Framework Typ: Gesetz
Gesetz

DORA

DORA verpflichtet Finanzunternehmen und ihre IT-Dienstleister zu einheitlichen Standards für digitale Betriebsstabilität. Ziel ist ein widerstandsähiger europäischer Finanzsektor gegen Cyberangriffe und IT-Ausfälle.

Vollständiger Name
Digital Operational Resilience Act (EU) 2022/2554
In Kraft seit Januar 2025

Was ist DORA?

DORA steht für Digital Operational Resilience Act und ist eine EU-Verordnung, die seit dem 17. Januar 2025 in allen EU-Mitgliedstaaten unmittelbar gilt. Sie wurde von der Europäischen Kommission entwickelt, um die digitale Betriebsstabilität (die Fähigkeit eines Unternehmens, IT-Störungen und Cyberangriffe zu widerstehen, darauf zu reagieren und sich davon zu erholen) im europäischen Finanzsektor auf ein einheitliches Niveau zu bringen.

Hintergrund: Der Finanzsektor ist stark von digitalen Systemen abhängig. Gleichzeitig war die Regulierung von IT-Risiken in Finanzunternehmen bisher fragmentiert und unterschied sich je nach Mitgliedstaat und Unternehmenstyp erheblich. DORA schafft einen einheitlichen Rahmen.

Wann ist mein Unternehmen betroffen?

DORA gilt für ein breites Spektrum von Finanzunternehmen und deren IT-Dienstleister. Direkt betroffen sind unter anderem:

Banken, Kreditinstitute, Zahlungsdienstleister, Versicherungsunternehmen, Wertpapierfirmen, Krypto-Asset-Dienstleister sowie Anbieter von Datenmeldediensten. Auch Pensionsfonds, Ratingagenturen und Crowdfunding-Plattformen fallen unter die Verordnung.

Besonders relevant für KMU: DORA erfasst ausdrücklich auch IKT-Drittdienstleister (Anbieter von Informations- und Kommunikationstechnologie – also IT-Dienstleister, Cloud-Anbieter, Softwareanbieter), die kritische oder wichtige Funktionen für Finanzunternehmen erbringen. Wer als IT-Dienstleister für eine Bank, Versicherung oder einen Zahlungsdienstleister tätig ist, kann durch DORA indirekt in die Pflicht genommen werden.

Für kleinere Finanzunternehmen gilt ein vereinfachtes Regime mit reduzierten Anforderungen. Die Einstufung hängt von Größe, Risikoprofil und Systemrelevanz ab.

Kernanforderungen

DORA strukturiert sich in fünf Säulen:

IKT-Risikomanagement

Betroffene Unternehmen müssen ein umfassendes IKT-Risikomanagement (strukturiertes System zur Erkennung, Bewertung und Steuerung von IT-Risiken) einrichten. Das umfasst eine Risikoklassifizierung, Schutzmaßnahmen, Erkennung von Anomalien und Wiederherstellungspläne. Die Unternehmensleitung trägt die Verantwortung und muss regelmäßig berichten.

Behandlung von IKT-Vorfällen

Unternehmen müssen IKT-bezogene Vorfälle klassifizieren, dokumentieren und bei schwerwiegenden Vorfällen den zuständigen Behörden melden. Die Meldefristen sind gestaffelt: eine erste Meldung innerhalb von vier Stunden nach Klassifizierung als schwerwiegend, eine Folgemeldung innerhalb von 72 Stunden und ein Abschlussbericht innerhalb eines Monats.

Tests der digitalen Betriebsstabilität

Finanzunternehmen müssen ihre IKT-Systeme regelmäßig testen. Dazu gehören Schwachstellenanalysen, Netzwerksicherheitstests und für bedeutende Unternehmen verpflichtende TLPT (Threat-Led Penetration Testing – bedrohungsgeleitete Penetrationstests, bei denen reale Angreiferszenarien simuliert werden).

Management von IKT-Drittparteienrisiken

Verträge mit IKT-Drittdienstleistern müssen spezifische Anforderungen erfüllen: definierte Servicelevel, Prüfrechte, Ausstiegsstrategien und Informationspflichten. Kritische Drittdienstleister können direkt von den Aufsichtsbehörden überwacht werden.

Informationsaustausch

DORA fördert den freiwilligen Austausch von Bedrohungsinformationen (Threat Intelligence – Informationen über aktuelle Angriffsmuster und Schwachstellen) zwischen Finanzunternehmen, um die kollektive Resilienz zu stärken.

Konsequenzen bei Nichteinhaltung

Die Aufsicht über DORA liegt bei den zuständigen nationalen Finanzbehörden, in Deutschland bei der BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht). Bei Verstößen können erhebliche Bußgelder verhängt werden. Für kritische IKT-Drittdienstleister sieht DORA Strafen von bis zu 1 Prozent des weltweiten Tagesumsatzes vor, die für jeden Tag der Nichtrfüllung anfallen können.

Für Finanzunternehmen selbst richten sich die Sanktionen nach den jeweiligen sektorspezifischen Finanzgesetzen, die durch DORA ergänzt werden.

Wie hilft Digimojo?

DORA stellt hohe Anforderungen an Dokumentation, Risikomanagement und Incident-Response (strukturierter Prozess zur Erkennung, Analyse und Behebung von IT-Sicherheitsvorfällen). Digimojo begleitet Finanzunternehmen und IT-Dienstleister bei der Lückenanalyse, dem Aufbau DORA-konformer Prozesse und der laufenden Dokumentation.

DigimojoCOMPLY strukturiert das IKT-Risikomanagement, die Vorfallsdokumentation und das Drittparteienmanagement an einem Ort und hilft, jederzeit auditbereit zu bleiben.

Mehr zum Thema

Was ist der Digital Operational Resilience Act (DORA)

Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung, die am 17. Januar 2025 in Kraft getreten ist. Sie zielt darauf ab, die digitale operationale Resilienz von Finanzunternehmen und deren IT-Dienstleistern zu stärken, indem sie einheitliche Anforderungen an das IKT-Risikomanagement, das Incident-Management, die Überprüfung von Drittanbietern und regelmäßige Resilienztests festlegt. Unternehmen sind nun verpflichtet, robuste Strategien zu implementieren, um Cyberbedrohungen effektiv zu begegnen und die Stabilität des Finanzsystems zu gewährleisten.

→ Weiterlesen
Was ist ein ISMS (Informationssicherheitsmanagementsystem)?

Ein Informationssicherheitsmanagementsystem (ISMS, englisch: Information Security Management System) ist der zentrale Baustein, um Informationssicherheit in Unternehmen systematisch zu steuern und zu verbessern. Es schafft klare Strukturen und Prozesse, um Risiken zu minimieren und rechtliche Anforderungen zu erfüllen. Neben den bekannten Standards wie ISO 27001 oder dem BSI IT-Grundschutz spielt TISAX (Trusted Information Security Assessment Exchange) eine zentrale Rolle für Unternehmen der Automobilindustrie. Dieser Artikel erklärt, was ein ISMS ist, wie es funktioniert und welche Vorteile es für KMU bietet.

→ Weiterlesen
Business Continuity Management (BCM): Wie du Ausfälle minimierst

Was passiert, wenn deine Systeme ausfallen – und du trotzdem liefern musst? Business Continuity Management (BCM) sorgt dafür, dass dein Betrieb auch in Krisensituationen weiterläuft. Es ist der Schlüssel, um Ausfallzeiten zu minimieren, Verluste zu begrenzen und klare Verantwortlichkeiten im Notfall zu schaffen. BCM ist eng mit dem Schutzziel Verfügbarkeit aus der CIA-Triade (Vertraulichkeit, Integrität, Verfügbarkeit) verknüpft und bildet einen zentralen Bestandteil moderner Informationssicherheitssysteme. Gerade für KMU ist ein funktionierendes BCM kein Luxus – sondern eine Überlebensversicherung.

→ Weiterlesen
Notfallplan für kleine Unternehmen

Ein Notfallplan ist essenziell, um dein Unternehmen in Krisensituationen handlungsfähig zu halten. Ob Stromausfall, Cyberangriff oder Naturkatastrophe – eine durchdachte Strategie minimiert Schäden und sichert die Geschäftskontinuität. In diesem Artikel erfährst du, welche Elemente ein effektiver Notfallplan enthält, wie du ihn erstellst und regelmäßig aktualisierst. Wir zeigen dir, wie du Verantwortlichkeiten definierst, kritische Prozesse priorisierst und ein sicheres Backup-System implementierst.

→ Weiterlesen
Informationssicherheits-Framework

Ein Informationssicherheits-Framework ist eine strukturierte Sammlung von Richtlinien, Verfahren und Best Practices, die KMU dabei unterstützen, ihre IT-Sicherheit gezielt zu verbessern, Risiken zu minimieren und regulatorische Anforderungen zu erfüllen. Je nach Unternehmensgröße, Branche und Compliance-Vorgaben gibt es unterschiedliche Frameworks. Wichtige Standards sind ISO 27001, NIST Cybersecurity Framework, CIS Controls und TISAX. Für kleinere Unternehmen bieten sich zudem VdS 10000, CISIS12 und BSI IT-Grundschutz an. Wer sich unsicher ist, kann mit einem IT-Security-Check nach DIN SPEC 27076 starten.

→ Weiterlesen

Aus dem Magazin

Warum Informationssicherheit heute über deinen Geschäftserfolg entscheidet

Informationssicherheit ist längst kein Technikthema mehr, sondern ein zentraler Erfolgsfaktor für Dienstleister, SaaS-Anbieter, Start-ups und Beratungen. Dieser Beitrag zeigt, warum ein pragmatisches ISMS heute über Vertrauen, Aufträge und Wachstum entscheidet.

→  Weiterlesen
Was ein ISMS wirklich ist – und was nicht

Was ein ISMS wirklich ist: einfach erklärt, praxisnah und ohne Mythen. Erfahre, wie ein ISMS KMU stärkt, Risiken reduziert und Professionalität steigert.

→  Weiterlesen

Verwandte Frameworks

NIS-2

NIS-2 verpflichtet Unternehmen in kritischen Sektoren zu konkreten Cybersicherheitsmaßnahmen und Meldepflichten. In Deutschland sind rund 29.500 Unternehmen betroffen.

→ Mehr erfahren

ISO 27001

ISO 27001 ist die internationale Norm für Informationssicherheits-Managementsysteme. Sie hilft Unternehmen, Informationsrisiken systematisch zu erkennen, zu steuern und nachweisbar zu kontrollieren.

→ Mehr erfahren
▶︎
Alle Frameworks
▶︎
Gesetz
Thorsten Wälde, Gründer und Geschäftsführer von Digimojo, Experte für Datenschutz und Informationssicherheit
Kontakt

Wie können wir dich unterstützen?

Schreib uns kurz, worum es geht. Wir melden uns innerhalb von 24 Stunden mit konkreten nächsten Schritten.

Unverbindlich anfragen
Einfach. Klar. Verlässlich.
Informationssicherheit | Datenschutz | Cybersecurity
Lösungen
DigimojoCOMPLYDigimojoSECURE
Leistungen
Externer DSBExterner ISBNIS-2-BeratungCyberRisikoCheck
Ressourcen
Kostenlose RessourcenMagazinWissenNewsletter
Frameworks
Unternehmen
Über DigimojoKontaktStrategiegespräch
© 2026 Digimojo
Impressum
|
Datenschutz
|
LinkedIn