Was ist DORA? Ein vollständiger Leitfaden für Finanzunternehmen
What you need to know: Was ist DORA? Ein vollständiger Leitfaden für Finanzunternehmen
DORA (Verordnung 2022/2554) gilt seit Januar 2025. Dieser Leitfaden behandelt den Anwendungsbereich, die fünf Säulen des IKT-Risikomanagements, die Meldepflichten bei Vorfällen, Drittanbieterregelungen und Sanktionen.
Der Digital Operational Resilience Act (Verordnung 2022/2554) trat am 17. Januar 2025 in Kraft. Er schafft einen einheitlichen Rahmen für die digitale Betriebsstabilität des EU-Finanzsektors — Finanzunternehmen und ihre kritischen IKT-Drittanbieter sind verpflichtet, IKT-Risiken konsistent und umfassend zu managen.
DORA ist weder ein freiwilliger Standard noch ein unverbindliches Leitliniendokument. Es handelt sich um unmittelbar geltendes EU-Recht, das durch die nationalen zuständigen Behörden und — für bedeutende Institute — durch die Europäische Zentralbank durchgesetzt wird.
Was ist DORA?
DORA hat zum Ziel sicherzustellen, dass Finanzunternehmen IKT-bezogene Störungen und Bedrohungen standhalten, darauf reagieren und sich davon erholen können. Vor DORA wurde die operative Resilienz in der EU-Finanzregulierung nur fragmentarisch durch sektorspezifische Richtlinien geregelt. DORA vereint diese Pflichten in einem einzigen, technologieneutralen Rahmen.
Die Verordnung umfasst fünf Hauptbereiche — inoffiziell als fünf Säulen bezeichnet — über 64 Artikel hinweg.
Für wen gilt DORA?
DORA hat einen breiten Anwendungsbereich im Finanzsektor. Sie gilt für:
| Einrichtungstyp | Beispiele | |-----------------|-----------| | Kreditinstitute | Banken, Bausparkassen | | Zahlungsinstitute | Zahlungsdienstleister, E-Geld-Institute | | Wertpapierfirmen | Broker, Portfolioverwalter | | Versicherungs- und Rückversicherungsunternehmen | Lebens- und Nichtlebensversicherer, Rückversicherer | | Krypto-Dienstleister (CASPs) | Börsen, Verwahrstellen unter MiCA | | Zentrale Gegenparteien (CCPs) | Clearingstellen | | Transaktionsregister | | | Verwalter alternativer Investmentfonds (AIFM) | | | Verwaltungsgesellschaften (OGAW) | | | IKT-Drittanbieter | Cloud-Anbieter, Datenanalyse, Softwareanbieter für Finanzunternehmen |
Kleinstunternehmen (weniger als 10 Beschäftigte und Jahresumsatz bzw. Jahresbilanzsumme unter 2 Mio. €) profitieren vom Verhältnismäßigkeitsgrundsatz und unterliegen vereinfachten Anforderungen.
IKT-Drittanbieter fallen direkt unter DORA, wenn sie vom Gemeinsamen Ausschuss der Europäischen Aufsichtsbehörden (ESAs: EBA, ESMA, EIOPA) als kritisch eingestuft werden. Kritische Drittanbieter unterliegen einem EU-Aufsichtsrahmen und können verbindliche Empfehlungen erhalten.
Die fünf Säulen von DORA
Säule 1: IKT-Risikomanagementrahmen (Artikel 5–16)
Finanzunternehmen müssen über einen umfassenden, dokumentierten IKT-Risikomanagementrahmen verfügen, der vom Leitungsorgan (Verantwortung auf Vorstandsebene) aufrechterhalten wird. Der Rahmen muss:
- IKT-Werte, Funktionen und Abhängigkeiten identifizieren und klassifizieren
- Schutz- und Präventionsmaßnahmen für identifizierte Risiken umsetzen
- Erkennungsmechanismen für anomale Aktivitäten einrichten
- Reaktions- und Wiederherstellungsverfahren festlegen
- Prozesse zur Nachbereitung von Vorfällen umfassen
- Mindestens jährlich und nach schwerwiegenden Vorfällen überprüft werden
Das Leitungsorgan trägt unmittelbare Verantwortung. DORA schreibt ausdrücklich vor, dass das Leitungsorgan den IKT-Risikomanagementrahmen definieren, billigen, überwachen und verantworten muss — eine vollständige Delegation ist nicht zulässig.
Säule 2: Management und Meldung IKT-bezogener Vorfälle (Artikel 17–23)
Finanzunternehmen müssen einen Prozess zur Behandlung IKT-bezogener Vorfälle einrichten, um Vorfälle zu erkennen, zu klassifizieren und zu melden.
Klassifizierung: Vorfälle werden anhand von Kriterien klassifiziert, die von den ESAs festgelegt werden — Auswirkungen auf Daten, betroffene Dienste, geografische Ausbreitung, Kritikalität, Dauer und wirtschaftliche Auswirkungen.
Meldefristen für schwerwiegende IKT-Vorfälle:
| Meldung | Frist | Inhalt | |---------|-------|--------| | Erstmeldung | 4 Stunden nach Einstufung als schwerwiegend | Grunddaten, Klassifizierung, vorläufige Auswirkungen | | Zwischenmeldung | 72 Stunden nach Erstmeldung | Aktualisierte Analyse, ergriffene Abhilfemaßnahmen | | Abschlussmeldung | 1 Monat nach Abschluss des Vorfalls | Ursachenanalyse, dauerhafte Korrekturen, Lessons Learned |
Meldungen gehen an die zuständige Behörde (z. B. nationale Finanzaufsicht). Die zuständige Behörde kann anschließend andere Behörden (EZB, ESMA, EBA) entsprechend informieren.
Finanzunternehmen können erhebliche Cyberbedrohungen auch freiwillig melden — noch bevor diese sich zu Vorfällen entwickeln.
Säule 3: Testen der digitalen Betriebsstabilität (Artikel 24–27)
Alle erfassten Finanzunternehmen müssen mindestens jährlich grundlegende Resilienzprüfungen durchführen: Schwachstellenbewertungen, Open-Source-Analysen, Netzwerksicherheitsbewertungen, Gap-Analysen, physische Sicherheitsüberprüfungen und szenariobasierte Tests.
Bedeutende Unternehmen — jene, die von den zuständigen Behörden aufgrund ihrer systemischen Bedeutung als solche eingestuft werden — müssen zusätzlich mindestens alle 3 Jahre bedrohungsgeführte Penetrationstests (TLPT) durchführen. TLPT müssen:
- Bedrohungsinformationen nutzen, um reale Angreifertaktiken zu simulieren
- Produktivsysteme abdecken (nicht nur Testumgebungen)
- Von akkreditierten externen Prüfern durchgeführt werden
- Dem TIBER-EU-Rahmen oder einem gleichwertigen Rahmen folgen
Die Ergebnisse von TLPT, einschließlich identifizierter Schwachstellen und Behebungspläne, werden mit der zuständigen Behörde geteilt.
Säule 4: IKT-Drittanbieterrisikomanagement (Artikel 28–44)
Diese Säule adressiert die Abhängigkeit von Finanzunternehmen von externen IKT-Anbietern — Cloud-Plattformen, Rechenzentren, Softwarelieferanten, ausgelagerte Verarbeitung.
Wesentliche Pflichten:
- Führen eines Registers aller IKT-Drittanbieterverträge, einschließlich Informationen zu Kritikalität, Unterauftragsketten und Exit-Strategien
- Durchführung von Due-Diligence-Prüfungen vor der Beauftragung und laufende Überwachung aller IKT-Dienstleister
- Sicherstellung, dass Verträge mit IKT-Drittanbietern Pflichtklauseln enthalten: Service-Level-Vereinbarungen, Prüfungsrechte, Sicherheitsanforderungen, Meldepflichten bei Vorfällen, Datenspeicherort, Kündigungsrechte
- Umsetzung dokumentierter Exit-Strategien für alle kritischen oder wichtigen IKT-Funktionen — um Anbieterabhängigkeiten zu vermeiden und die Betriebskontinuität bei einem Ausfall oder Rückzug eines Anbieters zu gewährleisten
Für kritische IKT-Drittanbieter (von den ESAs designiert) gilt ein direkter EU-Aufsichtsrahmen. Federführende Aufseher (EBA, ESMA oder EIOPA je nach primärem Sektor des Anbieters) führen Aufsichtsbesuche durch, fordern Informationen an und können verbindliche Empfehlungen aussprechen. Finanzunternehmen dürfen keinen kritischen Drittanbieter nutzen, der den Empfehlungen des federführenden Aufsehers nicht nachkommt.
Säule 5: Informationsaustausch (Artikel 45)
Finanzunternehmen dürfen (und werden ermutigt) an Vereinbarungen zum Informationsaustausch über Cyberbedrohungen, Schwachstellen, Kompromittierungsindikatoren und Angriffstechniken mit vertrauenswürdigen Partnern teilzunehmen — innerhalb des EU-Rechts und unbeschadet der Pflichten nach der DSGVO.
Verhältnis zu NIS2
Die NIS2-Richtlinie (Richtlinie 2022/2555) gilt ebenfalls für Finanzunternehmen als Betreiber wesentlicher Dienste. DORA fungiert jedoch als lex specialis: Ist ein Finanzunternehmen für dieselben IKT-Risikomanagementpflichten sowohl NIS2 als auch DORA unterworfen, hat DORA Vorrang. Finanzunternehmen erfüllen für diese überschneidenden Anforderungen DORA, nicht NIS2.
Die Mitgliedstaaten müssen sicherstellen, dass ihre NIS2-Umsetzungen Finanzunternehmen, die DORA unterliegen, für denselben Regelungsgegenstand keine zusätzlichen Pflichten auferlegen.
Sanktionen und Durchsetzung
DORA überlässt die konkreten Sanktionen dem nationalen Recht der Mitgliedstaaten. Jede nationale zuständige Behörde legt Verwaltungssanktionen innerhalb ihrer Zuständigkeit fest und wendet sie an. Jedoch gilt:
- Die EZB kann Sanktionen von bis zu 10 % des gesamten jährlichen weltweiten Umsatzes gegen bedeutende beaufsichtigte Institute verhängen, die gegen DORA-Anforderungen verstoßen
- Periodische Zwangsgelder können gegen kritische Drittanbieter verhängt werden, um die Einhaltung zu erzwingen — bis zu 1 % des durchschnittlichen täglichen weltweiten Umsatzes, für bis zu 6 Monate
Über Geldbußen hinaus können die zuständigen Behörden verhängen: vorübergehendes Verbot von Aktivitäten, öffentliche Rügen, Anordnungen zur Einstellung von Verhaltensweisen und Verpflichtungen zur Kundeninformation über Vorfälle.
Praktische Fünf-Schritte-Checkliste für Finanzunternehmen
- Vorstandsverantwortung zuweisen — Eine leitende Führungskraft für das IKT-Risiko benennen und dem Leitungsorgan den DORA-Programmstatus vierteljährlich vorlegen
- IKT-Asset-Register aufbauen — Alle IKT-Systeme, Funktionen und Abhängigkeiten erfassen; nach Kritikalität klassifizieren
- Drittanbieterverträge prüfen — Alle IKT-Dienstleister identifizieren, Verträge auf die Pflichtklauselanforderungen von DORA prüfen, Exit-Strategie für jede kritische Funktion festlegen
- Vorfallsklassifizierung implementieren — Einen Triageprozess aufbauen, der innerhalb von 4 Stunden feststellen kann, ob ein Vorfall die Schwelle zum „schwerwiegenden IKT-Vorfall" erreicht
- Resilienzprüfungen planen — Basistests jährlich durchführen; als bedeutendes Unternehmen die TLPT-Vorbereitung einleiten (Vorlaufzeit beträgt typischerweise 6–12 Monate)
Zuletzt aktualisiert: April 2026.
Häufig gestellte Fragen
Welche Finanzunternehmen müssen DORA einhalten?
DORA gilt für eine breite Palette von Einrichtungen des Finanzsektors, die in der EU tätig sind oder die EU bedienen, wie in Artikel 2 der Verordnung 2022/2554 festgelegt. Dazu gehören Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, Wertpapierfirmen, Versicherungs- und Rückversicherungsunternehmen, unter MiCA zugelassene Krypto-Dienstleister, zentrale Gegenparteien, Transaktionsregister und Verwalter alternativer Investmentfonds. IKT-Drittanbieter fallen ebenfalls direkt unter DORA, wenn sie vom Gemeinsamen Ausschuss der Europäischen Aufsichtsbehörden als kritisch eingestuft werden. Kleinstunternehmen — mit weniger als 10 Beschäftigten und einem Jahresumsatz oder einer Jahresbilanzsumme unter 2 Mio. € — profitieren vom Verhältnismäßigkeitsgrundsatz und haben leichtere Pflichten, sind aber nicht vollständig von den DORA-Anforderungen ausgenommen.
Was verlangt DORA für das IKT-Drittanbieterrisikomanagement?
Die Artikel 28 bis 44 von DORA etablieren einen umfassenden Rahmen für das Management von IKT-Drittanbieterrisiken. Finanzunternehmen müssen ein vollständiges Register aller IKT-Drittanbieterverträge führen, vor der Beauftragung eines Anbieters eine Due-Diligence-Prüfung durchführen und die Beziehung laufend überwachen. Alle Verträge mit IKT-Dienstleistern müssen Pflichtklauseln enthalten, die Service-Level-Vereinbarungen, Prüfungsrechte für das Finanzunternehmen und seine zuständige Behörde, Sicherheitsanforderungen, Meldepflichten bei Vorfällen, Datenspeicherort und dokumentierte Exit-Strategien abdecken. Exit-Strategien sind besonders bedeutsam: Finanzunternehmen müssen in der Lage sein, kritische Vereinbarungen zu beenden und zu einem alternativen Anbieter zu wechseln, ohne den Betrieb zu unterbrechen. Für von den ESAs als kritisch eingestufte Anbieter gilt ein direkter EU-Aufsichtsrahmen, im Rahmen dessen federführende Aufseher (EBA, ESMA oder EIOPA) Inspektionen durchführen und verbindliche Empfehlungen aussprechen können.
Wann ist DORA in Kraft getreten?
DORA trat am 17. Januar 2025 in Kraft, nach einer zweijährigen Übergangsfrist seit ihrer Veröffentlichung im Amtsblatt der Europäischen Union am 27. Dezember 2022. Anders als eine Richtlinie ist DORA eine Verordnung und gilt in allen Mitgliedstaaten unmittelbar, ohne nationale Umsetzung. Die Europäischen Aufsichtsbehörden veröffentlichten im Laufe des Jahres 2024 eine Reihe von Regulierungstechnischen Standards (RTS) und Durchführungstechnischen Standards (ITS) zur Spezifizierung der Anforderungen in Bereichen wie IKT-Risikomanagement, Kriterien zur Vorfallsklassifizierung, TLPT-Methodik und Anforderungen an Drittanbieterverträge. Finanzunternehmen sollten ab Januar 2025 vollständig konform sein.
Quellen
- Verordnung (EU) 2022/2554 — DORA-Volltext — Der offizielle Gesetzestext des Digital Operational Resilience Act, wie im Amtsblatt der Europäischen Union veröffentlicht.
- EBA-Technische Standards und Leitlinien zu DORA — Regulierungstechnische und Durchführungstechnische Standards der Europäischen Bankaufsichtsbehörde, entwickelt im Rahmen der DORA-Mandate.
- EIOPA-Regulierungsprodukte zu DORA — Veröffentlichungen der Europäischen Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung zur DORA-Umsetzung für den Versicherungssektor.
- ESMA-Leitlinien und FAQ zu DORA — Leitlinien der Europäischen Wertpapier- und Marktaufsichtsbehörde zur DORA-Anwendung für Wertpapierfirmen und Kapitalmarktteilnehmer.
- DORA-Politikseite der Europäischen Kommission — Überblick der Kommission über delegierte Rechtsakte und Durchführungsrechtsakte zu DORA, einschließlich Links zu allen finalisierten Technischen Standards.
Dieser Beitrag dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Konsultieren Sie qualifizierte Rechtsberatung, bevor Sie Compliance-Entscheidungen treffen.
Key takeaways: Was ist DORA? Ein vollständiger Leitfaden für Finanzunternehmen
This article covers: Was ist DORA?, Für wen gilt DORA?, Die fünf Säulen von DORA.
- Was ist DORA?
- Für wen gilt DORA?
- Die fünf Säulen von DORA
- Verhältnis zu NIS2
- Sanktionen und Durchsetzung
EuroComply Editorial Team
EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.
For informational purposes only. Consult qualified legal counsel.
Get the weekly EU compliance briefing — 2 minutes, every Thursday.
Related Regulation
DORA
Official EuroComply guide to DORA