DORA schreibt keinen einzelnen „Penetrationstest" als pauschale Pflicht vor. Die Verordnung baut zwei Stufen auf. Nach Art. 24–25 muss fast jedes Finanzunternehmen außer Kleinstunternehmen ein Resilienz-Testprogramm betreiben, das Penetrationstests ausdrücklich einschließt. Nach Art. 26 muss eine Teilmenge, die die zuständige Behörde benennt, mindestens alle drei Jahre fortgeschrittene bedrohungsgeleitete Penetrationstests (TLPT) durchführen. DeepMantis deckt die wiederkehrende Art.-25-Baseline ab: autonomes Testen von Web und APIs, das jedes Finding ausnutzt und belegt, ab 890 €. TLPT ist eine andere, engere Pflicht, ein threat-intelligence-geführtes Red-Team-Exercise für eine Teilmenge der Unternehmen, und diese Grenze ziehen wir unten klar.
Schreibt DORA einen Penetrationstest vor?
Ja, aber die Pflicht steht an zwei verschiedenen Stellen, und der Unterschied entscheidet, was du tatsächlich einkaufen musst. DORA ist die Verordnung (EU) 2022/2554, beschlossen am 14. Dezember 2022 und anwendbar seit dem 17. Januar 2025 (Art. 64). Das Testregime steht in Kapitel IV, Artikel 24 bis 27.
Art. 24(1) setzt den Rahmen: Alle Finanzunternehmen außer Kleinstunternehmen müssen „ein solides und umfassendes Programm für das Testen der digitalen operationalen Resilienz als integralen Bestandteil des IKT-Risikomanagementrahmens einrichten, aufrechterhalten und überprüfen". Art. 25(1) listet dann die Baseline-Tests auf, aus denen dieses Programm schöpfen muss:
„Schwachstellenbewertungen und -scans, Open-Source-Analysen, Netzwerksicherheitsbewertungen, Lückenanalysen ... und Penetrationstests."
— Art. 25(1), Verordnung (EU) 2022/2554 (DORA)
Penetrationstests sind also direkt benannt, als Komponente eines wiederkehrenden Programms, nicht als einmaliges Häkchen. Die BaFin ordnet die Verschiebung nüchtern ein.
„DORA's most important accomplishment is the creation of a single rulebook, i.e. a regulatory framework for managing ICT risks that is applicable throughout Europe."
Wer muss nach Art. 26 fortgeschrittene TLPT durchführen?
Nicht jeder. Genau hier verwischen die meisten Zusammenfassungen die Grenze. Art. 26 führt fortgeschrittene Tests über bedrohungsgeleitete Penetrationstests ein: eine Full-Scope-, threat-intelligence-geführte Red-Team-Übung. Sie ist „mindestens alle drei Jahre" (Art. 26(8)) verpflichtend, aber nur für Finanzunternehmen, die die zuständige Behörde benennt, unter Berücksichtigung der Verhältnismäßigkeitskriterien aus Art. 4(2). Wer unter DORA fällt, fällt nicht automatisch unter die TLPT-Pflicht.
Wenn TLPT greift, ist die Latte hoch: Nach Art. 26(2) „erstreckt sich" jeder Test „auf mehrere oder alle kritischen oder wichtigen Funktionen ... und wird auf Live-Produktivsystemen durchgeführt." Die methodischen Details stehen in den Regulierungstechnischen Standards nach Art. 26(11), dem Final Report JC 2024-29 des ESAs Joint Committee (17. Juli 2024).
Ein verbreiteter Fehler, den wir hier gleich ausräumen: TIBER-EU ist die methodische Referenz für TLPT, nicht dessen Rechtsgrundlage. Art. 26(11) gibt vor, dass die RTS „im Einklang mit dem TIBER-EU-Rahmen" entwickelt werden, und die EZB hat TIBER-EU 2024 auf DORA ausgerichtet. Aber die Pflicht selbst kommt aus Art. 26 und den RTS.
"The TIBER-EU framework can also assist competent authorities and financial entities in meeting the requirements for threat-led penetration tests under the Digital Operational Resilience Act (DORA)."
Praktisch gelesen: TLPT ist ein spezialisiertes Engagement, das um Threat Intelligence und die kritischen Funktionen eines Unternehmens herum skopiert wird und einen benannten Angreifer über die gesamte Organisation emuliert. Das ist eine andere Disziplin als das wiederkehrende Testen der Anwendungsebene, das Art. 25 von jedem Unternehmen verlangt, und kein ehrlicher Anbieter sollte beides vermischen.
Wen betrifft DORA?
Einen breiten Ausschnitt des Finanzsektors. Art. 2 nennt unter anderem Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, Wertpapierfirmen, Anbieter von Krypto-Dienstleistungen, Versicherungen und Rückversicherungen, Zentralverwahrer, zentrale Gegenparteien, Handelsplätze und IKT-Drittdienstleister. Die Zahl ist groß.
„In Germany, DORA is applicable to over 3,600 entities of the financial sector."
Die Vorbereitung hinkt der Frist hinterher. Wie aus dem Deloitte DORA European Survey berichtet, rechneten rund 50 Prozent der Institute mit voller Compliance bis Ende 2025, während 38 Prozent ihr Ziel ins Jahr 2026 verschoben. DORA verankert die Verantwortung außerdem ganz oben: Die BaFin betont, dass „the responsibility for managing a company's ICT risks lies at management level, i.e. with the managing directors or members of the executive board" (BaFin, 12.04.2024). Das Testprogramm aufzuschieben ist damit ein Risiko auf Leitungsebene, keine Fußnote der IT-Abteilung.
Welche Sanktionen sieht DORA vor?
Zwei Regime, die nicht vermischt werden dürfen. Für Finanzunternehmen setzt Art. 50 einen Rahmen: Verwaltungssanktionen müssen „wirksam, verhältnismäßig und abschreckend" sein, aber DORA überlässt die konkreten Bußgeldhöhen der Umsetzung durch die Mitgliedstaaten. Es gibt in DORA selbst keine EU-weite Umsatz-Obergrenze für Finanzunternehmen; die Zahlen, die du zitieren kannst, hängen von der nationalen Umsetzung ab.
Für kritische IKT-Drittdienstleister legt DORA dagegen einen harten Wert fest. Art. 35 ermächtigt den federführenden Überwacher, ein Zwangsgeld von „bis zu 1 % des durchschnittlichen weltweiten Tagesumsatzes ... im vorangegangenen Geschäftsjahr" zu verhängen, täglich für bis zu sechs Monate. Diese Obergrenze steht in der Verordnung selbst und kann direkt zitiert werden (Verordnung (EU) 2022/2554). Wenn du ein Finanzunternehmen bist und kein benannter kritischer IKT-Dienstleister, behandle jede „Prozent-vom-Umsatz"-Zahl als Sache des nationalen Rechts und prüfe sie gegen dein Umsetzungsgesetz.
Wie passt autonomes Testen zur DORA-Baseline?
Für die Art.-25-Baseline (wiederkehrende Schwachstellenbewertungen, Scans und Penetrationstests) kollidiert die Ökonomie der Personentage-Preise direkt mit dem „soliden und umfassenden ... Testprogramm" aus Art. 24(1). Ein Programm bedeutet Wiederholung, und Wiederholung zu manuellen Tagessätzen wird über ein Portfolio aus Anwendungen und APIs schnell teuer.
DeepMantis führt autonome Engagements über die Web-Anwendungen und APIs im Scope durch, mit einem reproduzierbaren Proof of Concept für jedes Finding. Das entspricht den Baseline-Komponenten aus Art. 25 (Schwachstellenbewertung, Penetrationstest), kontinuierlich betrieben statt als Jahres-Snapshot. Die öffentliche Preisliste nennt drei Stufen: 890 € für eine Single-Surface-Anwendung, 3.800 € für ein verbundenes Produkt mit sensiblen Daten und 7.500 € für ein verteiltes System mit regulierten Daten; monatliches Testen beginnt bei 99 € (jährliche Abrechnung). Der audit-taugliche PDF-Report dokumentiert pro Finding den Angriffspfad, die Reproduktionsschritte und die belegte Auswirkung: genau der Nachweis, den ein Resilienz-Testprogramm vorzeigen muss.
Was DeepMantis nicht leistet, ist TLPT. Bedrohungsgeleitete Penetrationstests nach Art. 26 sind ein spezialisiertes, threat-intelligence-geführtes Red-Team-Engagement, das einen benannten Angreifer gegen die kritischen Funktionen eines Unternehmens im Live-Produktivbetrieb emuliert und dabei über Netzwerk, Identität und Lateral Movement reicht, skopiert und geregelt unter den RTS. Das ist eine eigene Disziplin, keine tiefere Variante des Anwendungstests. Innerhalb der Art.-25-Baseline fährt DeepMantis volle Exploitation: Es markiert eine SQL-Injection oder einen Access-Control-Fehler nicht nur, es nutzt sie aus und liefert den reproduzierbaren Beleg. Aber wenn deine zuständige Behörde dich für TLPT benannt hat, ist das eine andere Beschaffung: beauftrage einen qualifizierten TLPT-Anbieter. DeepMantis adressiert die wiederkehrende Baseline, die für die weit größere Menge betroffener Unternehmen gilt; es ersetzt die fortgeschrittene Stufe nicht.
Häufig gestellte Fragen
Ist ein Penetrationstest bei DORA Pflicht?
Penetrationstests sind in Art. 25(1) als einer der Baseline-Tests benannt, aus denen das Resilienz-Testprogramm eines Finanzunternehmens schöpfen muss, und Art. 24(1) macht dieses Programm für alle betroffenen Unternehmen außer Kleinstunternehmen verpflichtend. DORA schreibt zwar keine feste Pentest-Frequenz für alle vor, aber belegende Penetrationstests sind eine benannte, erwartete Komponente der Baseline.
Wer muss bei DORA TLPT durchführen?
Nur Finanzunternehmen, die die zuständige Behörde benennt, auf Basis der Verhältnismäßigkeitskriterien aus Art. 4(2). Diese Unternehmen müssen mindestens alle drei Jahre bedrohungsgeleitete Penetrationstests durchführen, die mehrere oder alle kritischen oder wichtigen Funktionen auf Live-Produktivsystemen abdecken. Unter DORA zu fallen bedeutet nicht automatisch, unter die TLPT-Pflicht zu fallen.
Ist TIBER-EU die Rechtsgrundlage für TLPT?
Nein. Die Rechtsgrundlage sind Art. 26 DORA plus die Regulierungstechnischen Standards (JC 2024-29). TIBER-EU ist die methodische Referenz, „im Einklang" mit der die RTS entwickelt werden. Die EZB hat es 2024 auf DORA ausgerichtet, aber es ist ein Rahmenwerk, nicht die Quelle der Pflicht.
Welche Bußgelder sieht DORA vor?
Für Finanzunternehmen verlangt Art. 50 „wirksame, verhältnismäßige und abschreckende" Sanktionen, überlässt die Höhe aber der nationalen Umsetzung; die konkrete Obergrenze hängt also vom Umsetzungsgesetz deines Mitgliedstaats ab. Für benannte kritische IKT-Drittdienstleister setzt Art. 35 ein Zwangsgeld von bis zu 1 % des durchschnittlichen weltweiten Tagesumsatzes fest, täglich für bis zu sechs Monate.
Weiterführend
- Pentest-Kosten 2026: die echten Zahlen: Tagessatz-Rechnung und warum autonome Tests ab 890 € starten.
- NIS2 und Penetrationstest: Pflicht oder nicht?: die parallele Resilienz-Test-Logik nach § 30 BSIG.
Stand Juli 2026. Gesetzesstellen zitiert aus Verordnung (EU) 2022/2554 (DORA) über EUR-Lex, den ESAs-RTS zu TLPT (JC 2024-29), BaFin, der EZB und dem Deloitte DORA European Survey. Diese Seite ist keine Rechtsberatung — die Einordnung deines Unternehmens und eine mögliche TLPT-Benennung prüfst du mit deiner zuständigen Behörde und fachkundiger Beratung. Methodik und Scope-Grenzen von DeepMantis sind auf der Security-Seite dokumentiert.


