im Falle einer Störung. Wichtige Überlegungen umfassen:

  • Vertragliche Vereinbarungen: Verträge mit IDV-Anbietern müssen Service-Level, Leistungsziele, Meldepflichten für Vorfälle, Prüfrechte und Ausstiegsstrategien klar definieren. Dies gewährleistet Klarheit und Rechenschaftspflicht.
  • Laufende Überwachung: Eine kontinuierliche Überwachung der Leistung und Resilienz des IDV-Anbieters ist erforderlich. Dies beinhaltet die Bewertung seiner Sicherheitslage, seiner Vorfallhistorie und der Einhaltung vereinbarter Service-Level.
  • Konzentrationsrisiko: Finanzinstitute müssen Konzentrationsrisiken, die aus der Abhängigkeit von einem oder wenigen kritischen Drittanbieter-IDV-Anbietern entstehen, identifizieren und managen. Diversifizierung oder robuste Notfallpläne sind unerlässlich.
  • Untervergabe: Wenn Ihr IDV-Anbieter Unterauftragnehmer einsetzt, verlangt DORA Transparenz und Sorgfaltspflicht auch für diese Unterauftragnehmer.

Zum Beispiel muss eine Bank, die einen externen Dienst für Didits ID-Verifikation oder AML-Screening nutzt, sicherstellen, dass Didits Operationen den DORA-Standards entsprechen, einschließlich seiner Fähigkeit, ununterbrochenen Service zu bieten und sich schnell von IKT-bezogenen Vorfällen zu erholen. Dieser proaktive Ansatz zum Drittanbieter-Risikomanagement soll den Finanzsektor vor systemischen Risiken schützen.

Gewährleistung operationaler Resilienz bei der Identitätsprüfung

Operationale Resilienz ist das Herzstück von DORA. Für Identitätsprüfungsverfahren bedeutet dies, dass die zur Identitätsprüfung verwendeten Systeme und Prozesse verschiedenen Störungen standhalten und sich davon erholen können, sei es Cyberangriffe, Systemausfälle oder Naturkatastrophen. Dies umfasst die Resilienz entscheidender Komponenten wie der passiven und aktiven Liveness-Erkennung, die Deepfake- und Spoofing-Angriffe verhindert, und des 1:1-Gesichtsvergleichs, der die Identität des legitimen Benutzers bestätigt. Jede Unterbrechung dieser Dienste könnte das Onboarding oder kritische Transaktionen zum Erliegen bringen, was zu erheblichen finanziellen und reputativen Schäden führen würde.

DORA schreibt regelmäßige und umfassende Tests der digitalen operationalen Resilienz vor. Dies umfasst fortgeschrittene Tests wie Penetrationstests für kritische IKT-Systeme, die sich auf die Infrastruktur von Drittanbieter-IDV-Anbietern erstrecken würden. Finanzinstitute müssen auch robuste Incident-Management-Prozesse etablieren, die sicherstellen, dass alle IKT-bezogenen Vorfälle, insbesondere solche, die Identitätsprüfungsdienste betreffen, den zuständigen Behörden und Stakeholdern umgehend gemeldet werden. Die Fähigkeit, solche Vorfälle schnell zu identifizieren, einzudämmen und sich davon zu erholen, ist von größter Bedeutung.

Wie Didit den Weg zur DORA-Konformität ebnet

Didit ist eine KI-native, entwicklerorientierte Identitätsplattform, die mit Blick auf operationale Resilienz und Compliance entwickelt wurde, was sie zu einem idealen Partner für Finanzinstitute macht, die sich mit DORA auseinandersetzen. Unsere modulare Architektur ermöglicht es Unternehmen, Verifizierungs-Workflows zu erstellen, die nicht nur effizient, sondern auch robust und auditierbar sind – entscheidend für die strengen Anforderungen von DORA. Didits Engagement für Transparenz und Zuverlässigkeit hilft Finanzinstituten, ihre erweiterten Due-Diligence-Verpflichtungen für Drittanbieter zu erfüllen.

So unterstützt Didit die DORA-Konformität im Einzelnen:

  • Robuste ID-Verifikation: Didits führende ID-Verifikation (OCR, MRZ, Barcodes) gewährleistet eine genaue und schnelle Dokumentenverarbeitung und bildet eine zuverlässige Grundlage für die Identitätssicherung.
  • Fortschrittliche Liveness-Erkennung: Unsere passiven und aktiven Liveness-Technologien bieten modernsten Betrugsschutz, indem sie sicherstellen, dass die Person, die den Ausweis vorlegt, real und anwesend ist, und stärken so die Integrität Ihrer Verifizierungsprozesse gegen ausgeklügelte Angriffe.
  • Umfassendes AML-Screening: Für die laufende Compliance bietet Didit AML-Screening & Monitoring, um Finanzinstituten bei der Erfüllung ihrer regulatorischen Verpflichtungen zur Verhinderung von Finanzkriminalität zu helfen, was ein kritischer Aspekt der operationalen Resilienz ist.
  • NFC-Verifikation: Für das höchste Sicherheitsniveau bietet die NFC-Verifikation (ePass/eID) eine kryptografische Zusicherung der Dokumentenauthentizität und stärkt so die Verifizierungskette zusätzlich.
  • Modulare und auditierbare Workflows: Didits Plattform ermöglicht die Erstellung orchestrierter Workflows über eine No-Code Business Console oder saubere APIs. Diese Modularität stellt sicher, dass Verifizierungsprozesse transparent, konfigurierbar und leicht auditierbar sind, was die Berichts- und Testanforderungen von DORA unterstützt.
  • KI-native Resilienz: Unser KI-nativer Ansatz bedeutet kontinuierliches Lernen und die Anpassung an neue Bedrohungen, wodurch die Gesamtresilienz der Plattform gegen sich entwickelnde IKT-Risiken verbessert wird.
  • Transparente Preise und keine Einrichtungsgebühren: Didit bietet kostenloses Core KYC und ein Pay-per-Successful-Check-Modell, wodurch Einrichtungsgebühren entfallen und kostengünstige, hochwertige Verifizierungsdienste ohne versteckte Kosten bereitgestellt werden.

Didits Infrastruktur ist für globale Skalierbarkeit und Resilienz ausgelegt, um sicherzustellen, dass Finanzinstitute einen kontinuierlichen Betrieb aufrechterhalten und die DORA-Anforderungen an ein robustes IKT-Risikomanagement erfüllen können. Unser sofortiger Sandbox-Zugang und die öffentliche Dokumentation erleichtern auch die Integration und Tests, was mit dem DORA-Fokus auf proaktive Resilienzmaßnahmen übereinstimmt.

Bereit zum Start?

Möchten Sie Didit in Aktion sehen? Holen Sie sich noch heute eine kostenlose Demo.

Beginnen Sie kostenlos mit der Identitätsprüfung mit Didits kostenlosem Tarif.

Infrastruktur für Identität und Betrugsprävention.

Eine API für KYC, KYB, Transaktionsüberwachung und Wallet-Screening. In 5 Minuten integriert.

Kostenlos startenKontaktiere uns
Lass dir diese Seite von einer KI zusammenfassen
DORA-Verordnung & Drittanbieter-Risiko für Identitätsanbiet.