Wissen
▶︎
Informationssicherheit
▶︎
Was ist der Digital Operational Resilience Act (DORA)

Was ist der Digital Operational Resilience Act (DORA)

Wie DORA die digitale Widerstandsfähigkeit im Finanzsektor der EU stärkt

TL;DR

Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung, die am 17. Januar 2025 in Kraft getreten ist. Sie zielt darauf ab, die digitale operationale Resilienz von Finanzunternehmen und deren IT-Dienstleistern zu stärken, indem sie einheitliche Anforderungen an das IKT-Risikomanagement, das Incident-Management, die Überprüfung von Drittanbietern und regelmäßige Resilienztests festlegt. Unternehmen sind nun verpflichtet, robuste Strategien zu implementieren, um Cyberbedrohungen effektiv zu begegnen und die Stabilität des Finanzsystems zu gewährleisten.

DORA: Neue Compliance-Pflichten für Finanzunternehmen

Was ist DORA?

DORA (Verordnung (EU) 2022/2554) schafft einen harmonisierten Rechtsrahmen, um sicherzustellen, dass Finanzinstitute und deren IT-Dienstleister robuste Maßnahmen gegen Cyberangriffe und IT-Störungen implementieren. Ziel ist es, das europäische Finanzsystem widerstandsfähiger gegen digitale Bedrohungen zu machen.

Für wen gilt DORA?

DORA betrifft eine Vielzahl von Unternehmen und IT-Dienstleistern im Finanzsektor:

  • Kreditinstitute (Banken)
  • Versicherungsunternehmen
  • Investmentgesellschaften
  • Zahlungs- und E-Geld-Institute
  • Krypto-Dienstleister
  • Cloud- und ICT-Dienstleister für Finanzunternehmen
  • Softwareentwickler, die Finanzunternehmen betreuen

Auch Drittanbieter, die IT-Dienste für Finanzunternehmen bereitstellen, unterliegen DORA und müssen entsprechende Sicherheitsanforderungen erfüllen.

Die wichtigsten Anforderungen von DORA

1. IKT-Risikomanagement

Unternehmen müssen ein strukturiertes ICT Risk Management Framework entwickeln, das folgende Punkte umfasst:

  • Regelmäßige Risikoanalysen zur Identifizierung von Schwachstellen
  • Implementierung von Schutzmaßnahmen und Notfallplänen
  • Kontinuierliche Überwachung und Aktualisierung der Sicherheitsstrategien

2. Incident Management & Reporting

  • Signifikante Sicherheitsvorfälle müssen sofort den Aufsichtsbehörden gemeldet werden
  • Einführung einer Incident-Response-Strategie mit klaren Prozessen
  • Dokumentation und Analyse von Vorfällen zur kontinuierlichen Verbesserung

3. Drittanbieter- und Lieferantenmanagement

  • Risikoanalyse aller externen IT-Dienstleister
  • Verträge mit Drittanbietern müssen DORA-konforme Sicherheitsanforderungen enthalten
  • Einführung eines Monitoring-Systems zur laufenden Überprüfung der Dienstleister

4. Resilienz-Tests & Penetrationstests

  • Regelmäßige Resilienz-Tests zur Überprüfung der Sicherheitsmaßnahmen
  • Durchführung von Threat-Led Penetration Tests (TLPT) für kritische Systeme
  • Berichterstattung der Testergebnisse an die zuständigen Behörden

5. Schulung & Sensibilisierung der Mitarbeiter

  • Verpflichtende Cybersecurity-Schulungen für alle Mitarbeiter
  • Sensibilisierung für Sicherheitsrisiken und Meldeprozesse
  • DORA-relevante Schulungen in bestehende Sicherheitsrichtlinien integrieren

Was müssen KMU Unternehmen jetzt tun?

Unternehmen sollten sich frühzeitig auf die Einhaltung von DORA vorbereiten. Folgende Maßnahmen sind essenziell:

  1. Gap-Analyse durchführen: Bestehende Prozesse auf DORA-Konformität prüfen
  2. IKT-Risikomanagement optimieren: Sicherheitsmaßnahmen und Notfallpläne aktualisieren
  3. Vertragsmanagement überprüfen: IT-Dienstleister und Partnerverträge anpassen
  4. Resilienz-Tests etablieren: Regelmäßige Sicherheitsprüfungen durchführen
  5. Mitarbeiter schulen: Sensibilisierung für Cyber-Risiken und Compliance-Anforderungen

Fragen und Antworten zum Digital Operational Resilience Act (DORA)

Was ist DORA und welches Ziel verfolgt es?

DORA (Digital Operational Resilience Act) ist eine EU-Verordnung, die am 17. Januar 2025 in Kraft getreten ist. Sie zielt darauf ab, die digitale operationale Resilienz des europäischen Finanzsektors zu stärken. Dies beinhaltet die Verbesserung der Fähigkeit von Finanzunternehmen und ihren IKT-Dienstleistern, Cyberrisiken zu widerstehen, auf IKT-bezogene Vorfälle zu reagieren und sich von ihnen zu erholen. Der Fokus liegt auf der Aufrechterhaltung eines widerstandsfähigen Betriebs im Falle einer schwerwiegenden Betriebsunterbrechung.

Wer ist von DORA betroffen?

DORA betrifft so gut wie alle beaufsichtigten Institute und Unternehmen des europäischen Finanzsektors, sowie deren IT-Dienstleister, insbesondere: Kreditinstitute, Zahlungsinstitute, Wertpapierfirmen, Versicherungsunternehmen, Vermögensverwalter, Krypto-Dienstleister und IKT-Dienstleister (einschließlich Cloud-Anbieter, Softwareentwickler, Rechenzentren, etc.). Ausnahmen gelten für bestimmte Kleinstunternehmen und Unternehmen, die unter bestehende Ausnahmen fallen (z.B. Verwalter alternativer Investmentfonds mit geringen Vermögenswerten).

Welche Hauptbereiche umfasst DORA?

DORA definiert Anforderungen in sechs wesentlichen Bereichen:

  • IKT-Risikomanagement: Etablierung eines umfassenden Risikomanagement-Frameworks, das die Identifizierung, Bewertung und Überwachung von IKT-Risiken beinhaltet.
  • Behandlung, Klassifizierung und Berichterstattung von IKT-Vorfällen: Einrichtung von Prozessen zur schnellen Erkennung, Reaktion, Meldung und Analyse von IKT-bezogenen Vorfällen.
  • Testen der digitalen operationalen Resilienz: Regelmäßige Durchführung von Tests, einschließlich Schwachstellenscans und Penetrationstests, um die Widerstandsfähigkeit der IT-Systeme zu überprüfen.
  • Management des IKT-Drittparteienrisikos: Sorgfältige Auswahl und Überwachung von IKT-Drittdienstleistern, um sicherzustellen, dass diese angemessene Sicherheitsstandards einhalten und die Risiken minimiert werden.
  • Überwachungsrahmen für kritische IKT-Drittdienstleister: Striktere Aufsicht durch die Europäischen Aufsichtsbehörden (ESAs) für Dienstleister, die als kritisch für den Finanzsektor eingestuft werden.
  • Vereinbarungen über den Austausch von Informationen sowie Cyberkrisen- und Notfallübungen: Förderung der Zusammenarbeit und des Informationsaustauschs, um Cyberbedrohungen gemeinsam zu bekämpfen.

Welche Rolle spielen die Europäischen Aufsichtsbehörden (ESAs) bei DORA?

Die ESAs (EBA, EIOPA und ESMA) spielen eine zentrale Rolle bei der Umsetzung und Überwachung von DORA. Sie sind für die Erstellung technischer Regulierungsstandards (RTS) und Durchführungsstandards (ITS) verantwortlich, die die Anforderungen von DORA konkretisieren. Zudem überwachen sie kritische IKT-Drittdienstleister, führen Inspektionen durch und können bindende Empfehlungen aussprechen. Sie veröffentlichen eine jährlich aktualisierte Liste der als kritisch eingestuften Dienstleister.

Welche Bedeutung hat das IKT-Drittparteienrisikomanagement unter DORA?

Das Management des IKT-Drittparteienrisikos ist ein zentraler Aspekt von DORA. Finanzunternehmen müssen eine Strategie für das Drittparteienrisiko entwickeln, ein Register aller genutzten IKT-Dienstleister führen und diese sorgfältig evaluieren. Verträge mit Dienstleistern müssen klare Regelungen zu Sicherheitsstandards, Meldepflichten und Ausstiegsstrategien enthalten. Es wird von Unternehmen erwartet, dass sie die Widerstandsfähigkeit ihrer Dienstleister überzeugen und somit sich proaktiv gegen mögliche Ausfälle zu schützen.

Was sind Threat-Led Penetration Tests (TLPT) und wann sind sie erforderlich?

Threat-Led Penetration Tests (TLPT) sind fortgeschrittene Sicherheitstests, bei denen reale Bedrohungsszenarien simuliert werden, um die Widerstandsfähigkeit der IT-Systeme zu überprüfen. DORA verpflichtet Finanzunternehmen, alle drei Jahre TLPT an Live-Produktionssystemen durchzuführen, die wichtige oder kritische Funktionen des Unternehmens unterstützen. Diese Tests müssen von qualifizierten und unabhängigen Testern durchgeführt werden.

Ab wann ist DORA anzuwenden und gibt es Übergangsfristen?

DORA ist am 16. Januar 2023 in Kraft getreten und ist ab dem 17. Januar 2025 anzuwenden. Eine weitere Übergangsfrist wird es nicht geben. Finanzunternehmen müssen ihre Prozesse und Systeme bis zu diesem Zeitpunkt an die neuen Anforderungen anpassen.

Wie unterstützt die BaFin die Umsetzung von DORA in Deutschland?

Die BaFin bereitet sich auf DORA vor, indem sie ihre Aufsichts- und Verwaltungspraxis anpasst und IT-Prozesse und -Systeme implementiert. Sie wird zum nationalen Melde-Hub für IKT-Vorfälle im Finanzsektor und nimmt Anzeigen im Rahmen des IKT-Drittparteienmanagements entgegen. Zudem veröffentlicht sie Aufsichtsmitteilungen und andere Informationen, um Unternehmen bei der Umsetzung von DORA zu unterstützen. Es gibt auch ein Funktionspostfach bei der BaFin für Fragen rund um DORA.

Was bedeutet DORA für IT-Dienstleister?

Viele IT-Dienstleister stellen sich die Frage: Betrifft mich DORA eigentlich? Die Antwort lautet: mittelbar, aber spürbar. DORA richtet sich formal an Finanzunternehmen. Aber diese Finanzunternehmen müssen sicherstellen, dass ihre IT-Lieferanten bestimmte Anforderungen erfüllen. Wer also als IKT-Drittdienstleister (Informations- und Kommunikationstechnologie-Drittdienstleister, also jedes Unternehmen, das digitale Dienste dauerhaft für ein reguliertes Finanzunternehmen erbringt) tätig ist, bekommt DORA-Anforderungen über den Vertrag auferlegt.

Wann bist du als IKT-Drittdienstleister betroffen?

Du bist betroffen, wenn du IT-Dienstleistungen dauerhaft an ein reguliertes Finanzunternehmen erbringst. Das gilt laut BaFin grundsätzlich für alle Arten von IT-Dienstleistungen. Ausgenommen sind nur der reine Kauf von Hardware oder die bloße Einräumung von Softwarelizenzen ohne weitere Dienstleistung. Konkret fallen darunter:

  • Managed Service Provider und IT-Systemhäuser, die Finanzunternehmen betreuen
  • Cloud-Anbieter und Rechenzentrumsbetreiber
  • Softwareentwickler mit laufenden Support- oder Wartungsverträgen
  • Anbieter von Sicherheitslösungen wie Monitoring oder Threat Detection
  • Dienstleister für Backup, Hosting oder Netzwerkinfrastruktur

Ob dein Kunde zu den regulierten Finanzunternehmen gehört, erkennst du an seiner Beaufsichtigung durch die BaFin oder eine andere europäische Finanzaufsichtsbehörde. Im Zweifelsfall direkt beim Auftraggeber nachfragen.

Was musst du konkret umsetzen?

Als IKT-Drittdienstleister hast du keine eigene direkte Pflicht gegenüber der Aufsichtsbehörde. Die Pflichten kommen aus den Verträgen, die dein Auftraggeber mit dir schließen muss. Trotzdem bedeutet das operative Konsequenzen für dich.

Du solltest in der Lage sein:

  • Eigene Notfall- und Wiederanlaufpläne vorzuweisen, die die Kontinuität deiner Dienstleistung sicherstellen
  • Vorfälle zu melden, die sich auf die Dienste für das Finanzunternehmen auswirken, und dabei Unterstützung zu leisten
  • An Resilienz-Tests des Finanzunternehmens teilzunehmen, einschließlich Penetrationstests (TLPT) wenn du kritische Funktionen unterstützt
  • Informationen über deine Sicherheitsmaßnahmen und die Resilienz deiner Systeme bereitzustellen
  • DORA-Anforderungen an eigene Subunternehmer weiterzugeben, wenn du Teile der Leistung ausgelagerst

Das alles setzt voraus, dass du ein Mindestmaß an strukturierter Informationssicherheit betreibst. Ein ISMS ist dafür keine Pflicht, aber eine sinnvolle Grundlage.

Welche Vertragsanforderungen kommen auf dich zu?

Dein Auftraggeber ist verpflichtet, bestimmte Mindestinhalte in den Vertrag mit dir aufzunehmen (Art. 30 DORA). Als IT-Dienstleister wirst du diese Klauseln künftig in Vertragsverhandlungen oder Ausschreibungen antreffen. Typische Anforderungen sind:

  • Klare Beschreibung der zu erbringenden IKT-Dienstleistungen und Regelungen zur Unterauftragsvergabe
  • Service Level Agreements (SLAs) mit konkreten Vorgaben zur Dienstleistungsgüte und Verfügbarkeit
  • Verpflichtung zur Unterstützung bei IKT-Vorfällen ohne zusätzliche Kosten oder zu vorab vereinbarten Kosten
  • Pflicht zur Kooperation mit Aufsichtsbehörden und Prüfern des Finanzunternehmens
  • Audit-Recht: dein Auftraggeber und seine Aufsichtsbehörde dürfen deine Leistung und Sicherheitsmaßnahmen laufend überprüfen
  • Ausstiegsstrategie: verbindliche Regelungen für eine geordnete Beendigung des Vertragsverhältnisses mit angemessener Übergangsfrist

Bestehende Verträge mit Finanzunternehmen, die vor dem 17. Januar 2025 geschlossen wurden, müssen um diese Mindestinhalte ergänzt werden, sofern sie weiter gelten sollen.

Was bedeutet das praktisch für dein Unternehmen?

Wenn du heute schon Finanzunternehmen als Kunden hast oder planst, solche zu gewinnen, lohnt es sich, dich vorzubereiten. Das bedeutet konkret:

  • Prüfe, welche deiner bestehenden Verträge DORA-relevante Kunden betreffen
  • Dokumentiere deine Sicherheitsmaßnahmen und Prozesse so, dass du sie in Audits und Vertragsverhandlungen vorlegen kannst
  • Stelle sicher, dass du Notfallpläne für deine Kerndienstleistungen hast
  • Bewerte, ob du Leistungsteile an Subunternehmer vergibst und wie du DORA-Anforderungen an diese weitergibst

Du musst kein DORA-Experte werden. Aber du solltest wissen, was von dir erwartet wird, wenn dein Auftraggeber im Finanzsektor tätig ist.

Fazit: Warum ist DORA wichtig?

DORA ist mehr als nur eine regulatorische Vorschrift – es ist ein entscheidender Schritt zur Stärkung der Cyber-Resilienz im Finanzsektor. Unternehmen, die frühzeitig handeln, können Strafen vermeiden und ihre digitale Sicherheit erheblich verbessern.

Wer noch nicht vollständig konform ist, sollte jetzt handeln. Falls du Unterstützung bei der Umsetzung von DORA benötigst, kontaktiere uns gerne für eine Beratung.

Letzte Aktualisierung:
30.05.2026
Wissen
▶︎
Informationssicherheit
▶︎
Was ist der Digital Operational Resilience Act (DORA)

Weitere Artikel zum Thema

Informationssicherheit

VdS 10000: Der Informationssicherheitsstandard für KMU

VdS 10000 ist der pragmatische ISMS-Standard für KMU – entwickelt von der VdS Schadenverhütung, anerkannt von Cyberversicherern, aufwärtskompatibel zu ISO 27001.

TISAX: Der Standard für Informationssicherheit in der Automobilindustrie

Wie Unternehmen das TISAX-Label erlangen können und was sie beachten müssen.

Business Continuity Management (BCM): Wie du Ausfälle minimierst

Bleib handlungsfähig, selbst wenn alles stillsteht – so schützt BCM dein Unternehmen vor Ausfällen.

Vertraulichkeit, Integrität, Verfügbarkeit: die CIA-Triade

Das Fundament der Informationssicherheit – einfach erklärt

Die KI-Verordnung 2025: Anforderungen und Auswirkungen auf Unternehmen

Was bedeutet die neue EU-KI-Regulierung für dein Unternehmen?

Was ist NIS2 – Grundlagen für KMU

Verstehe die Basics der NIS2-Richtlinie und wie du dein Unternehmen fit für die neuen Anforderungen machst.

Informationssicherheits-Framework

Strukturierte Sicherheit für KMU

Notfallplan für kleine Unternehmen

Sei auf alles vorbereitet – ein Notfallplan schützt dein Unternehmen vor Chaos und Ausfallzeiten.

Was ist ein ISMS (Informationssicherheitsmanagementsystem)?

Alles, was du über den Aufbau und Nutzen eines ISMS wissen musst, um deine Unternehmenssicherheit zu stärken.

← Zur Übersicht
Einfach. Klar. Verlässlich.
Informationssicherheit | Datenschutz | Cybersecurity
Lösungen
DigimojoCOMPLYDigimojoSECURE
Leistungen
Externer DSBExterner ISBNIS-2-BeratungCyberRisikoCheck
Ressourcen
Kostenlose RessourcenMagazinWissenNewsletter
Frameworks
Unternehmen
Über DigimojoKontaktStrategiegespräch
© 2026 Digimojo
Impressum
|
Datenschutz
|
LinkedIn