auch verantwortliche Einzelpersonen<\/strong> pers\u00f6nlich treffen, nicht nur das Unternehmen als Ganzes. Dabei sind Sanktionen nie das letzte Wort: Beh\u00f6rden m\u00fcssen genau erkl\u00e4ren, warum sie eine Sanktion verh\u00e4ngen \u2013 und wer betroffen ist, darf dagegen vorgehen.<\/p>\nRegelwerke wie BAIT und MaRisk<\/h2>\n
DORA geht \u00fcber nationale Regelwerke hinaus. BaFin-Rundschreiben wie BAIT richten sich gezielt an die IT-Governance von Banken und Versicherungen in Deutschland, w\u00e4hrend MaRisk das Gesamtrisikomanagement von Banken abdeckt. DORA setzt hier breiter an und schafft einen einheitlichen Rahmen auf EU-Ebene. Die Verordnung gilt f\u00fcr zahlreiche Finanzunternehmen in der EU und bezieht erstmals auch externe IKT-Dienstleister wie Cloud-Anbieter direkt in die Aufsicht ein.<\/p>\n
DORA erg\u00e4nzt bestehende nationale Regelwerke und \u00fcberlagert sie in ihrem Anwendungsbereich. MaRisk bleibt dort relevant, wo DORA keine vollst\u00e4ndige Abdeckung bietet. Gleichzeitig wird die BAIT schrittweise abgel\u00f6st. Institute, die bereits ein IKT-Risikomanagement nach DORA umsetzen m\u00fcssen, fallen heute schon nicht mehr unter die BAIT. Sp\u00e4testens zum 31. Dezember 2026 wird sie vollst\u00e4ndig aufgehoben.<\/p>\n
Typische Umsetzungsfehler in der Praxis<\/h2>\n
Diese Stolpersteine zeigen sich immer wieder beim Umsetzen von DORA:<\/p>\n
DORA wird als Insell\u00f6sung behandelt: <\/strong>DORA ist kein reines IT- oder Compliance-Thema. Die Anforderungen greifen in Prozesse, Verantwortlichkeiten und Entscheidungsstrukturen der gesamten Organisation ein. Trotzdem bleibt die Umsetzung oft auf einzelne Bereiche beschr\u00e4nkt. Ohne eine \u00fcbergreifende Governance-Struktur entstehen Br\u00fcche \u2013 zwischen Risikomanagement, Informationssicherheit und den Fachbereichen. Das f\u00fchrt zu inkonsistenten Bewertungen und schw\u00e4cht die Gesamtsteuerung. Ein gemeinsames Steuerungsmodell, das alle relevanten Funktionen einbindet, schafft hier die notwendige Klarheit und Verbindlichkeit.<\/p>\nParallelwelten in einzelnen Silos: <\/strong>Viele Institute setzen DORA entlang bestehender Organisationsgrenzen um. Das wirkt zun\u00e4chst naheliegend, f\u00fchrt in der Praxis aber zu Parallelstrukturen. Bereiche arbeiten nebeneinander, bewerten Risiken unterschiedlich und \u00fcbersehen kritische IKT-Abh\u00e4ngigkeiten. DORA fordert jedoch einen ganzheitlichen Blick auf die digitale Resilienz. Den gibt es nur, wenn Informationen zusammengef\u00fchrt und gemeinsam bewertet werden.<\/p>\nKeine klaren Verantwortlichkeiten: <\/strong>Wer ist f\u00fcr IKT-Risiken zust\u00e4ndig? Wer meldet Vorf\u00e4lle? Wer steuert die Drittparteien? Bleiben diese Fragen offen, bleibt auch die Umsetzung unverbindlich und Ma\u00dfnahmen versanden. Klare Rollen und Verantwortlichkeiten sind keine Formalit\u00e4t: Sie m\u00fcssen klar geregelt sein.<\/p>\nWarum fr\u00fchzeitige Qualifizierung entscheidend ist<\/h2>\n
DORA setzt als operativer Standard im Finanzsektor klare Anforderungen, die bereits verbindlich gelten. Die Verordnung schafft einen tragf\u00e4higen Rahmen, um digitale Risiken gezielt zu steuern und das Finanzsystem widerstandsf\u00e4higer zu machen. Doch Rahmen allein reichen nicht: DORA funktioniert nur, wenn Compliance, IT, Risikomanagement und F\u00fchrung die Anforderungen kennen, verstehen und gemeinsam umsetzen. Digitale Resilienz zeigt sich im Alltag, in klaren Prozessen, abgestimmten Entscheidungen und einem gemeinsamen Verst\u00e4ndnis von Risiko. Genau dann, wenn Systeme unter Druck geraten, wird sichtbar, ob das tr\u00e4gt. Bleibt das Unternehmen in solchen Momenten handlungsf\u00e4hig, wird aus Regulierung ein echter Stabilit\u00e4tsfaktor und aus Pflicht ein sp\u00fcrbarer Unterschied.<\/p>\n
<\/span><\/p>\nFAQ<\/h2>\nWof\u00fcr steht die Abk\u00fcrzung DORA?<\/h3>\n
DORA steht f\u00fcr Digital Operational Resilience Act. Sie ist eine EU-Verordnung, die seit dem 17. Januar 2025 verbindlich gilt. Sie verpflichtet Banken, Versicherungen, Zahlungsdienstleister und ihre IKT-Drittanbieter, digitale Widerstandsf\u00e4higkeit systematisch aufzubauen, zu testen und nachzuweisen. Mit DORA schafft die EU erstmals einen einheitlichen Rahmen f\u00fcr Cybersicherheit und IKT-Risikomanagement im gesamten europ\u00e4ischen Finanzsektor.<\/p>\n
Muss mein Unternehmen den regul\u00e4ren oder den vereinfachten IKT-Risikomanagementrahmen anwenden?<\/h3>\n
Das h\u00e4ngt von Gr\u00f6\u00dfe und Leistungsangebot deines Unternehmens ab. Kleinere Institute oder solche mit eingeschr\u00e4nktem Leistungsangebot k\u00f6nnen den vereinfachten Rahmen nach Artikel 16 DORA nutzen \u2013 mit weniger strengen Anforderungen. F\u00fcr alle anderen gilt der regul\u00e4re Rahmen. Welche Anforderungen konkret f\u00fcr dein Unternehmen gelten, hat die BaFin \u00fcbersichtlich auf ihrer Website zusammengestellt.<\/p>\n
Gilt DORA auch f\u00fcr externe IKT-Dienstleister und was bedeutet das f\u00fcr bestehende Vertr\u00e4ge?<\/h3>\n
Ja. DORA bezieht IKT-Drittdienstleister wie beispielsweise Cloud-Provider oder SaaS-Anbieter direkt in die Anforderungen ein. Bestehende Vertr\u00e4ge m\u00fcssen auf Vollst\u00e4ndigkeit gepr\u00fcft und bei Bedarf angepasst werden: Sie m\u00fcssen klare Regelungen zu Leistungsumfang, Sicherheit, Auditrechten und Ausstiegsklauseln enthalten. Zudem sind alle Vertragsbeziehungen in einem zentralen Informationsregister zu erfassen.<\/p>\n","protected":false},"excerpt":{"rendered":"
Beim Wort DORA denken viele zuerst an eine Zeichentrickfigur. Im Finanzkontext steht der Begriff jedoch f\u00fcr eine der wichtigsten neuen EU-Vorgaben im Umgang mit digitalen Risiken. Seit dem 17. Januar 2025 ist der Digital Operational Resilience Act verbindlich und verpflichtet Finanzunternehmen dazu, ihre digitale Widerstandsf\u00e4higkeit systematisch aufzubauen und fortlaufend zu testen. Keine K\u00fcr, sondern EU-weite,<\/p>\n
![\"\"](\"https:\/\/www.haufe-akademie.de\/blog\/wp-content\/uploads\/2026\/05\/51248_GRA_Blog_Dora_800x547px_26-05-final.png\")
<\/p>\n