Was ist DORA? Ein vollstĂ€ndiger Leitfaden fĂŒr Finanzunternehmen
What you need to know: Was ist DORA? Ein vollstĂ€ndiger Leitfaden fĂŒr Finanzunternehmen
DORA (Verordnung 2022/2554) gilt seit Januar 2025. Dieser Leitfaden behandelt den Anwendungsbereich, die fĂŒnf SĂ€ulen des IKT-Risikomanagements, die Meldepflichten bei VorfĂ€llen, Drittanbieterregelungen und Sanktionen.
Der Digital Operational Resilience Act (Verordnung 2022/2554) trat am 17. Januar 2025 in Kraft. Er schafft einen einheitlichen Rahmen fĂŒr die digitale BetriebsstabilitĂ€t des EU-Finanzsektors â Finanzunternehmen und ihre kritischen IKT-Drittanbieter sind verpflichtet, IKT-Risiken konsistent und umfassend zu managen.
DORA ist weder ein freiwilliger Standard noch ein unverbindliches Leitliniendokument. Es handelt sich um unmittelbar geltendes EU-Recht, das durch die nationalen zustĂ€ndigen Behörden und â fĂŒr bedeutende Institute â durch die EuropĂ€ische Zentralbank durchgesetzt wird.
Was ist DORA?
DORA hat zum Ziel sicherzustellen, dass Finanzunternehmen IKT-bezogene Störungen und Bedrohungen standhalten, darauf reagieren und sich davon erholen können. Vor DORA wurde die operative Resilienz in der EU-Finanzregulierung nur fragmentarisch durch sektorspezifische Richtlinien geregelt. DORA vereint diese Pflichten in einem einzigen, technologieneutralen Rahmen.
Die Verordnung umfasst fĂŒnf Hauptbereiche â inoffiziell als fĂŒnf SĂ€ulen bezeichnet â ĂŒber 64 Artikel hinweg.
FĂŒr wen gilt DORA?
DORA hat einen breiten Anwendungsbereich im Finanzsektor. Sie gilt fĂŒr:
| Einrichtungstyp | Beispiele | |-----------------|-----------| | Kreditinstitute | Banken, Bausparkassen | | Zahlungsinstitute | Zahlungsdienstleister, E-Geld-Institute | | Wertpapierfirmen | Broker, Portfolioverwalter | | Versicherungs- und RĂŒckversicherungsunternehmen | Lebens- und Nichtlebensversicherer, RĂŒckversicherer | | Krypto-Dienstleister (CASPs) | Börsen, Verwahrstellen unter MiCA | | Zentrale Gegenparteien (CCPs) | Clearingstellen | | Transaktionsregister | | | Verwalter alternativer Investmentfonds (AIFM) | | | Verwaltungsgesellschaften (OGAW) | | | IKT-Drittanbieter | Cloud-Anbieter, Datenanalyse, Softwareanbieter fĂŒr Finanzunternehmen |
Kleinstunternehmen (weniger als 10 BeschĂ€ftigte und Jahresumsatz bzw. Jahresbilanzsumme unter 2 Mio. âŹ) profitieren vom VerhĂ€ltnismĂ€Ăigkeitsgrundsatz und unterliegen vereinfachten Anforderungen.
IKT-Drittanbieter fallen direkt unter DORA, wenn sie vom Gemeinsamen Ausschuss der EuropÀischen Aufsichtsbehörden (ESAs: EBA, ESMA, EIOPA) als kritisch eingestuft werden. Kritische Drittanbieter unterliegen einem EU-Aufsichtsrahmen und können verbindliche Empfehlungen erhalten.
Die fĂŒnf SĂ€ulen von DORA
SĂ€ule 1: IKT-Risikomanagementrahmen (Artikel 5â16)
Finanzunternehmen mĂŒssen ĂŒber einen umfassenden, dokumentierten IKT-Risikomanagementrahmen verfĂŒgen, der vom Leitungsorgan (Verantwortung auf Vorstandsebene) aufrechterhalten wird. Der Rahmen muss:
- IKT-Werte, Funktionen und AbhÀngigkeiten identifizieren und klassifizieren
- Schutz- und PrĂ€ventionsmaĂnahmen fĂŒr identifizierte Risiken umsetzen
- Erkennungsmechanismen fĂŒr anomale AktivitĂ€ten einrichten
- Reaktions- und Wiederherstellungsverfahren festlegen
- Prozesse zur Nachbereitung von VorfÀllen umfassen
- Mindestens jĂ€hrlich und nach schwerwiegenden VorfĂ€llen ĂŒberprĂŒft werden
Das Leitungsorgan trĂ€gt unmittelbare Verantwortung. DORA schreibt ausdrĂŒcklich vor, dass das Leitungsorgan den IKT-Risikomanagementrahmen definieren, billigen, ĂŒberwachen und verantworten muss â eine vollstĂ€ndige Delegation ist nicht zulĂ€ssig.
SĂ€ule 2: Management und Meldung IKT-bezogener VorfĂ€lle (Artikel 17â23)
Finanzunternehmen mĂŒssen einen Prozess zur Behandlung IKT-bezogener VorfĂ€lle einrichten, um VorfĂ€lle zu erkennen, zu klassifizieren und zu melden.
Klassifizierung: VorfĂ€lle werden anhand von Kriterien klassifiziert, die von den ESAs festgelegt werden â Auswirkungen auf Daten, betroffene Dienste, geografische Ausbreitung, KritikalitĂ€t, Dauer und wirtschaftliche Auswirkungen.
Meldefristen fĂŒr schwerwiegende IKT-VorfĂ€lle:
| Meldung | Frist | Inhalt | |---------|-------|--------| | Erstmeldung | 4 Stunden nach Einstufung als schwerwiegend | Grunddaten, Klassifizierung, vorlĂ€ufige Auswirkungen | | Zwischenmeldung | 72 Stunden nach Erstmeldung | Aktualisierte Analyse, ergriffene AbhilfemaĂnahmen | | Abschlussmeldung | 1 Monat nach Abschluss des Vorfalls | Ursachenanalyse, dauerhafte Korrekturen, Lessons Learned |
Meldungen gehen an die zustĂ€ndige Behörde (z. B. nationale Finanzaufsicht). Die zustĂ€ndige Behörde kann anschlieĂend andere Behörden (EZB, ESMA, EBA) entsprechend informieren.
Finanzunternehmen können erhebliche Cyberbedrohungen auch freiwillig melden â noch bevor diese sich zu VorfĂ€llen entwickeln.
SĂ€ule 3: Testen der digitalen BetriebsstabilitĂ€t (Artikel 24â27)
Alle erfassten Finanzunternehmen mĂŒssen mindestens jĂ€hrlich grundlegende ResilienzprĂŒfungen durchfĂŒhren: Schwachstellenbewertungen, Open-Source-Analysen, Netzwerksicherheitsbewertungen, Gap-Analysen, physische SicherheitsĂŒberprĂŒfungen und szenariobasierte Tests.
Bedeutende Unternehmen â jene, die von den zustĂ€ndigen Behörden aufgrund ihrer systemischen Bedeutung als solche eingestuft werden â mĂŒssen zusĂ€tzlich mindestens alle 3 Jahre bedrohungsgefĂŒhrte Penetrationstests (TLPT) durchfĂŒhren. TLPT mĂŒssen:
- Bedrohungsinformationen nutzen, um reale Angreifertaktiken zu simulieren
- Produktivsysteme abdecken (nicht nur Testumgebungen)
- Von akkreditierten externen PrĂŒfern durchgefĂŒhrt werden
- Dem TIBER-EU-Rahmen oder einem gleichwertigen Rahmen folgen
Die Ergebnisse von TLPT, einschlieĂlich identifizierter Schwachstellen und BehebungsplĂ€ne, werden mit der zustĂ€ndigen Behörde geteilt.
SĂ€ule 4: IKT-Drittanbieterrisikomanagement (Artikel 28â44)
Diese SĂ€ule adressiert die AbhĂ€ngigkeit von Finanzunternehmen von externen IKT-Anbietern â Cloud-Plattformen, Rechenzentren, Softwarelieferanten, ausgelagerte Verarbeitung.
Wesentliche Pflichten:
- FĂŒhren eines Registers aller IKT-DrittanbietervertrĂ€ge, einschlieĂlich Informationen zu KritikalitĂ€t, Unterauftragsketten und Exit-Strategien
- DurchfĂŒhrung von Due-Diligence-PrĂŒfungen vor der Beauftragung und laufende Ăberwachung aller IKT-Dienstleister
- Sicherstellung, dass VertrĂ€ge mit IKT-Drittanbietern Pflichtklauseln enthalten: Service-Level-Vereinbarungen, PrĂŒfungsrechte, Sicherheitsanforderungen, Meldepflichten bei VorfĂ€llen, Datenspeicherort, KĂŒndigungsrechte
- Umsetzung dokumentierter Exit-Strategien fĂŒr alle kritischen oder wichtigen IKT-Funktionen â um AnbieterabhĂ€ngigkeiten zu vermeiden und die BetriebskontinuitĂ€t bei einem Ausfall oder RĂŒckzug eines Anbieters zu gewĂ€hrleisten
FĂŒr kritische IKT-Drittanbieter (von den ESAs designiert) gilt ein direkter EU-Aufsichtsrahmen. FederfĂŒhrende Aufseher (EBA, ESMA oder EIOPA je nach primĂ€rem Sektor des Anbieters) fĂŒhren Aufsichtsbesuche durch, fordern Informationen an und können verbindliche Empfehlungen aussprechen. Finanzunternehmen dĂŒrfen keinen kritischen Drittanbieter nutzen, der den Empfehlungen des federfĂŒhrenden Aufsehers nicht nachkommt.
SĂ€ule 5: Informationsaustausch (Artikel 45)
Finanzunternehmen dĂŒrfen (und werden ermutigt) an Vereinbarungen zum Informationsaustausch ĂŒber Cyberbedrohungen, Schwachstellen, Kompromittierungsindikatoren und Angriffstechniken mit vertrauenswĂŒrdigen Partnern teilzunehmen â innerhalb des EU-Rechts und unbeschadet der Pflichten nach der DSGVO.
VerhÀltnis zu NIS2
Die NIS2-Richtlinie (Richtlinie 2022/2555) gilt ebenfalls fĂŒr Finanzunternehmen als Betreiber wesentlicher Dienste. DORA fungiert jedoch als lex specialis: Ist ein Finanzunternehmen fĂŒr dieselben IKT-Risikomanagementpflichten sowohl NIS2 als auch DORA unterworfen, hat DORA Vorrang. Finanzunternehmen erfĂŒllen fĂŒr diese ĂŒberschneidenden Anforderungen DORA, nicht NIS2.
Die Mitgliedstaaten mĂŒssen sicherstellen, dass ihre NIS2-Umsetzungen Finanzunternehmen, die DORA unterliegen, fĂŒr denselben Regelungsgegenstand keine zusĂ€tzlichen Pflichten auferlegen.
Sanktionen und Durchsetzung
DORA ĂŒberlĂ€sst die konkreten Sanktionen dem nationalen Recht der Mitgliedstaaten. Jede nationale zustĂ€ndige Behörde legt Verwaltungssanktionen innerhalb ihrer ZustĂ€ndigkeit fest und wendet sie an. Jedoch gilt:
- Die EZB kann Sanktionen von bis zu 10 % des gesamten jĂ€hrlichen weltweiten Umsatzes gegen bedeutende beaufsichtigte Institute verhĂ€ngen, die gegen DORA-Anforderungen verstoĂen
- Periodische Zwangsgelder können gegen kritische Drittanbieter verhĂ€ngt werden, um die Einhaltung zu erzwingen â bis zu 1 % des durchschnittlichen tĂ€glichen weltweiten Umsatzes, fĂŒr bis zu 6 Monate
Ăber GeldbuĂen hinaus können die zustĂ€ndigen Behörden verhĂ€ngen: vorĂŒbergehendes Verbot von AktivitĂ€ten, öffentliche RĂŒgen, Anordnungen zur Einstellung von Verhaltensweisen und Verpflichtungen zur Kundeninformation ĂŒber VorfĂ€lle.
Praktische FĂŒnf-Schritte-Checkliste fĂŒr Finanzunternehmen
- Vorstandsverantwortung zuweisen â Eine leitende FĂŒhrungskraft fĂŒr das IKT-Risiko benennen und dem Leitungsorgan den DORA-Programmstatus vierteljĂ€hrlich vorlegen
- IKT-Asset-Register aufbauen â Alle IKT-Systeme, Funktionen und AbhĂ€ngigkeiten erfassen; nach KritikalitĂ€t klassifizieren
- DrittanbietervertrĂ€ge prĂŒfen â Alle IKT-Dienstleister identifizieren, VertrĂ€ge auf die Pflichtklauselanforderungen von DORA prĂŒfen, Exit-Strategie fĂŒr jede kritische Funktion festlegen
- Vorfallsklassifizierung implementieren â Einen Triageprozess aufbauen, der innerhalb von 4 Stunden feststellen kann, ob ein Vorfall die Schwelle zum âschwerwiegenden IKT-Vorfall" erreicht
- ResilienzprĂŒfungen planen â Basistests jĂ€hrlich durchfĂŒhren; als bedeutendes Unternehmen die TLPT-Vorbereitung einleiten (Vorlaufzeit betrĂ€gt typischerweise 6â12 Monate)
Zuletzt aktualisiert: April 2026.
HĂ€ufig gestellte Fragen
Welche Finanzunternehmen mĂŒssen DORA einhalten?
DORA gilt fĂŒr eine breite Palette von Einrichtungen des Finanzsektors, die in der EU tĂ€tig sind oder die EU bedienen, wie in Artikel 2 der Verordnung 2022/2554 festgelegt. Dazu gehören Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, Wertpapierfirmen, Versicherungs- und RĂŒckversicherungsunternehmen, unter MiCA zugelassene Krypto-Dienstleister, zentrale Gegenparteien, Transaktionsregister und Verwalter alternativer Investmentfonds. IKT-Drittanbieter fallen ebenfalls direkt unter DORA, wenn sie vom Gemeinsamen Ausschuss der EuropĂ€ischen Aufsichtsbehörden als kritisch eingestuft werden. Kleinstunternehmen â mit weniger als 10 BeschĂ€ftigten und einem Jahresumsatz oder einer Jahresbilanzsumme unter 2 Mio. ⏠â profitieren vom VerhĂ€ltnismĂ€Ăigkeitsgrundsatz und haben leichtere Pflichten, sind aber nicht vollstĂ€ndig von den DORA-Anforderungen ausgenommen.
Was verlangt DORA fĂŒr das IKT-Drittanbieterrisikomanagement?
Die Artikel 28 bis 44 von DORA etablieren einen umfassenden Rahmen fĂŒr das Management von IKT-Drittanbieterrisiken. Finanzunternehmen mĂŒssen ein vollstĂ€ndiges Register aller IKT-DrittanbietervertrĂ€ge fĂŒhren, vor der Beauftragung eines Anbieters eine Due-Diligence-PrĂŒfung durchfĂŒhren und die Beziehung laufend ĂŒberwachen. Alle VertrĂ€ge mit IKT-Dienstleistern mĂŒssen Pflichtklauseln enthalten, die Service-Level-Vereinbarungen, PrĂŒfungsrechte fĂŒr das Finanzunternehmen und seine zustĂ€ndige Behörde, Sicherheitsanforderungen, Meldepflichten bei VorfĂ€llen, Datenspeicherort und dokumentierte Exit-Strategien abdecken. Exit-Strategien sind besonders bedeutsam: Finanzunternehmen mĂŒssen in der Lage sein, kritische Vereinbarungen zu beenden und zu einem alternativen Anbieter zu wechseln, ohne den Betrieb zu unterbrechen. FĂŒr von den ESAs als kritisch eingestufte Anbieter gilt ein direkter EU-Aufsichtsrahmen, im Rahmen dessen federfĂŒhrende Aufseher (EBA, ESMA oder EIOPA) Inspektionen durchfĂŒhren und verbindliche Empfehlungen aussprechen können.
Wann ist DORA in Kraft getreten?
DORA trat am 17. Januar 2025 in Kraft, nach einer zweijĂ€hrigen Ăbergangsfrist seit ihrer Veröffentlichung im Amtsblatt der EuropĂ€ischen Union am 27. Dezember 2022. Anders als eine Richtlinie ist DORA eine Verordnung und gilt in allen Mitgliedstaaten unmittelbar, ohne nationale Umsetzung. Die EuropĂ€ischen Aufsichtsbehörden veröffentlichten im Laufe des Jahres 2024 eine Reihe von Regulierungstechnischen Standards (RTS) und DurchfĂŒhrungstechnischen Standards (ITS) zur Spezifizierung der Anforderungen in Bereichen wie IKT-Risikomanagement, Kriterien zur Vorfallsklassifizierung, TLPT-Methodik und Anforderungen an DrittanbietervertrĂ€ge. Finanzunternehmen sollten ab Januar 2025 vollstĂ€ndig konform sein.
Quellen
- Verordnung (EU) 2022/2554 â DORA-Volltext â Der offizielle Gesetzestext des Digital Operational Resilience Act, wie im Amtsblatt der EuropĂ€ischen Union veröffentlicht.
- EBA-Technische Standards und Leitlinien zu DORA â Regulierungstechnische und DurchfĂŒhrungstechnische Standards der EuropĂ€ischen Bankaufsichtsbehörde, entwickelt im Rahmen der DORA-Mandate.
- EIOPA-Regulierungsprodukte zu DORA â Veröffentlichungen der EuropĂ€ischen Aufsichtsbehörde fĂŒr das Versicherungswesen und die betriebliche Altersversorgung zur DORA-Umsetzung fĂŒr den Versicherungssektor.
- ESMA-Leitlinien und FAQ zu DORA â Leitlinien der EuropĂ€ischen Wertpapier- und Marktaufsichtsbehörde zur DORA-Anwendung fĂŒr Wertpapierfirmen und Kapitalmarktteilnehmer.
- DORA-Politikseite der EuropĂ€ischen Kommission â Ăberblick der Kommission ĂŒber delegierte Rechtsakte und DurchfĂŒhrungsrechtsakte zu DORA, einschlieĂlich Links zu allen finalisierten Technischen Standards.
Dieser Beitrag dient ausschlieĂlich Informationszwecken und stellt keine Rechtsberatung dar. Konsultieren Sie qualifizierte Rechtsberatung, bevor Sie Compliance-Entscheidungen treffen.
Key takeaways: Was ist DORA? Ein vollstĂ€ndiger Leitfaden fĂŒr Finanzunternehmen
This article covers: Was ist DORA?, FĂŒr wen gilt DORA?, Die fĂŒnf SĂ€ulen von DORA.
- Was ist DORA?
- FĂŒr wen gilt DORA?
- Die fĂŒnf SĂ€ulen von DORA
- VerhÀltnis zu NIS2
- Sanktionen und Durchsetzung
EuroComply Editorial Team
EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.
For informational purposes only. Consult qualified legal counsel.
Get the weekly EU compliance briefing â 2 minutes, every Thursday.
Related Regulation
DORA
Official EuroComply guide to DORA