DORA TLPT: der bedrohungsgeleitete Pflicht-Test für Finanzentitäten.
Seit dem 17. Januar 2025 verlangt Artikel 26 der DORA-Verordnung mindestens alle drei Jahre einen Threat-Led Penetration Test — auf produktiven, kritischen Funktionen. Diese Seite erklärt, wer betroffen ist, was der RTS verlangt und wie die Umsetzung realistisch aussieht.
Ein bedrohungsgeleiteter Test alle drei Jahre — auf dem Produktivsystem.
Artikel 26 der Verordnung (EU) 2022/2554 verpflichtet benannte Finanzunternehmen, mindestens alle drei Jahre einen fortgeschrittenen Test in Form eines Threat-Led Penetration Tests durchzuführen. Der Test muss auf lebenden, kritischen oder wichtigen Funktionen laufen — Staging reicht nicht.
Die technische Ausgestaltung liegt in einem eigenen RTS und lehnt sich eng an die TIBER-EU-Methodik der EZB an. Für Deutschland benennt BaFin/Bundesbank die in-scope-Unternehmen und begleitet die Tests über das nationale TIBER Cyber Team.
Wer ist in-scope?
Kreditinstitute & Wertpapierfirmen
Signifikante Banken und größere Wertpapierfirmen im Sinne von CRR/CRD.
Zahlungs- & E-Geld-Institute
Große Zahlungsdienstleister und E-Geld-Institute mit erheblichem Transaktionsvolumen.
Marktinfrastrukturen
Zentrale Gegenparteien (CCPs), Zentralverwahrer (CSDs), Handelsplätze.
Versicherer & Rückversicherer
Größere Solvency-II-Unternehmen mit systemrelevanter IKT-Abhängigkeit.
Kritische IKT-Drittdienstleister
Von den ESAs benannte CTPPs mit systemischer Bedeutung für den Sektor.
Ausgenommen
Kleine und Kleinstunternehmen sowie explizit ausgenommene Kategorien laut Art. 16 DORA.
Verbindlich ist die Benennung durch die zuständige Aufsicht. Die Kriterien stehen im TLPT-RTS.
Was wann fällig ist.
17. Januar 2025
DORA voll anwendbar. Ab hier tickt die Uhr für den ersten TLPT-Zyklus.
2025–2027
Erster TLPT für benannte Institute — Aufsicht erwartet eine substanzielle, TIBER-konforme Durchführung.
Alle 3 Jahre
Wiederkehrende Verpflichtung. Bei signifikanten Änderungen (Fusion, neue Kernsysteme) auch außerplanmäßig.
Was der TLPT-RTS von einem externen Team verlangt.
Nachweisbare Red-Team-Erfahrung
Track Record ähnlicher Operationen — nicht nur klassischer Pentests.
Operator-Zertifizierungen
OSCP/OSCE/OSEP oder gleichwertig für alle aktiven Operator:innen.
Rollentrennung
Threat-Intelligence- und Red-Team-Rolle müssen getrennt mandatiert sein.
Sektor-Track-Record
Nachweisbare Erfahrung im Finanzsektor und mit Aufsichtsschnittstellen.
Häufige Fragen zum DORA TLPT
Was ist ein DORA TLPT?→
TLPT steht für Threat-Led Penetration Test. Artikel 26 der Verordnung (EU) 2022/2554 (DORA) verpflichtet in-scope-Finanzentitäten, mindestens alle drei Jahre einen bedrohungsgeleiteten Test auf produktiven, kritischen oder wichtigen Funktionen durchzuführen. Die technische Methodik ist im zugehörigen RTS geregelt und stützt sich auf TIBER-EU.
Für wen gilt die TLPT-Pflicht?→
Die zuständige Behörde (in Deutschland BaFin/Bundesbank) benennt die in-scope-Unternehmen anhand von Größen-, Risiko- und Systemrelevanz-Kriterien nach RTS. Faustregel: signifikante Kreditinstitute, große Zahlungsdienstleister, zentrale Gegenparteien, Handelsplätze, große Versicherer und wichtige IKT-Drittdienstleister mit systemischer Bedeutung. Kleine und Kleinstunternehmen sind explizit ausgenommen.
Seit wann gilt die Pflicht?→
DORA ist seit dem 17. Januar 2025 anwendbar. Die erste TLPT-Runde für benannte Institute läuft in den 24–36 Monaten danach. Wer benannt ist, aber noch nicht getestet hat, sollte spätestens jetzt die Vorbereitung starten — realistisch sind 6–9 Monate von Kick-off bis Abschluss.
Muss der Test auf produktiven Systemen laufen?→
Ja. Der TLPT-RTS verlangt einen Test auf den tatsächlich produktiven, kritischen oder wichtigen Funktionen. Ein reiner Test auf Staging-Umgebungen erfüllt die Anforderung nicht — das ist der entscheidende Unterschied zu einem klassischen Penetrationstest.
Wer darf einen DORA TLPT durchführen?→
Der RTS verlangt qualifizierte externe Anbieter mit nachgewiesener Red-Team-Erfahrung, Track Record im Finanzsektor, Zertifizierungen der Operator:innen (OSCP/OSCE/OSEP oder gleichwertig) und einer Trennung zwischen Threat-Intelligence- und Red-Team-Rolle. Ein internes Team ist nur unter engen Zusatzvoraussetzungen zulässig.
Was passiert, wenn ein Institut den TLPT nicht durchführt?→
Aufsichtsrechtliche Maßnahmen bis hin zu Anordnungen und Bußgeldern sind möglich. DORA gehört in Deutschland zu den kritischen Aufsichtsthemen 2025/2026 — ein nicht durchgeführter TLPT wird spätestens im nächsten Aufsichtsgespräch zur Priorität.
Kann Exploit Labs den TLPT liefern?→
Ja. Wir haben 2024 einen DORA TLPT für ein reguliertes Institut abgeschlossen und waren 2021–2024 ENISA-Contributor zu europäischen TLPT-Rahmenwerken. Wir übernehmen die Red-Team-Rolle und koordinieren mit einem separat mandatierten Threat-Intelligence-Provider — genau so, wie es der RTS verlangt.
Bereit für den ersten TLPT-Zyklus?
Wir prüfen mit Ihnen Scope, Fristen und Rollen — und legen einen realistischen Zeitplan bis zur Attestation.