Was ist DORA? Definition, Pflichten und Fristen
Was ist DORA? Der Digital Operational Resilience Act, Verordnung (EU) 2022/2554, ist ein EU-Rechtsakt für die digitale operationale Resilienz des Finanzsektors. Er verpflichtet Finanzunternehmen zu einheitlichem Management ihrer IKT-Risiken, zur Meldung schwerwiegender Vorfälle, zu regelmäßigen Resilienz-Tests und zur Kontrolle ihrer IKT-Dienstleister. DORA gilt seit dem 17. Januar 2025 unmittelbar in allen Mitgliedstaaten.
Das Wichtigste in Kürze
- Rechtsnatur: DORA ist eine Verordnung und gilt seit dem 17. Januar 2025 unmittelbar. Eine nationale Umsetzung wie bei einer Richtlinie ist nicht nötig.
- Geltungsbereich: der gesamte Finanzsektor, von Banken und Versicherungen über Wertpapier- und Zahlungsdienstleister bis zu Krypto-Dienstleistern und Fondsverwaltern.
- Kern: fünf Bereiche von IKT-Risikomanagement über Vorfallsmeldung und Resilienz-Tests bis zum Drittparteienrisiko.
Was DORA konkret bedeutet
DORA schafft einen einheitlichen EU-Rahmen für die digitale Widerstandsfähigkeit des Finanzsektors. Vor DORA war das Management von IKT-Risiken über viele nationale Regeln und Aufsichtsvorgaben verteilt. Die Verordnung fasst diese Anforderungen zusammen und macht sie in allen Mitgliedstaaten gleich verbindlich. Als Verordnung gilt DORA unmittelbar, ohne dass ein nationales Gesetz sie erst in Kraft setzen muss.
DORA unmittelbar anwendbar
Verordnung (EU) 2022/2554
Anwendbar ist DORA seit dem 17. Januar 2025. Betroffene Finanzunternehmen müssen die Anforderungen seit diesem Datum vollständig erfüllen. Die Verordnung wird durch technische Regulierungs- und Durchführungsstandards (RTS und ITS) der europäischen Aufsichtsbehörden konkretisiert, die einzelne Pflichten im Detail ausgestalten.
Der Rahmen steht auf fünf Bereichen. Erstens ein IKT-Risikomanagement mit einem Governance-Rahmen, für den die Leitungsorgane verantwortlich sind. Zweitens ein Verfahren, um IKT-bezogene Vorfälle zu klassifizieren und schwerwiegende Vorfälle an die zuständige Behörde zu melden. Drittens regelmäßige Tests der digitalen Resilienz. Viertens das Management des Risikos aus IKT-Drittdienstleistern, inklusive eines Registers und vertraglicher Mindestanforderungen. Fünftens der freiwillige Austausch über Cyberbedrohungen zwischen Finanzunternehmen.
Wer betroffen ist
DORA richtet sich an einen breiten Kreis von Finanzunternehmen und geht damit weit über die Banken hinaus. Erfasst sind unter anderem Kreditinstitute, Versicherungen und Rückversicherungen, Wertpapierfirmen, Zahlungs- und E-Geld-Institute, Anbieter von Krypto-Dienstleistungen, Fondsverwalter und weitere regulierte Marktteilnehmer. Für kleine und nicht vernetzte Unternehmen sieht die Verordnung an einzelnen Stellen erleichterte Anforderungen vor.
Eine Besonderheit von DORA ist der Blick über das einzelne Finanzunternehmen hinaus. Kritische IKT-Drittdienstleister, etwa große Cloud- oder Infrastrukturanbieter, können einer direkten Aufsicht auf EU-Ebene unterstellt werden. Die Einstufung solcher kritischen Anbieter erfolgt in einem formalen Verfahren der europäischen Aufsichtsbehörden, das noch im Aufbau ist. Der Prozess läuft, eine abgeschlossene öffentliche Liste liegt noch nicht vor.
Für die Umsetzung sind in Deutschland vor allem die BaFin und, bei Instituten unter gemeinsamer europäischer Aufsicht, die Deutsche Bundesbank zuständig. Auf EU-Ebene arbeiten die drei europäischen Aufsichtsbehörden EBA, ESMA und EIOPA im Joint Committee zusammen und verantworten das Oversight-Framework für kritische IKT-Drittdienstleister.
Was Unternehmen jetzt prüfen müssen
Betroffene Finanzunternehmen sollten zuerst ihren Governance-Rahmen für IKT-Risiken prüfen. Das Leitungsorgan trägt die Verantwortung und muss die Strategie zur digitalen Resilienz billigen und überwachen. Daran schließt sich die Bestandsaufnahme der eigenen IKT-Systeme, Prozesse und Abhängigkeiten an.
Jetzt prüfen
- ✓Governance-Rahmen für IKT-Risiken prüfen, Leitungsorgan-Billigung sichern
- ✓IKT-Systeme, Prozesse und Abhängigkeiten erfassen
- ✓Register der IKT-Dienstleister aufbauen, Verträge anpassen
- ✓Prozess zur Meldung schwerwiegender IKT-Vorfälle etablieren
- ✓Klären, ob Threat-Led Penetration Testing greift
Ein zentraler Punkt ist das Register der IKT-Dienstleister. Unternehmen müssen erfassen, welche Anbieter welche Funktionen unterstützen und ihre Verträge an die Mindestanforderungen der Verordnung anpassen. Parallel ist ein Prozess für die Klassifizierung und Meldung schwerwiegender IKT-Vorfälle einzurichten, mit klaren internen Eskalationswegen zur zuständigen Behörde.
Das Register der Informationsverträge ist dabei kein einmaliges Dokument, sondern ein aufsichtlich abgefragter Nachweis. Die BaFin und die europäischen Behörden ziehen diese Register ein, um Konzentrationsrisiken im Markt zu erkennen, etwa die Abhängigkeit vieler Institute von wenigen großen Cloud-Anbietern. Wer sein Register lückenhaft führt, riskiert nicht nur eine Beanstandung, sondern verliert auch den eigenen Überblick über kritische Abhängigkeiten. Ebenso rückt das Subunternehmer-Risiko in den Fokus: Ein Dienstleister, der wesentliche Teile an Vierte weiterreicht, muss diese Kette offenlegen.
Bei den Tests unterscheidet DORA zwischen regelmäßigen Basis-Tests für alle betroffenen Unternehmen und bedrohungsgeleiteten Penetrationstests, dem Threat-Led Penetration Testing (TLPT). Diese anspruchsvollen Tests sind nicht für jedes Unternehmen Pflicht. Sie gelten für als bedeutsam eingestufte Unternehmen und sind dort turnusmäßig etwa alle drei Jahre durchzuführen. Unternehmen sollten früh klären, ob sie in diese Kategorie fallen.
Abgrenzung zu verwandten Begriffen
DORA und die NIS2-Richtlinie werden oft zusammen genannt, verfolgen aber unterschiedliche Zuschnitte. NIS2 ist eine Richtlinie mit breiter Sektorabdeckung, die über nationale Gesetze umgesetzt wird. DORA ist eine unmittelbar geltende Verordnung, die ausschließlich auf den Finanzsektor zielt und dessen digitale Resilienz im Detail regelt.
Für den Finanzsektor gilt DORA als speziellere Regelung. Finanzunternehmen, die unter DORA fallen, sind insoweit von den NIS2-Pflichten ausgenommen. Es gibt für diese Unternehmen also keine doppelte Pflicht aus beiden Regelwerken. Für Unternehmen außerhalb des Finanzsektors bleibt NIS2 das maßgebliche Instrument.
Ein häufiges Missverständnis ist die Gleichsetzung von DORA mit reinen Vertragsklauseln für Cloud-Anbieter. Das Drittparteienrisiko ist nur einer von fünf Bereichen. DORA umfasst das gesamte IKT-Risikomanagement, die Vorfallsmeldung, die Tests und die Governance. Ebenso gilt DORA für einen breiten Kreis von Finanzunternehmen, von Banken über Versicherungen bis zu Zahlungsdienstleistern.
Häufige Fragen
Jede Frage ist verschlossen. Ein Tippen entriegelt die Antwort.
Seit wann gilt DORA?
DORA ist seit dem 17. Januar 2025 anwendbar. Betroffene Finanzunternehmen müssen die Anforderungen seit diesem Datum vollständig erfüllen.
Ist DORA eine Richtlinie oder eine Verordnung?
DORA ist eine Verordnung. Sie gilt unmittelbar in allen EU-Mitgliedstaaten und muss nicht erst durch nationale Gesetze umgesetzt werden.
Muss jedes Finanzunternehmen ein TLPT durchführen?
Nein. Das bedrohungsgeleitete Penetration Testing gilt für als bedeutsam eingestufte Unternehmen und ist dort turnusmäßig etwa alle drei Jahre vorgesehen. Alle betroffenen Unternehmen müssen jedoch regelmäßige Basis-Tests durchführen.
Gilt DORA zusätzlich zu NIS2?
Für Finanzunternehmen geht DORA als speziellere Regelung vor. Sie sind insoweit von den NIS2-Pflichten ausgenommen, es entsteht also keine doppelte Pflicht aus beiden Regelwerken.
Wer beaufsichtigt DORA in Deutschland?
In Deutschland sind vor allem die BaFin und, bei Instituten unter gemeinsamer europäischer Aufsicht, die Deutsche Bundesbank zuständig. Kritische IKT-Drittdienstleister können zusätzlich einer Aufsicht auf EU-Ebene unterliegen.
Lesetipps der Redaktion
LesetippDORA im Betrieb: Was die Aufsicht sehen willLesetippAb wann die Meldefrist-Uhr wirklich ticktLesetippFünf Posten, die vor dem SIEM Budget brauchen
Mehr aus dem MBF Media Netzwerk
cloudmagazinKRITIS in die Cloud: Was die Migration absichertMyBusinessFutureDie KI-Aufsicht in Deutschland hat jetzt eine AdresseDigital ChiefsDie KI schreibt den Code. Wer haftet dafür?





