---
name: spezial-dora-risikoampel-und-gegenargumente
description: "Dora: Risikoampel, Gegenargumente und Verteidigungslinien: konkreter Spezialworkflow mit Sachverhaltsklärung, Rechtsrahmen, Belegen, Risikoampel und verwertbarem Output."
---

# Dora: Risikoampel, Gegenargumente und Verteidigungslinien

## Aufgabe
Dieser Skill ist ein konkreter Fachbaustein für `dsa-dma-digitalregulierung`. Ausgangspunkt ist: Digitalregulierung der EU: DSA (VO 2022/2065) und DMA (VO 2022/1925) plus Data Act DGA AI Act NIS-2 DORA CRA eIDAS 2.0 DDG P2B-VO und § 19a GWB. Gatekeeper-Schwellen VLOP-Einordnung Risikobewertung Art. 34 Forschungsdatenzugang Art. 40 Account-Sperre Art. 20-23 Zustellung Art. 13 DSA Klagewege.

Er führt durch **Risikoampel, Gegenargumente und Verteidigungslinien** im Themenfeld **Dora**. Ziel ist nicht ein abstrakter Lexikontext, sondern ein belastbares Arbeitsprodukt für die nächste anwaltliche, behördliche, gerichtliche, organisatorische oder mandantenbezogene Entscheidung.

## Kaltstart
Wenn Unterlagen vorhanden sind, arbeite zuerst aus den Unterlagen. Stelle nur Rückfragen, die die nächste Weiche verändern:

1. Welche Rolle hat die fragende Person und wer ist Gegenüber?
2. Welches konkrete Ziel soll erreicht oder verhindert werden?
3. Welche Frist, Zustellung, Schwelle, Zahlung, Sanktion oder Verfahrensstufe ist kritisch?
4. Welche Dokumente, Registerauszüge, Bescheide, Verträge, Tabellen, Screenshots oder Nachrichten belegen den Punkt?
5. Welcher Output wird gebraucht: Memo, Checkliste, Tabelle, Entwurf, Schriftsatzbaustein, Mandantenbrief oder Entscheidungsvorlage?

## Arbeitsworkflow
1. **Fallbild bilden:** Sachverhalt, Rollen, Zeitachse und Dokumente in eine kurze Matrix bringen.
2. **Rechtsrahmen setzen:** Normen, Zuständigkeiten, Fristen, Formfragen und Verfahrensstand zum Themenfeld **DORA (Digital Operational Resilience Act)** prüfen.
3. **Prüfpunkte abarbeiten:** Tatbestandsmerkmale, Beweisfragen, typische Fehler, Gegenargumente und Ermessens- oder Wertungsfragen trennen.
4. **Risiko bewerten:** Grün/Gelb/Rot mit Begründung, Annahmen, fehlenden Belegen und möglichen Alternativwegen ausgeben.
5. **Anschluss bauen:** Passende weitere Skills desselben Plugins vorschlagen, wenn eine Vertiefung, ein Schreiben, eine Tabelle, ein Fristenblatt oder eine Verhandlungsstrategie sinnvoll ist.

## DORA (VO (EU) 2022/2554) — Risikoampel
- **Anwendungsbereich Art. 2 DORA:** Banken, Wertpapierfirmen, Zahlungsdienstleister, E-Geld-Institute, Krypto-Dienstleister, Versicherer, Pensionsfonds, ICT-Drittanbieter mit kritischer Bedeutung; Geltung **seit 17.01.2025**.
- **Pflichten:**
  - Kapitel II (Art. 5-16): IKT-Risikomanagement-Rahmen.
  - Kapitel III (Art. 17-23): IKT-Vorfallmeldung.
  - Kapitel IV (Art. 24-27): Resilienztests (TLPT — Threat-Led Penetration Testing).
  - Kapitel V (Art. 28-44): IKT-Drittanbieter-Risikomanagement.
- **Aufsicht:** BaFin in DE; bei kritischen ICT-Drittanbietern ESA (European Supervisory Authorities) — Lead Overseer.

## Risikoampel
- **Rot:** Erheblicher Vorfall nicht binnen 24 Stunden gemeldet; ICT-Drittanbieter ohne DORA-konformen Vertrag; TLPT nicht durchgeführt trotz Pflicht.
- **Gelb:** Risikomanagement-Rahmen existiert, aber Audit-Spuren fehlen; Drittanbieter-Vertrag ohne Exit-Strategie.
- **Grün:** Vollständiges Compliance-Programm, dokumentierte Vorfallklassifizierung, regelmäßige TLPT, RTR (Risk Treatment Register).

## Gegenargumente bei Aufsichtsbeanstandung
- "Vorfall war nicht erheblich" — DORA-Schwellenwerte präzise prüfen (CDR (Commission Delegated Regulation) 2024/1772).
- "Drittanbieter ist nicht kritisch" — Klassifizierungsmethodik der ESA anwenden.
- "Wir sind keine kritische Einrichtung" — § 8b BSIG / DORA Art. 2 prüfen.

## Praxis-Tipp
DORA und NIS2 überschneiden sich für Finanzunternehmen — DORA ist lex specialis (Art. 1 Abs. 2 DORA). Wer DORA-konform ist, erfüllt regelmäßig auch NIS2 in den überschneidenden Bereichen, aber nicht automatisch alle NIS2-Pflichten. Komplianztabelle empfehlen.

## Output-Standard
- **Kurzlage:** maximal fünf Sätze zu Ziel, Lage, Frist, Risiko und nächstem Schritt.
- **Prüfmatrix:** Punkt, Norm/Quelle, Tatsache, Beleg, Bewertung, To-do.
- **Arbeitsprodukt:** direkt nutzbarer Entwurf oder Baustein in der passenden Tonalität.
- **Qualitätsgate:** keine Scheingenauigkeit; Lücken, Annahmen und Live-Check-Bedarf ausdrücklich markieren.

## Quellenregel
- Aktuelle Normen, Behördenhinweise, Gerichtsseiten, Register, Formulare und EU-/Landesrecht live prüfen, wenn sie für das Ergebnis tragend sind.
- Rechtsprechung nur mit Gericht, Datum, Aktenzeichen und frei prüfbarer Quelle ausgeben.
- Keine BeckRS-, juris-, Kommentar-, Handbuch- oder Aufsatz-Blindzitate aus Modellwissen.
- Paywall-Literatur nur verwerten, wenn sie von der Nutzerin oder dem Nutzer als Text bereitgestellt wurde; dann nicht als frei verifizierte Quelle ausgeben.