Was ist der Digital Operational Resilience Act (DORA)?
Zuletzt aktualisiert:
Kurz erklärt: DORA (Digital Operational Resilience Act) ist eine EU-Verordnung, die seit 17. Januar 2025 unmittelbar in allen EU-Staaten gilt. Sie verpflichtet Banken, Versicherungen, Zahlungsdienstleister, Krypto-Anbieter und ihre IKT-Drittdienstleister zu fünf Säulen der digitalen Betriebsstabilität — IKT-Risikomanagement, Vorfallsmeldung, digitale Resilienztests, Drittparteienrisiko und Bedrohungsinformations-Austausch. Anders als die NIS2-Richtlinie ist DORA eine direkt anwendbare Verordnung ohne nationales Umsetzungsgesetz.
Der Digital Operational Resilience Act (DORA, formell Verordnung (EU) 2022/2554) ist die zentrale EU-Verordnung zur digitalen Betriebsstabilität im Finanzsektor. Sie schafft erstmals einen einheitlichen, EU-weit direkt anwendbaren Rechtsrahmen für Cybersicherheit und IKT-Risikomanagement bei Banken, Versicherungen, Zahlungsdienstleistern und deren IT-Dienstleistern.
Foundational Facts
- EU-Rechtsakt: Verordnung (EU) 2022/2554, veröffentlicht am 27. Dezember 2022
- Geltung: seit 17. Januar 2025 unmittelbar in allen EU-Mitgliedstaaten
- Rechtscharakter: Verordnung (kein nationales Umsetzungsgesetz erforderlich, anders als bei NIS2)
- Betroffene Sektoren: Finanzwirtschaft und ihre kritischen IKT-Drittdienstleister
- Aufsicht: nationale Finanzaufsicht (DE: BaFin, AT: FMA) plus europäische Aufsichtsbehörden (EBA, EIOPA, ESMA)
Die fünf Säulen von DORA
1. IKT-Risikomanagement (Art. 5–16)
Finanzunternehmen müssen ein dokumentiertes IKT-Risikomanagement-Rahmenwerk etablieren — mit klarer Governance-Struktur, Verantwortlichkeit des Leitungsorgans, Risikoanalyse-Prozessen, Schutz- und Erkennungsmaßnahmen sowie Wiederherstellungsplänen.
2. IKT-Vorfallsmeldung (Art. 17–23)
Schwerwiegende IKT-Vorfälle und erhebliche Cyberbedrohungen müssen klassifiziert und an die zuständige Behörde gemeldet werden. Die Meldepflicht ist gestaffelt (Frühwarnung, Zwischenmeldung, Abschlussbericht) — vergleichbar mit NIS2, aber mit eigenen Definitionen.
3. Digitale operationale Resilienzprüfung (Art. 24–27)
Verpflichtende Testprogramme für kritische IKT-Systeme:
- Schwachstellenscans, Penetrationstests, Source-Code-Reviews, Szenario-basierte Tests
- Für bedeutende Finanzunternehmen zusätzlich Threat-Led Penetration Tests (TLPT) mindestens alle 3 Jahre nach TIBER-EU-Methodik
- Siehe auch: TLPT-Glossar
4. IKT-Drittparteienrisiko (Art. 28–44)
Strenger Rahmen für Outsourcing und Cloud-Nutzung:
- Vertragsanforderungen mit Mindest-Klauseln (Audit-Rechte, Sub-Outsourcing, Datenstandort, Exit-Strategie)
- Konzentrationsrisiko-Monitoring (z. B. bei Mehrfachnutzung desselben Cloud-Anbieters)
- Aufsicht über kritische IKT-Drittdienstleister direkt durch die europäischen Aufsichtsbehörden (ESAs) — die größten Hyperscaler werden EU-weit als Tier-1-Anbieter geführt
5. Informationsaustausch (Art. 45)
Finanzunternehmen sollen sich freiwillig zu Cyber-Bedrohungsinformationen austauschen — über Indicators of Compromise, Taktiken, Techniken und Verfahren von Angreifern.
Wer ist betroffen?
DORA erfasst eine breite Liste von Finanzunternehmen:
- Kreditinstitute, Wertpapierfirmen, Versicherungen und Rückversicherungen
- Zahlungsinstitute, E-Geld-Institute
- Krypto-Asset-Dienstleister (gemäß MiCA), Crowdfunding-Anbieter
- Zentrale Gegenparteien, zentrale Wertpapierverwahrer, Handelsplätze
- Datenbereitstellungsdienste, Verwahrstellen
- Verwalter alternativer Investmentfonds (AIFM), OGAW-Verwaltungsgesellschaften
- Versicherungsvermittler, Einrichtungen der betrieblichen Altersversorgung
Zusätzlich werden IKT-Drittdienstleister indirekt erfasst — Cloud-Anbieter, SaaS-Provider, Managed-Service-Anbieter, Software-Hersteller, wenn sie kritische Funktionen für Finanzunternehmen erbringen.
DORA vs. NIS2 — Abgrenzung
| Dimension | DORA | NIS2 |
|---|---|---|
| Rechtsform | Verordnung (direkt anwendbar) | Richtlinie (national umzusetzen) |
| Anwendungsbereich | Finanzsektor (sektor-spezifisch) | 18 Sektoren (breit) |
| In Kraft | 17. Januar 2025 | 16. Januar 2023, national umgesetzt 2025/2026 |
| TLPT-Pflicht | ja, alle 3 Jahre für bedeutende Institute | nein |
| Drittpartei-Aufsicht | direkte ESA-Aufsicht für kritische IKT-Anbieter | indirekt über Lieferketten-Maßnahmen |
| Bei Doppel-Anwendung | Lex specialis, hat Vorrang | gilt subsidiär |
Bedeutung für KMU
Auch wenn DORA primär große Finanzinstitute adressiert, trifft sie KMU indirekt: jeder IT-Dienstleister, der Software, Cloud-Services oder Beratung an Banken, Versicherungen oder Zahlungsdienstleister liefert, wird mit DORA-konformen Vertragsklauseln, Audit-Rechten und Resilienztests konfrontiert. Für KMU bedeutet das in der Praxis: Lieferanten-Audits durch Finanzkunden nehmen drastisch zu, ISMS-Strukturen und nachweisbare Vorfalls-Prozesse werden zur Voraussetzung für Geschäfte.
Verwandte Konzepte
- NIS2 — breitere EU-Cybersicherheits-Richtlinie, DORA hat im Finanzsektor Vorrang
- TLPT — Threat-Led Penetration Test, von DORA für bedeutende Finanzinstitute verpflichtend
- ISMS — Informationssicherheits-Managementsystem als Grundlage des DORA-IKT-Risikomanagements
- vCISO — externer CISO als praxistaugliche Lösung für mittlere Finanzdienstleister
Weiterführende Links
Häufige Fragen
- Wer ist von DORA betroffen?
- DORA gilt für Banken, Wertpapierfirmen, Versicherungen und Rückversicherungen, Zahlungsinstitute, E-Geld-Institute, Krypto-Asset-Dienstleister (MiCA), Crowdfunding-Anbieter, zentrale Gegenparteien, Handelsplätze, Datenbereitstellungsdienste, Verwahrstellen, Verwalter alternativer Investmentfonds, OGAW-Verwaltungsgesellschaften, Versicherungsvermittler sowie Einrichtungen der betrieblichen Altersversorgung. Auch IKT-Drittdienstleister (Cloud, SaaS, Managed Services) werden indirekt erfasst, wenn sie für Finanzunternehmen kritische Dienste erbringen.
- Seit wann gilt DORA?
- DORA (Verordnung EU 2022/2554) wurde am 27. Dezember 2022 veröffentlicht und gilt seit dem 17. Januar 2025 unmittelbar in allen EU-Mitgliedstaaten. Eine nationale Umsetzung war nicht erforderlich, da es sich um eine EU-Verordnung handelt — anders als bei NIS2.
- Was sind die fünf Säulen von DORA?
- Die fünf Säulen sind (1) IKT-Risikomanagement-Rahmenwerk mit Governance, Risikoanalyse und Kontrollen, (2) Klassifizierung und Meldung schwerwiegender IKT-Vorfälle und erheblicher Cyberbedrohungen, (3) Programm zur digitalen operationalen Resilienzprüfung inklusive Threat-Led Penetration Tests (TLPT), (4) Management des Risikos durch IKT-Drittparteien einschließlich Vertragsanforderungen und Konzentrationsrisiko, sowie (5) Austausch von Informationen und Erkenntnissen zu Cyberbedrohungen.
- Wie unterscheidet sich DORA von NIS2?
- NIS2 ist eine Richtlinie, die in nationales Recht umgesetzt werden muss (in Deutschland NIS2UmsuCG, in Österreich NISG 2026); DORA ist eine direkt anwendbare EU-Verordnung. NIS2 erfasst 18 Sektoren breit, DORA ist branchenspezifisch auf den Finanzsektor zugeschnitten. DORA hat zusätzliche Pflichten zu Threat-Led Penetration Tests und zur Aufsicht über kritische IKT-Drittdienstleister durch europäische Aufsichtsbehörden (ESAs). Wenn beide gelten, hat DORA als Lex specialis im Finanzsektor Vorrang.
- Was sind Threat-Led Penetration Tests (TLPT) nach DORA?
- TLPT sind realistische Penetrationstests gegen kritische Live-Systeme, die auf Bedrohungsinformationen basieren und durch Red-Team-Verfahren durchgeführt werden. Bedeutende Finanzunternehmen müssen mindestens alle drei Jahre einen TLPT durchführen, der den TIBER-EU-Anforderungen (Threat Intelligence-Based Ethical Red-teaming) entspricht.