EuroComply
Konto erstellen
Back to blog
DORA 8 min read

Was ist DORA? Ein vollstĂ€ndiger Leitfaden fĂŒr Finanzunternehmen

What you need to know: Was ist DORA? Ein vollstĂ€ndiger Leitfaden fĂŒr Finanzunternehmen

DORA (Verordnung 2022/2554) gilt seit Januar 2025. Dieser Leitfaden behandelt den Anwendungsbereich, die fĂŒnf SĂ€ulen des IKT-Risikomanagements, die Meldepflichten bei VorfĂ€llen, Drittanbieterregelungen und Sanktionen.

Source: EuroComply Editorial (2026-04-14)Reviewed:
EuroComply Team
EU regulatory specialistsContent reviewed against official EUR-Lex texts
EuroComply Editorial Team

Der Digital Operational Resilience Act (Verordnung 2022/2554) trat am 17. Januar 2025 in Kraft. Er schafft einen einheitlichen Rahmen fĂŒr die digitale BetriebsstabilitĂ€t des EU-Finanzsektors — Finanzunternehmen und ihre kritischen IKT-Drittanbieter sind verpflichtet, IKT-Risiken konsistent und umfassend zu managen.

DORA ist weder ein freiwilliger Standard noch ein unverbindliches Leitliniendokument. Es handelt sich um unmittelbar geltendes EU-Recht, das durch die nationalen zustĂ€ndigen Behörden und — fĂŒr bedeutende Institute — durch die EuropĂ€ische Zentralbank durchgesetzt wird.

Was ist DORA?

DORA hat zum Ziel sicherzustellen, dass Finanzunternehmen IKT-bezogene Störungen und Bedrohungen standhalten, darauf reagieren und sich davon erholen können. Vor DORA wurde die operative Resilienz in der EU-Finanzregulierung nur fragmentarisch durch sektorspezifische Richtlinien geregelt. DORA vereint diese Pflichten in einem einzigen, technologieneutralen Rahmen.

Die Verordnung umfasst fĂŒnf Hauptbereiche — inoffiziell als fĂŒnf SĂ€ulen bezeichnet — ĂŒber 64 Artikel hinweg.

FĂŒr wen gilt DORA?

DORA hat einen breiten Anwendungsbereich im Finanzsektor. Sie gilt fĂŒr:

| Einrichtungstyp | Beispiele | |-----------------|-----------| | Kreditinstitute | Banken, Bausparkassen | | Zahlungsinstitute | Zahlungsdienstleister, E-Geld-Institute | | Wertpapierfirmen | Broker, Portfolioverwalter | | Versicherungs- und RĂŒckversicherungsunternehmen | Lebens- und Nichtlebensversicherer, RĂŒckversicherer | | Krypto-Dienstleister (CASPs) | Börsen, Verwahrstellen unter MiCA | | Zentrale Gegenparteien (CCPs) | Clearingstellen | | Transaktionsregister | | | Verwalter alternativer Investmentfonds (AIFM) | | | Verwaltungsgesellschaften (OGAW) | | | IKT-Drittanbieter | Cloud-Anbieter, Datenanalyse, Softwareanbieter fĂŒr Finanzunternehmen |

Kleinstunternehmen (weniger als 10 BeschĂ€ftigte und Jahresumsatz bzw. Jahresbilanzsumme unter 2 Mio. €) profitieren vom VerhĂ€ltnismĂ€ĂŸigkeitsgrundsatz und unterliegen vereinfachten Anforderungen.

IKT-Drittanbieter fallen direkt unter DORA, wenn sie vom Gemeinsamen Ausschuss der EuropÀischen Aufsichtsbehörden (ESAs: EBA, ESMA, EIOPA) als kritisch eingestuft werden. Kritische Drittanbieter unterliegen einem EU-Aufsichtsrahmen und können verbindliche Empfehlungen erhalten.

Die fĂŒnf SĂ€ulen von DORA

SĂ€ule 1: IKT-Risikomanagementrahmen (Artikel 5–16)

Finanzunternehmen mĂŒssen ĂŒber einen umfassenden, dokumentierten IKT-Risikomanagementrahmen verfĂŒgen, der vom Leitungsorgan (Verantwortung auf Vorstandsebene) aufrechterhalten wird. Der Rahmen muss:

  • IKT-Werte, Funktionen und AbhĂ€ngigkeiten identifizieren und klassifizieren
  • Schutz- und PrĂ€ventionsmaßnahmen fĂŒr identifizierte Risiken umsetzen
  • Erkennungsmechanismen fĂŒr anomale AktivitĂ€ten einrichten
  • Reaktions- und Wiederherstellungsverfahren festlegen
  • Prozesse zur Nachbereitung von VorfĂ€llen umfassen
  • Mindestens jĂ€hrlich und nach schwerwiegenden VorfĂ€llen ĂŒberprĂŒft werden

Das Leitungsorgan trĂ€gt unmittelbare Verantwortung. DORA schreibt ausdrĂŒcklich vor, dass das Leitungsorgan den IKT-Risikomanagementrahmen definieren, billigen, ĂŒberwachen und verantworten muss — eine vollstĂ€ndige Delegation ist nicht zulĂ€ssig.

SĂ€ule 2: Management und Meldung IKT-bezogener VorfĂ€lle (Artikel 17–23)

Finanzunternehmen mĂŒssen einen Prozess zur Behandlung IKT-bezogener VorfĂ€lle einrichten, um VorfĂ€lle zu erkennen, zu klassifizieren und zu melden.

Klassifizierung: VorfĂ€lle werden anhand von Kriterien klassifiziert, die von den ESAs festgelegt werden — Auswirkungen auf Daten, betroffene Dienste, geografische Ausbreitung, KritikalitĂ€t, Dauer und wirtschaftliche Auswirkungen.

Meldefristen fĂŒr schwerwiegende IKT-VorfĂ€lle:

| Meldung | Frist | Inhalt | |---------|-------|--------| | Erstmeldung | 4 Stunden nach Einstufung als schwerwiegend | Grunddaten, Klassifizierung, vorlĂ€ufige Auswirkungen | | Zwischenmeldung | 72 Stunden nach Erstmeldung | Aktualisierte Analyse, ergriffene Abhilfemaßnahmen | | Abschlussmeldung | 1 Monat nach Abschluss des Vorfalls | Ursachenanalyse, dauerhafte Korrekturen, Lessons Learned |

Meldungen gehen an die zustĂ€ndige Behörde (z. B. nationale Finanzaufsicht). Die zustĂ€ndige Behörde kann anschließend andere Behörden (EZB, ESMA, EBA) entsprechend informieren.

Finanzunternehmen können erhebliche Cyberbedrohungen auch freiwillig melden — noch bevor diese sich zu VorfĂ€llen entwickeln.

SĂ€ule 3: Testen der digitalen BetriebsstabilitĂ€t (Artikel 24–27)

Alle erfassten Finanzunternehmen mĂŒssen mindestens jĂ€hrlich grundlegende ResilienzprĂŒfungen durchfĂŒhren: Schwachstellenbewertungen, Open-Source-Analysen, Netzwerksicherheitsbewertungen, Gap-Analysen, physische SicherheitsĂŒberprĂŒfungen und szenariobasierte Tests.

Bedeutende Unternehmen — jene, die von den zustĂ€ndigen Behörden aufgrund ihrer systemischen Bedeutung als solche eingestuft werden — mĂŒssen zusĂ€tzlich mindestens alle 3 Jahre bedrohungsgefĂŒhrte Penetrationstests (TLPT) durchfĂŒhren. TLPT mĂŒssen:

  • Bedrohungsinformationen nutzen, um reale Angreifertaktiken zu simulieren
  • Produktivsysteme abdecken (nicht nur Testumgebungen)
  • Von akkreditierten externen PrĂŒfern durchgefĂŒhrt werden
  • Dem TIBER-EU-Rahmen oder einem gleichwertigen Rahmen folgen

Die Ergebnisse von TLPT, einschließlich identifizierter Schwachstellen und BehebungsplĂ€ne, werden mit der zustĂ€ndigen Behörde geteilt.

SĂ€ule 4: IKT-Drittanbieterrisikomanagement (Artikel 28–44)

Diese SĂ€ule adressiert die AbhĂ€ngigkeit von Finanzunternehmen von externen IKT-Anbietern — Cloud-Plattformen, Rechenzentren, Softwarelieferanten, ausgelagerte Verarbeitung.

Wesentliche Pflichten:

  • FĂŒhren eines Registers aller IKT-DrittanbietervertrĂ€ge, einschließlich Informationen zu KritikalitĂ€t, Unterauftragsketten und Exit-Strategien
  • DurchfĂŒhrung von Due-Diligence-PrĂŒfungen vor der Beauftragung und laufende Überwachung aller IKT-Dienstleister
  • Sicherstellung, dass VertrĂ€ge mit IKT-Drittanbietern Pflichtklauseln enthalten: Service-Level-Vereinbarungen, PrĂŒfungsrechte, Sicherheitsanforderungen, Meldepflichten bei VorfĂ€llen, Datenspeicherort, KĂŒndigungsrechte
  • Umsetzung dokumentierter Exit-Strategien fĂŒr alle kritischen oder wichtigen IKT-Funktionen — um AnbieterabhĂ€ngigkeiten zu vermeiden und die BetriebskontinuitĂ€t bei einem Ausfall oder RĂŒckzug eines Anbieters zu gewĂ€hrleisten

FĂŒr kritische IKT-Drittanbieter (von den ESAs designiert) gilt ein direkter EU-Aufsichtsrahmen. FederfĂŒhrende Aufseher (EBA, ESMA oder EIOPA je nach primĂ€rem Sektor des Anbieters) fĂŒhren Aufsichtsbesuche durch, fordern Informationen an und können verbindliche Empfehlungen aussprechen. Finanzunternehmen dĂŒrfen keinen kritischen Drittanbieter nutzen, der den Empfehlungen des federfĂŒhrenden Aufsehers nicht nachkommt.

SĂ€ule 5: Informationsaustausch (Artikel 45)

Finanzunternehmen dĂŒrfen (und werden ermutigt) an Vereinbarungen zum Informationsaustausch ĂŒber Cyberbedrohungen, Schwachstellen, Kompromittierungsindikatoren und Angriffstechniken mit vertrauenswĂŒrdigen Partnern teilzunehmen — innerhalb des EU-Rechts und unbeschadet der Pflichten nach der DSGVO.

VerhÀltnis zu NIS2

Die NIS2-Richtlinie (Richtlinie 2022/2555) gilt ebenfalls fĂŒr Finanzunternehmen als Betreiber wesentlicher Dienste. DORA fungiert jedoch als lex specialis: Ist ein Finanzunternehmen fĂŒr dieselben IKT-Risikomanagementpflichten sowohl NIS2 als auch DORA unterworfen, hat DORA Vorrang. Finanzunternehmen erfĂŒllen fĂŒr diese ĂŒberschneidenden Anforderungen DORA, nicht NIS2.

Die Mitgliedstaaten mĂŒssen sicherstellen, dass ihre NIS2-Umsetzungen Finanzunternehmen, die DORA unterliegen, fĂŒr denselben Regelungsgegenstand keine zusĂ€tzlichen Pflichten auferlegen.

Sanktionen und Durchsetzung

DORA ĂŒberlĂ€sst die konkreten Sanktionen dem nationalen Recht der Mitgliedstaaten. Jede nationale zustĂ€ndige Behörde legt Verwaltungssanktionen innerhalb ihrer ZustĂ€ndigkeit fest und wendet sie an. Jedoch gilt:

  • Die EZB kann Sanktionen von bis zu 10 % des gesamten jĂ€hrlichen weltweiten Umsatzes gegen bedeutende beaufsichtigte Institute verhĂ€ngen, die gegen DORA-Anforderungen verstoßen
  • Periodische Zwangsgelder können gegen kritische Drittanbieter verhĂ€ngt werden, um die Einhaltung zu erzwingen — bis zu 1 % des durchschnittlichen tĂ€glichen weltweiten Umsatzes, fĂŒr bis zu 6 Monate

Über Geldbußen hinaus können die zustĂ€ndigen Behörden verhĂ€ngen: vorĂŒbergehendes Verbot von AktivitĂ€ten, öffentliche RĂŒgen, Anordnungen zur Einstellung von Verhaltensweisen und Verpflichtungen zur Kundeninformation ĂŒber VorfĂ€lle.

Praktische FĂŒnf-Schritte-Checkliste fĂŒr Finanzunternehmen

  1. Vorstandsverantwortung zuweisen — Eine leitende FĂŒhrungskraft fĂŒr das IKT-Risiko benennen und dem Leitungsorgan den DORA-Programmstatus vierteljĂ€hrlich vorlegen
  2. IKT-Asset-Register aufbauen — Alle IKT-Systeme, Funktionen und AbhĂ€ngigkeiten erfassen; nach KritikalitĂ€t klassifizieren
  3. DrittanbietervertrĂ€ge prĂŒfen — Alle IKT-Dienstleister identifizieren, VertrĂ€ge auf die Pflichtklauselanforderungen von DORA prĂŒfen, Exit-Strategie fĂŒr jede kritische Funktion festlegen
  4. Vorfallsklassifizierung implementieren — Einen Triageprozess aufbauen, der innerhalb von 4 Stunden feststellen kann, ob ein Vorfall die Schwelle zum „schwerwiegenden IKT-Vorfall" erreicht
  5. ResilienzprĂŒfungen planen — Basistests jĂ€hrlich durchfĂŒhren; als bedeutendes Unternehmen die TLPT-Vorbereitung einleiten (Vorlaufzeit betrĂ€gt typischerweise 6–12 Monate)

Zuletzt aktualisiert: April 2026.

HĂ€ufig gestellte Fragen

Welche Finanzunternehmen mĂŒssen DORA einhalten?

DORA gilt fĂŒr eine breite Palette von Einrichtungen des Finanzsektors, die in der EU tĂ€tig sind oder die EU bedienen, wie in Artikel 2 der Verordnung 2022/2554 festgelegt. Dazu gehören Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, Wertpapierfirmen, Versicherungs- und RĂŒckversicherungsunternehmen, unter MiCA zugelassene Krypto-Dienstleister, zentrale Gegenparteien, Transaktionsregister und Verwalter alternativer Investmentfonds. IKT-Drittanbieter fallen ebenfalls direkt unter DORA, wenn sie vom Gemeinsamen Ausschuss der EuropĂ€ischen Aufsichtsbehörden als kritisch eingestuft werden. Kleinstunternehmen — mit weniger als 10 BeschĂ€ftigten und einem Jahresumsatz oder einer Jahresbilanzsumme unter 2 Mio. € — profitieren vom VerhĂ€ltnismĂ€ĂŸigkeitsgrundsatz und haben leichtere Pflichten, sind aber nicht vollstĂ€ndig von den DORA-Anforderungen ausgenommen.

Was verlangt DORA fĂŒr das IKT-Drittanbieterrisikomanagement?

Die Artikel 28 bis 44 von DORA etablieren einen umfassenden Rahmen fĂŒr das Management von IKT-Drittanbieterrisiken. Finanzunternehmen mĂŒssen ein vollstĂ€ndiges Register aller IKT-DrittanbietervertrĂ€ge fĂŒhren, vor der Beauftragung eines Anbieters eine Due-Diligence-PrĂŒfung durchfĂŒhren und die Beziehung laufend ĂŒberwachen. Alle VertrĂ€ge mit IKT-Dienstleistern mĂŒssen Pflichtklauseln enthalten, die Service-Level-Vereinbarungen, PrĂŒfungsrechte fĂŒr das Finanzunternehmen und seine zustĂ€ndige Behörde, Sicherheitsanforderungen, Meldepflichten bei VorfĂ€llen, Datenspeicherort und dokumentierte Exit-Strategien abdecken. Exit-Strategien sind besonders bedeutsam: Finanzunternehmen mĂŒssen in der Lage sein, kritische Vereinbarungen zu beenden und zu einem alternativen Anbieter zu wechseln, ohne den Betrieb zu unterbrechen. FĂŒr von den ESAs als kritisch eingestufte Anbieter gilt ein direkter EU-Aufsichtsrahmen, im Rahmen dessen federfĂŒhrende Aufseher (EBA, ESMA oder EIOPA) Inspektionen durchfĂŒhren und verbindliche Empfehlungen aussprechen können.

Wann ist DORA in Kraft getreten?

DORA trat am 17. Januar 2025 in Kraft, nach einer zweijĂ€hrigen Übergangsfrist seit ihrer Veröffentlichung im Amtsblatt der EuropĂ€ischen Union am 27. Dezember 2022. Anders als eine Richtlinie ist DORA eine Verordnung und gilt in allen Mitgliedstaaten unmittelbar, ohne nationale Umsetzung. Die EuropĂ€ischen Aufsichtsbehörden veröffentlichten im Laufe des Jahres 2024 eine Reihe von Regulierungstechnischen Standards (RTS) und DurchfĂŒhrungstechnischen Standards (ITS) zur Spezifizierung der Anforderungen in Bereichen wie IKT-Risikomanagement, Kriterien zur Vorfallsklassifizierung, TLPT-Methodik und Anforderungen an DrittanbietervertrĂ€ge. Finanzunternehmen sollten ab Januar 2025 vollstĂ€ndig konform sein.

Quellen

Dieser Beitrag dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Konsultieren Sie qualifizierte Rechtsberatung, bevor Sie Compliance-Entscheidungen treffen.

Key takeaways: Was ist DORA? Ein vollstĂ€ndiger Leitfaden fĂŒr Finanzunternehmen

This article covers: Was ist DORA?, FĂŒr wen gilt DORA?, Die fĂŒnf SĂ€ulen von DORA.

  • Was ist DORA?
  • FĂŒr wen gilt DORA?
  • Die fĂŒnf SĂ€ulen von DORA
  • VerhĂ€ltnis zu NIS2
  • Sanktionen und Durchsetzung
Source: EuroComply Editorial (2026-04-14)Reviewed:
EC

EuroComply Editorial Team

EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.

For informational purposes only. Consult qualified legal counsel.

Share:

Get the weekly EU compliance briefing — 2 minutes, every Thursday.

See how your site scores

Run a free EU compliance scan — no signup, 30 seconds.

Was ist DORA? Ein vollstĂ€ndiger Leitfaden fĂŒr Finanzunternehmen