DORA (Digital Operational Resilience Act)
EU-Verordnung (2022/2554) für die digitale operationale Resilienz im Finanzsektor. Seit 17. Januar 2025 verbindlich für 20 Kategorien von Finanzunternehmen. Regelt IKT-Risikomanagement, Vorfallsmeldung und Resilienztesting.
Der Digital Operational Resilience Act (DORA) - EU-Verordnung 2022/2554 - ist seit dem 17. Januar 2025 in allen EU-Mitgliedsstaaten unmittelbar verbindlich. Anders als eine Richtlinie muss DORA nicht in nationales Recht umgesetzt werden, sondern gilt direkt. DORA ist die erste sektorspezifische EU-Verordnung, die explizit und umfassend IKT-Risiken im Finanzsektor reguliert. Im Verhältnis zu NIS-2 gilt DORA als Lex specialis - im Finanzsektor hat DORA Vorrang.
Was ist DORA?
DORA adressiert eine zentrale Schwachstelle: Finanzinstitutionen sind stark von IKT-Systemen und Drittanbietern abhängig, aber die regulatorischen Anforderungen an diese digitale Resilienz waren bislang fragmentiert. DORA schafft einen einheitlichen Rahmen für:
- IKT-Risikomanagement - vollständiger Lebenszyklus, von Identifikation bis Recovery
- IKT-Vorfallsmeldung - harmonisiertes Meldesystem an Finanzaufsichtsbehörden
- Resilienztesting - regelmäßige Tests, für bedeutende Institute TLPT (Threat-Led Penetration Testing)
- IKT-Drittparteienmanagement - Steuerung von Cloud-Anbietern, Rechenzentren und kritischen Lieferanten
- Informationsaustausch - freiwillige Weitergabe von Threat Intelligence im Finanzsektor
Die 5 DORA-Säulen
| Säule | Artikel | Kerninhalt |
|---|---|---|
| 1. IKT-Risikomanagement | Art. 5-16 | Governance, Rahmenwerk, Strategie, Schutz, Erkennung, Reaktion, Wiederherstellung |
| 2. IKT-Vorfallsmeldung | Art. 17-23 | Klassifizierung, Meldepflichten (4h/72h/1M), Berichterstattung |
| 3. Resilienztesting | Art. 24-27 | Jährliche Tests, TLPT für bedeutende Institute alle 3 Jahre |
| 4. IKT-Drittparteienrisiko | Art. 28-44 | Vertragsanforderungen, IKT-Drittparteienregister, Aufsicht kritischer Anbieter |
| 5. Informationsaustausch | Art. 45 | Freiwillige Weitergabe von Cyber-Threat-Intelligence |
Betroffene Unternehmen
DORA gilt für 20 Kategorien von Finanzunternehmen:
- Kreditinstitute (Banken)
- Zahlungsinstitute und E-Geld-Institute
- Wertpapierfirmen und Handelsplätze
- Versicherungsunternehmen und -vermittler
- Einrichtungen der betrieblichen Altersversorgung
- Ratingagenturen und Datenbereitstellungsdienstleister
- Crowdfunding-Dienstleister
- Kryptowerteadministratoren und -dienstleister
- IKT-Drittdienstleister (kritische Anbieter unter direkter EU-Aufsicht)
Für kleinere Unternehmen (Kleinstunternehmen, bestimmte Kategorien) gelten vereinfachte Anforderungen nach dem Proportionalitätsprinzip (Art. 4 DORA).
DORA vs. NIS-2: Lex specialis
Im Finanzsektor hat DORA Vorrang vor NIS-2 (Lex-specialis-Prinzip). Unternehmen, die unter beide Regelwerke fallen, müssen primär DORA erfüllen. NIS-2 ergänzt DORA in Bereichen, die DORA nicht abdeckt.
| Aspekt | NIS-2 | DORA |
|---|---|---|
| Geltungsbereich | 18 Sektoren | Finanzsektor (20 Kategorien) |
| Rechtsform | Richtlinie (Umsetzung nötig) | Verordnung (direkt gültig) |
| Meldepflicht | 24h/72h/1M an BSI | 4h/72h/1M an BaFin/EBA |
| Testing | Nicht spezifiziert | TLPT für bedeutende Institute |
| Drittanbieter | Lieferkettensicherheit | IKT-Drittparteienregister + direkte EU-Aufsicht |
Meldepflichten nach DORA
Für bedeutende IKT-bezogene Vorfälle gilt:
- 4 Stunden: Erstmeldung bei bedeutendem Vorfall (wesentliche Auswirkungen auf Dienste)
- 72 Stunden: Zwischenbericht mit Bewertung des Vorfalls und Maßnahmen
- 1 Monat: Abschlussbericht mit Ursachenanalyse und Präventivmaßnahmen
Meldung an die zuständige Finanzaufsichtsbehörde (in Deutschland: BaFin), die wiederum an EBA, ESMA oder EIOPA sowie ggf. an andere Behörden weiterleitet.
IKT-Drittparteienregister (Art. 28)
Alle DORA-verpflichteten Finanzunternehmen müssen ein vollständiges Register ihrer IKT-Drittdienstleister führen und jährlich an die Aufsichtsbehörde melden. Für als kritisch eingestufte IKT-Drittdienstleister (z. B. große Cloud-Anbieter wie AWS, Azure, Google Cloud) gilt eine direkte EU-Aufsicht durch die europäischen Finanzaufsichtsbehörden (EBA, ESMA, EIOPA).
