Beim Wort DORA denken viele zuerst an eine Zeichentrickfigur. Im Finanzkontext steht der Begriff jedoch für eine der wichtigsten neuen EU-Vorgaben im Umgang mit digitalen Risiken. Seit dem 17. Januar 2025 ist der Digital Operational Resilience Act verbindlich und verpflichtet Finanzunternehmen dazu, ihre digitale Widerstandsfähigkeit systematisch aufzubauen und fortlaufend zu testen. Keine Kür, sondern EU-weite, regulatorische Pflicht. Was das konkret für Finanz-unternehmen bedeutet, zeigt dieser Artikel.
Was ist DORA?
DORA steht für Digital Operational Resilience Act und ist eine EU-Verordnung, die die Cybersicherheit im europäischen Finanzsektor stärken soll.
Sie definiert klare Vorgaben für das Management von Cyber- und IKT-Risiken (Informations- und Kommunikationstechnologie), darunter die regelmäßige Kontrolle von Sicherheitsvorkehrungen, die Pflicht zur Meldung von Störungen sowie der verantwortungsvolle Umgang mit Drittdienstleistern.
Ein zentrales Ziel von DORA ist es, die bisher fragmentierten Anforderungen in Europa zu vereinheitlichen und vergleichbar zu machen. Die Verordnung soll den europäischen Finanzmarkt besser vor den immer komplexer werdenden Cyberbedrohungen schützen – und ihn somit widerstandsfähiger machen.
In Deutschland ist die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die zuständige nationale Aufsichtsbehörde für die Umsetzung von DORA.
Wen betrifft DORA?
DORA gilt in erster Linie für Finanzunternehmen in der EU und betrifft insgesamt 21 verschiedene Branchen – darunter Kreditinstitute, Zahlungsinstitute, Versicherungs- und Rückversicherungsunternehmen sowie Wertpapierfirmen. Doch auch IKT-Drittdienstleister fallen unter die Regulation.
| 21 Branchen betroffener Finanzunternehmen | |
|---|---|
| Kreditinstitute | Verwaltungsgesellschaften |
| Zahlungsinstitute | Datenbereitstellungsdienste |
| Kontoinformationsdienstleister | Versicherungs- und Rückversicherungsunternehmen |
| E-Geld-Institute | Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit |
| Wertpapierfirmen | Einrichtungen der betrieblichen Altersversorgung |
| Anbieter von Krypto-Dienstleistungen (gemäß MiCA-Verordnung) sowie Emittenten wertreferenzierter Token | Ratingagenturen |
| Zentralverwahrer | Administratoren kritischer Referenzwerte |
| Zentrale Gegenparteien | Schwarmfinanzierungsdienstleister |
| Handelsplätze | Verbriefungsregister |
| Transaktionsregister | IKT-Dienstleister |
| Verwalter alternativer Investmentfonds | |
Ausgenommen von DORA
Einige Unternehmen sind explizit ausgenommen. Dazu gehören bestimmte Versicherungs- und Rückversicherungsunternehmen sowie ihre Vermittler – auch nebenberufliche Vermittler –, wenn sie als kleine oder sehr kleine Unternehmen gelten. Eine detaillierte Liste steht in Art. 2 Abs. 3 der DORA-Verordnung.
Seit wann gilt DORA?
DORA trat bereits am 16. Januar 2023 in Kraft und ist seit dem 17. Januar 2025 verbindlich. DORA ist seit diesem Stichtag in betroffenen Finanzunternehmen anzuwenden.
In Deutschland wurde DORA durch das Finanzmarktdigitalisierungsgesetz (FinmadiG) begleitet, das am 27. Dezember 2024 in Kraft trat und die notwendigen Anpassungen im deutschen Recht verankert.
Die 5 Säulen von DORA
Die folgenden fünf Säulen bilden den Kern der DORA-Verordnung. Sie legen die verbindlichen Anforderungen für Finanzunternehmen fest.
- IKT-Risikomanagement
Betroffene Unternehmen müssen klare Strategien und Richtlinien entwickeln, um IKT-Bedrohungen zu erkennen, zu bewerten und abzuwehren. Prozesse sollen auch im Störungsfall weiterlaufen.
DORA unterscheidet dabei zwischen zwei Rahmenwerken: einem regulären für die meisten Unternehmen – und einem vereinfachten für kleinere Institute oder solche mit eingeschränktem Leistungsangebot.
Regulärer Rahmen
Hier trägt das Leitungsorgan (Vorstand, Geschäftsführer:in) die Letztverantwortung: Es genehmigt die Resilienzstrategie, stellt das nötige Budget bereit und hält sein Wissen zu IKT-Risiken aktuell. Dieser Rahmen deckt den gesamten Risikozyklus ab – von Identifizieren und Schutz über Erkennen und Gegenmaßnahmen bis hin zu Wiederherstellung und Kommunikation.
Die Anforderungen orientieren sich an internationalen, nationalen und branchenspezifischen Best Practices. Da sie bewusst technologie- und standardoffen formuliert sind, kann jedes Unternehmen sie passend zu seiner Größe und Risikolage umsetzen.
Vereinfachter Rahmen
Kleinere oder weniger komplexe Unternehmen können den vereinfachten Rahmen nach Art. 16 von DORA nutzen. Im Fokus stehen operative Maßnahmen: Systeme überwachen, Risiken minimieren, Vorfälle schnell beheben und kritische Funktionen absichern. Auf einige der anspruchsvolleren Anforderungen des regulären Rahmens – wie eine eigene Resilienzstrategie oder eine jährliche Dokumentationspflicht – können sie verzichten.
Welche Dokumentationsanforderungen für den regulären Rahmen und welche Anforderungen für den vereinfachten Rahmen gelten, hat die BaFin übersichtlich auf ihrer Website zusammengestellt.
- Vorfallmanagement und Meldepflichten
Tritt ein IKT-Vorfall ein, zählen Transparenz und Schnelligkeit. Deshalb müssen Finanzunternehmen einen klar strukturierten Prozess einrichten, um solche Vorfälle zu erkennen, zu protokollieren und zu melden.
IKT-bezogene Vorfälle werden dabei anhand definierter Kriterien klassifiziert – etwa:
- Wie viele Kunden betroffen sind,
- wie lange der Ausfall dauert,
- wie weit er geografisch reicht und
- welche wirtschaftlichen Folgen er hat.
Schwerwiegende Vorfälle müssen der zuständigen Aufsichtsbehörde zeitnah mitgeteilt werden.
In Deutschland ist die BaFin die Anlaufstelle: Sie leitet Meldungen an relevante Behörden, z. B. das BSI (Bundesamt für Sicherheit in der Informationstechnik) oder die zuständige europäische Aufsichtsbehörde, weiter.
Hinweis zur Überlappung mit der NIS2-Richtlinie
Für Unternehmen, die sowohl unter DORA als auch unter NIS2 fallen, greift bei der Vorfallsmeldung der Vorrang von DORA als speziellere Regelung. In diesen Fällen genügt grundsätzlich eine Meldung nach DORA an die BaFin.
- Digitale Resilienztests
Wie widerstandsfähig ist ein Unternehmen wirklich, wenn es darauf ankommt? DORA macht klar: Das muss regelmäßig getestet werden. Finanzunternehmen sollen ein risikobasiertes und proportionales Testprogramm aufstellen, laut dem kontinuierliche Simulationen und Stressszenarien durchgeführt werden, um die Ausfallsicherheit auf den Prüfstand zu stellen. Schließlich müssen zentrale Systeme weiter funktionieren, selbst wenn ein Angriff stattfindet. Unabhängige interne Stellen oder externe Prüfer:innen sollen diese Tests durchführen.
Die Ergebnisse der Sicherheitstests zeigen, wie Unternehmen im Ernstfall für IKT-Vorfälle gewappnet sind, wo Schwachstellen liegen – und wo in der Konsequenz dringender Handlungsbedarf besteht.
DORA schreibt dabei einen risikobasierten Ansatz vor: Kritische Systeme und Funktionen werden mindestens einmal jährlich getestet. Für eine kleine Anzahl systemrelevanter Unternehmen kommen über die regulären Tests hinaus verpflichtende bedrohungsorientierte Penetrationstests (TLPT) hinzu – wer betroffen ist, wird von der BaFin oder EZB per Bescheid informiert.
- Management von Drittparteienrisiken
Externe IKT-Dienstleister – wie Cloud-Provider – sind aus dem modernen Finanzbetrieb kaum wegzudenken. Doch mit der Auslagerung von Funktionen geht auch Verantwortung einher. Diese liegt laut DORA vollständig beim einzelnen Finanzunternehmen.
Alle Drittparteienrisiken systematisch zu managen ist verpflichtend – und zwar über den gesamten Lebenszyklus der Vertragsbeziehung hinweg. Vor jedem Vertragsabschluss werden IKT-Drittdienstleister sorgfältig geprüft:
- Wie kritisch ist die Funktion?
- Wie abhängig macht uns dieser Anbieter?
- Und was passiert, wenn er ausfällt?
Verträge müssen präzise formuliert sein – mit klaren Regelungen zu Leistungsumfang, Sicherheit, Auditrechten und verbindlichen Ausstiegsklauseln. Außerdem muss der Vertragspartner sich verpflichten, bei IKT-Vorfällen aktiv zu unterstützen. Damit ein Anbieterwechsel den Betrieb nicht gefährdet, sind Exit-Strategien für besonders kritische Funktionen zu dokumentieren.
Betroffene Finanzunternehmen müssen ihre relevanten IKT-Drittvertragsbeziehungen in einem zentralen Informationsregister festhalten, welches zwei zentrale Funktionen erfüllt:
| Steuerungsinstrument | Aufsichtsgrundlage |
|---|---|
| Finanzunternehmen nutzen das Register, um ihre IKT-Drittparteienrisiken strukturiert zu erfassen und zu managen. | Aufsichtsbehörden nutzen die Daten, um kritische IKT-Drittdienstleister zu identifizieren. |
- Informationsaustausch zu Cyberbedrohungen
Cyberbedrohungen betreffen selten nur ein einzelnes Unternehmen. DORA greift diesen Gedanken auf und schafft einen rechtlichen Rahmen für den Austausch von Informationen: Organisationen dürfen gezielt Wissen und Erkenntnisse über Cyberbedrohungen untereinander teilen – von Angriffsmustern und Warnmeldungen bis hin zu konkreten Sicherheits-Tools.
Da der Austausch solcher sensiblen Informationen heikel ist, darf er nur innerhalb vertrauenswürdiger Netzwerke stattfinden. Diese sollen laut DORA Verhaltensregeln festlegen und sich durch klare Vereinbarungen absichern. Geschäftsgeheimnisse müssen dabei geschützt, Datenschutzvorgaben eingehalten und wettbewerbsrechtliche Grenzen gewahrt werden.
Wer mitmacht, muss das kommunizieren: Die Teilnahme an solchen Vereinbarungen ist der BaFin zu melden – jeweils innerhalb von vier Wochen nach Wirksamwerden. Das gilt sowohl für den Eintritt als auch für den Austritt.
Hinweis: Die BaFin beantwortet in ihrem FAQ häufige Fragen zum Informationsaustausch bei Cyberbedrohungen.
Was passiert bei einem Verstoß gegen DORA?
Nationale Aufsichtsbehörden wie die BaFin sind mit umfassenden Befugnissen ausgestattet, um DORA durchzusetzen und gegen Verstöße vorzugehen. Sie können den Zugriff auf relevante Unterlagen oder Daten verlangen, Vor-Ort-Inspektionen durchführen sowie Sanktionen verhängen. Außerdem können Unternehmensvertreter vorgeladen und befragt werden.
Bei einem festgestellten Verstoß drohen u. a.:
- Unterlassungsanweisungen: Das verstoßende Verhalten muss sofort gestoppt und darf nicht wiederholt werden.
- Einstellung von Praktiken: Rechtswidrige Prozesse oder Verhaltensweisen werden vorübergehend oder dauerhaft untersagt.
- Finanzielle Maßnahmen: Maßnahmen finanzieller Art dürfen ergriffen werden, um die Einhaltung der Anforderungen sicherzustellen.
- Öffentliche Bekanntmachung: Name des Unternehmens sowie Art des Verstoßes werden öffentlich bekannt gemacht.
Sanktionen können auch verantwortliche Einzelpersonen persönlich treffen, nicht nur das Unternehmen als Ganzes. Dabei sind Sanktionen nie das letzte Wort: Behörden müssen genau erklären, warum sie eine Sanktion verhängen – und wer betroffen ist, darf dagegen vorgehen.
Regelwerke wie BAIT und MaRisk
DORA geht über nationale Regelwerke hinaus. BaFin-Rundschreiben wie BAIT richten sich gezielt an die IT-Governance von Banken und Versicherungen in Deutschland, während MaRisk das Gesamtrisikomanagement von Banken abdeckt. DORA setzt hier breiter an und schafft einen einheitlichen Rahmen auf EU-Ebene. Die Verordnung gilt für zahlreiche Finanzunternehmen in der EU und bezieht erstmals auch externe IKT-Dienstleister wie Cloud-Anbieter direkt in die Aufsicht ein.
DORA ergänzt bestehende nationale Regelwerke und überlagert sie in ihrem Anwendungsbereich. MaRisk bleibt dort relevant, wo DORA keine vollständige Abdeckung bietet. Gleichzeitig wird die BAIT schrittweise abgelöst. Institute, die bereits ein IKT-Risikomanagement nach DORA umsetzen müssen, fallen heute schon nicht mehr unter die BAIT. Spätestens zum 31. Dezember 2026 wird sie vollständig aufgehoben.
Typische Umsetzungsfehler in der Praxis
Diese Stolpersteine zeigen sich immer wieder beim Umsetzen von DORA:
DORA wird als Insellösung behandelt: DORA ist kein reines IT- oder Compliance-Thema. Die Anforderungen greifen in Prozesse, Verantwortlichkeiten und Entscheidungsstrukturen der gesamten Organisation ein. Trotzdem bleibt die Umsetzung oft auf einzelne Bereiche beschränkt. Ohne eine übergreifende Governance-Struktur entstehen Brüche – zwischen Risikomanagement, Informationssicherheit und den Fachbereichen. Das führt zu inkonsistenten Bewertungen und schwächt die Gesamtsteuerung. Ein gemeinsames Steuerungsmodell, das alle relevanten Funktionen einbindet, schafft hier die notwendige Klarheit und Verbindlichkeit.
Parallelwelten in einzelnen Silos: Viele Institute setzen DORA entlang bestehender Organisationsgrenzen um. Das wirkt zunächst naheliegend, führt in der Praxis aber zu Parallelstrukturen. Bereiche arbeiten nebeneinander, bewerten Risiken unterschiedlich und übersehen kritische IKT-Abhängigkeiten. DORA fordert jedoch einen ganzheitlichen Blick auf die digitale Resilienz. Den gibt es nur, wenn Informationen zusammengeführt und gemeinsam bewertet werden.
Keine klaren Verantwortlichkeiten: Wer ist für IKT-Risiken zuständig? Wer meldet Vorfälle? Wer steuert die Drittparteien? Bleiben diese Fragen offen, bleibt auch die Umsetzung unverbindlich und Maßnahmen versanden. Klare Rollen und Verantwortlichkeiten sind keine Formalität: Sie müssen klar geregelt sein.
Warum frühzeitige Qualifizierung entscheidend ist
DORA setzt als operativer Standard im Finanzsektor klare Anforderungen, die bereits verbindlich gelten. Die Verordnung schafft einen tragfähigen Rahmen, um digitale Risiken gezielt zu steuern und das Finanzsystem widerstandsfähiger zu machen. Doch Rahmen allein reichen nicht: DORA funktioniert nur, wenn Compliance, IT, Risikomanagement und Führung die Anforderungen kennen, verstehen und gemeinsam umsetzen. Digitale Resilienz zeigt sich im Alltag, in klaren Prozessen, abgestimmten Entscheidungen und einem gemeinsamen Verständnis von Risiko. Genau dann, wenn Systeme unter Druck geraten, wird sichtbar, ob das trägt. Bleibt das Unternehmen in solchen Momenten handlungsfähig, wird aus Regulierung ein echter Stabilitätsfaktor und aus Pflicht ein spürbarer Unterschied.
FAQ
Wofür steht die Abkürzung DORA?
DORA steht für Digital Operational Resilience Act. Sie ist eine EU-Verordnung, die seit dem 17. Januar 2025 verbindlich gilt. Sie verpflichtet Banken, Versicherungen, Zahlungsdienstleister und ihre IKT-Drittanbieter, digitale Widerstandsfähigkeit systematisch aufzubauen, zu testen und nachzuweisen. Mit DORA schafft die EU erstmals einen einheitlichen Rahmen für Cybersicherheit und IKT-Risikomanagement im gesamten europäischen Finanzsektor.
Muss mein Unternehmen den regulären oder den vereinfachten IKT-Risikomanagementrahmen anwenden?
Das hängt von Größe und Leistungsangebot deines Unternehmens ab. Kleinere Institute oder solche mit eingeschränktem Leistungsangebot können den vereinfachten Rahmen nach Artikel 16 DORA nutzen – mit weniger strengen Anforderungen. Für alle anderen gilt der reguläre Rahmen. Welche Anforderungen konkret für dein Unternehmen gelten, hat die BaFin übersichtlich auf ihrer Website zusammengestellt.
Gilt DORA auch für externe IKT-Dienstleister und was bedeutet das für bestehende Verträge?
Ja. DORA bezieht IKT-Drittdienstleister wie beispielsweise Cloud-Provider oder SaaS-Anbieter direkt in die Anforderungen ein. Bestehende Verträge müssen auf Vollständigkeit geprüft und bei Bedarf angepasst werden: Sie müssen klare Regelungen zu Leistungsumfang, Sicherheit, Auditrechten und Ausstiegsklauseln enthalten. Zudem sind alle Vertragsbeziehungen in einem zentralen Informationsregister zu erfassen.