Danke! Deine Einreichung ist eingegangen!
Hoppla! Beim Absenden des Formulars ist etwas schief gelaufen.
Zuletzt aktualisiert: 01.04.2025
Die ilert GmbH ist ein B2B‑SaaS‑Anbieter für Incident‑Management‑ und Alarmierungslösungen. Dieses eigenständige Dossier belegt die Übereinstimmung der ilert GmbH mit der Verordnung (EU) 2022/2554 über die digitale operationelle Resilienz im Finanzsektor ("DORA"). Es gilt für alle Finanzmarktteilnehmer der EU (Banken, Versicherungen, Wertpapierfirmen, Zahlungsdienstleister usw.), die die SaaS‑Plattform von ilert nutzen. ilert überprüft und – falls erforderlich – überarbeitet dieses Paket mindestens jährlich sowie bei neuen regulatorischen Leitlinien.
Thema
Aussage
Rechtsform
GmbH
Verantwortung auf Führungsebene
Der CEO ist der Verantwortliche der digitalen Resilienz; der CTO leitet das ISO‑27001‑ISMS und berichtet quartalsweise an den Vorstand.
Daten‑Hosting
Active/active AWS eu‑central‑1 (Frankfurt) & eu‑north‑1 (Stockholm)
Zertifizierungen
ISO/IEC 27001:2013 (Scope: SaaS‑Plattform + Support)
DORA‑Status
Nicht als kritischer IKT‑Drittanbieter eingestuft
DSGVO‑Rolle
Auftragsverarbeiter gem. Art. 28; AVV
Kontinuierliche Verbesserung
Nächste DORA‑Überprüfung geplant Q1 2026; monatliches Regulatory Monitoring
Dieses Paket ordnet die Kontrollen von ilert den Kernpflichten für IKT‑Drittanbieter unter DORA zu und ist einheitlich für alle Kunden nutzbar.
DORA-Thema
Zusammenfassung der ilert‑Kontrollen
IKT‑Risikomanagement & Governance (Art. 5‑6)
ISO‑27001‑ISMS; vierteljährliche KPI‑Reviews durch das Management; jährliche Risikoanalyse.
Incident‑Erkennung & Meldung (Art. 10‑11)
24×7 Monitoring & SRE‑Bereitschaft; „Major ICT Incident“ = Art. 3(8) DORA. Erstmeldung an Kunden ≤ 4 Std. mit Art, Auswirkung, Gegenmaßnahmen; Updates alle ≤ 4 Std. auf https://status.ilert.com; Abschlussbericht innerhalb von 5 Werktagen.
Tests zur digitalen Resilienz (Art. 15 & 24‑27)
Jährlicher externer Pen‑Test; vierteljährliche Schwachstellen‑Scans; uneingeschränkte Mitwirkung bei kundengeführten TLPTs & Cyber‑Übungen.
Informationsaustausch (Art. 45)
Kritische Bedrohungswarnungen innerhalb von 24 Std. an Kunden weitergeleitet.
Vertragliche Drittanbieter‑Klauseln (Art. 30)
Standard‑DORA‑Addendum: Audit‑ & Zugriffsrechte; Subunternehmer‑Bedingungen; Sicherheits‑ & Schulungsmitwirkung; TLPT‑Kooperation; Mitteilung wesentlicher Entwicklungen; Exit & Transition.
Business Continuity & Disaster Recovery (Art. 11‑12)
Active/active Frankfurt + Stockholm; RPO ≤ 15 Min. & RTO ≤ 60 Min.; vierteljährliche Fail‑over‑Tests; 30‑tägige Datenaufbewahrung nach Vertragsende + Export innerhalb von 10 Werktagen.
Bereich
ilert (Anbieter)
Finanz‑
Unternehmen (Kunde)
Risikomanagement
Betrieb des ISO‑27001‑ISMS
Bewertung von ilert im Lieferanten‑Risikoprogramm
Incident handling
Erkennen → Eindämmen → Melden ≤ 4 Std.; Unterstützung bei RCA & Regulatorik
Einstufung & Meldepflicht gegenüber Aufsicht
Audits
ISO‑Zertifikat & Pen‑Test‑Kurzbericht; 1 Remote‑Audit/Jahr kostenlos; Vor‑Ort‑Audit kostenpflichtig
Audit initiieren & bewerten
Exit‑Plan
Datenexport (JSON/CSV) innerhalb 30 Tagen
Notfall‑/Migrationsplan pflegen
1. Security & Governance
2. Incident Response & Benachrichtigung
3. Business Continuity & Disaster Recovery
4. Risiko‑Assessments & Audits
Dokument
Zweck
ISO‑27001‑Zertifikat & SoA
Externe Bestätigung des ISMS
Informationssicherheits‑Richtlinie
Detaillierte Kontrollbeschreibungen
Incident‑Response‑Plan
Prozesse, Rollen, Vorlagen
BCP/DR‑Plan
Wiederherstellungs‑Architektur & Testergebnisse
Pen‑Test‑Kurzbericht
Ergebnisse des letzten externen Tests
Sub‑Prozessor‑Liste
Namen, Rollen, Datenstandort
