DORA - Digital Operational Resilience Act
DORA ist eine EU-Verordnung, die ab Januar 2025 für Finanzunternehmen verbindliche Anforderungen an die digitale Betriebsstabilität, das IKT-Risikomanagement und die Meldung von Vorfällen vorschreibt.
Inhaltsverzeichnis (4 Abschnitte)
Der Digital Operational Resilience Act (DORA), offiziell Verordnung (EU) 2022/2554, ist seit dem 17. Januar 2025 in allen EU-Mitgliedstaaten unmittelbar anwendbar - ohne nationale Umsetzung, da es sich um eine Verordnung (nicht Richtlinie) handelt. DORA verpflichtet Finanzunternehmen, ihre digitale Betriebsstabilität gegenüber IKT-bezogenen Störungen, Cyberangriffen und Systemausfällen nachzuweisen und aufrechtzuerhalten.
Wer ist betroffen?
DORA gilt für ein breites Spektrum von Finanzunternehmen und - erstmals in dieser Form - auch direkt für deren kritische IKT-Dienstleister:
Direkt regulierte Finanzunternehmen:
- Kreditinstitute und Wertpapierfirmen
- Zahlungsinstitute und E-Geld-Institute
- Versicherungsunternehmen und Rückversicherer
- Pensionsfonds (EBAV)
- Kapitalverwaltungsgesellschaften
- Krypto-Asset-Dienstleister (nach MiCA)
- Crowdfunding-Plattformen
- Zentrale Gegenparteien (CCPs) und Zentralverwahrer
Kritische IKT-Drittdienstleister (CTPs): Cloud-Anbieter, Rechenzentren, Datenanalysedienste und Software-Anbieter, die als systemrelevant für den Finanzsektor eingestuft werden, unterliegen einer direkten Aufsicht durch europäische Finanzaufsichtsbehörden (ESAs: EBA, ESMA, EIOPA).
Verhältnismäßigkeit: Für kleine Unternehmen (Kleinstunternehmen mit weniger als 10 Mitarbeitern und unter €2 Mio. Jahresumsatz) gelten vereinfachte Anforderungen.
Die fünf DORA-Säulen
1. IKT-Risikomanagement (Art. 5-16)
Finanzunternehmen müssen einen umfassenden IKT-Risikomanagementrahmen einrichten, der:
- Alle IKT-Risiken systematisch identifiziert, klassifiziert und bewertet
- Ein aktuelles IKT-Asset-Inventar mit allen Hardware, Software und Datenzuordnungen führt
- Schutzmaßnahmen implementiert: Zugangskontrolle, Patch-Management, Datensicherung, Verschlüsselung
- Business-Continuity- und Notfallpläne für IKT-Systeme definiert und regelmäßig testet
- Eine IKT-Risikoappetit-Erklärung vorhält, die vom Vorstand genehmigt ist
Besonderheit: DORA fordert, dass das Leitungsorgan (Vorstand, Geschäftsführung) persönlich für das IKT-Risikomanagement verantwortlich ist und entsprechende Kenntnisse nachweist - analog zu NIS2.
2. Meldung von IKT-bezogenen Vorfällen (Art. 17-23)
DORA etabliert ein harmonisiertes EU-weites Meldeverfahren für schwerwiegende IKT-Vorfälle:
| Stufe | Frist | Inhalt |
|---|---|---|
| Erstmeldung | 4 Stunden nach Klassifizierung als schwerwiegend | Erste Information, Zeitpunkt, Erstmaßnahmen |
| Zwischenbericht | Spätestens 72 Stunden nach Erstmeldung | Aktualisierter Status, Auswirkungen, Eindämmungsmaßnahmen |
| Abschlussbericht | 1 Monat nach Erstmeldung | Root Cause, ergriffene Maßnahmen, Lessons Learned |
Meldungen gehen an die zuständige nationale Aufsichtsbehörde (BaFin für Deutschland).
Klassifizierungskriterien für schwerwiegende Vorfälle (RTS der EBA):
- Anzahl betroffener Kunden
- Ausfallzeit kritischer Dienste
- Geografische Reichweite
- Datenverlust
- Reputationsschaden
3. Testen der digitalen operationalen Resilienz (Art. 24-27)
DORA schreibt regelmäßige, verbindliche Tests vor:
Basis-Tests (alle Finanzunternehmen, mindestens jährlich):
- Vulnerability Assessments
- Open-Source-Analysen
- Netzwerksicherheitsbewertungen
- Szenario-basierte Tests
Threat-Led Penetration Tests (TLPT) (bedeutende Institute, alle 3 Jahre): TLPT ist der europäische Standard für Red-Team-Tests im Finanzsektor, basierend auf dem TIBER-EU-Framework (Threat Intelligence Based Ethical Red Teaming). Durchführung durch akkreditierte externe Dienstleister mit echter Threat Intelligence als Grundlage. In Deutschland wurde TIBER-DE 2019 eingeführt und ist nun durch DORA formal verankert.
4. Management von IKT-Drittparteienrisiken (Art. 28-44)
Dies ist einer der bedeutendsten DORA-Aspekte, da er erstmals direkte regulatorische Anforderungen für Cloud- und Softwareanbieter schafft:
Anforderungen an Finanzunternehmen:
- Vollständiges Register aller IKT-Drittdienstleister mit Kritikalitätseinstufung
- Mindestanforderungen an Vertragsklauseln (Revisions- und Prüfungsrechte, SLAs, Exit-Strategien)
- Konzentrationsrisikoanalyse (Abhängigkeit von einzelnen Anbietern)
- Ausstiegspläne für den Fall des Dienstleisterausfalls
Direkte Regulierung kritischer IKT-Drittdienstleister (CTPs): Die ESAs können Großanbieter wie AWS, Microsoft Azure oder Google Cloud als CTPs benennen. CTPs unterliegen dann direkter Aufsicht inkl. Prüfungsrechten und können mit Bußgeldern bis 1 % des globalen Jahresumsatzes (pro Tag) belegt werden.
5. Informationsaustausch (Art. 45)
DORA ermutigt Finanzunternehmen zum freiwilligen Austausch von Cyber-Bedrohungsinformationen (Threat Intelligence) innerhalb vertrauenswürdiger Gemeinschaften - mit entsprechenden Datenschutzschutzmaßnahmen.
DORA vs. NIS2
| Aspekt | DORA | NIS2 |
|---|---|---|
| Rechtsform | EU-Verordnung (direkt anwendbar) | EU-Richtlinie (nationale Umsetzung) |
| Anwendungsbereich | Finanzsektor spezifisch | Alle kritischen Sektoren |
| IKT-Drittparteien | Direkt reguliert | Indirekt (Supply Chain) |
| Penetrationstests | TLPT verpflichtend (bedeutende Institute) | Keine spezifische Anforderung |
| Aufsicht | Sektoriell (BaFin, EZB etc.) | National (BSI etc.) |
Für Finanzunternehmen gilt: DORA ist die sektorspezifische lex specialis, NIS2 die allgemeine Regelung. Wo beide gelten, geht DORA vor - die meisten DORA-Anforderungen erfüllen aber auch NIS2.
Praktische Umsetzungsschritte
- Betroffenheitsprüfung: Bin ich als Finanzunternehmen direkt betroffen? Bin ich als IKT-Dienstleister potenziell CTP?
- Gap-Analyse: Wo weicht das bestehende IKT-Risikomanagement von DORA-Anforderungen ab?
- IKT-Asset-Inventar aufbauen: Vollständige Erfassung aller Systeme, Abhängigkeiten und Schnittstellen
- Drittparteien-Register erstellen: Alle IKT-Dienstleister mit Kritikalitätseinstufung
- Verträge anpassen: Prüfungsrechte, SLAs, Exit-Klauseln nach DORA-Mindestvorgaben
- Meldeprozesse etablieren: 4-Stunden-Erstmeldung erfordert vorbereitete Eskalationswege
- TLPT vorbereiten (bedeutende Institute): TIBER-EU-akkreditierten Dienstleister identifizieren
Weiterführende Informationen: AWARE7 DORA-Beratung | Kostenlose Erstberatung
Quellen & Referenzen
- [1] Verordnung (EU) 2022/2554 - DORA - Amtsblatt der Europäischen Union
- [2] EBA - DORA Technical Standards - European Banking Authority
- [3] BaFin - DORA Informationsseite - Bundesanstalt für Finanzdienstleistungsaufsicht
Fragen zu diesem Thema?
Unsere Experten beraten Sie kostenlos und unverbindlich.
Über den Autor
Dipl.-Math. (WWU Münster) und Promovend am Promotionskolleg NRW (Hochschule Rhein-Waal) mit Forschungsschwerpunkt Phishing-Awareness, Behavioral Security und Nudging in der IT-Sicherheit. Verantwortet den Aufbau und die Pflege von ISMS, leitet interne Audits nach ISO/IEC 27001:2022 und berät als externer ISB in KRITIS-Branchen. Lehrbeauftragter für Communication Security an der Hochschule Rhein-Waal und NIS2-Schulungsleiter bei der isits AG.
6 Publikationen
- Different Seas, Different Phishes — Large-Scale Analysis of Phishing Simulations Across Different Industries (2025)
- Evaluating the Usability and Security of Personal Password Stores (2025)
- Self-promotion with a Chance of Warnings: Exploring Cybersecurity Communication Among Government Institutions on LinkedIn (2024)
- Exploring the Effects of Cybersecurity Awareness and Decision-Making Under Risk (2024)
- Understanding User Perceptions of Security Indicators in Web Browsers (2024)
- A Systematic Analysis of NIS2 Compliance Challenges for SMEs (2024)
