Digital Operational Resilience Act (DORA): Einfach erklärt

25.08.2025 | L. Gschnitzer – Online Redaktion, Forum Verlag Herkert GmbH

articleimage
KI-generiert

Mit dem Digital Operational Resilience Act (DORA) hat die EU einheitliche Vorgaben geschaffen, um Finanzunternehmen besser vor digitalen Risiken zu schützen. Seit dem 17. Januar 2025 müssen betroffene Unternehmen und ihre Dienstleister sicherstellen, dass ihre Systeme auch bei Cyberangriffen oder technischen Störungen stabil und sicher bleiben. Dieser Artikel gibt Ihnen einen Überblick über Ziele, Anwendungsbereich und zentrale Anforderungen der DORA-Verordnung.

Inhaltsverzeichnis

  1. Was ist der Digital Operational Resilience Act?
  2. Was ist das Ziel von DORA?
  3. Welche Unternehmen müssen DORA umsetzen?
  4. Wer ist von DORA ausgenommen?
  5. Was sind die Anforderungen des Digital Operational Resilience Act?
  6. Welche Konsequenzen drohen, wenn DORA nicht eingehalten wird?
  7. Was sind die Unterschiede zwischen NIS2 und DORA?

Was ist der Digital Operational Resilience Act?

Der Digital Operational Resilience Act (DORA) ist eine Verordnung der Europäischen Union, mit der die digitale operationale Widerstandsfähigkeit im EU-Finanzsektor gestärkt werden soll (Verordnung (EU) 2022/2554).

Seit dem 17. Januar 2025 müssen betroffene Finanzunternehmen und ihre Dienstleister in der EU die Verordnung anwenden, bzw. deren Anforderungen umsetzen. In Deutschland wurde dazu das Gesetz über die Digitalisierung des Finanzmarktes (FinmadiG) erlassen, um DORA in nationales Recht umzusetzen.

Was ist das Ziel von DORA?

Ziel von DORA ist es, einheitliche Standards in der EU für den Umgang mit Informations- und Kommunikationstechnologierisiken (IKT-Risiken) im Finanzsektor zu schaffen.

Die Verordnung stellt sicher, dass Finanzunternehmen bei Cyberangriffen, technischen Ausfällen oder anderen Störungen einen stabilen und sicheren Betrieb aufrechterhalten und ihre Leistungen ohne Unterbrechungen erbringen können.

Welche Unternehmen müssen DORA umsetzen?

Die DORA-Verordnung gilt für eine breite Gruppe von Finanzunternehmen innerhalb der EU.

Betroffen davon sind u. a.:

  • Kreditinstitute
  • Zahlungsinstitute
  • Wertpapierfirmen
  • Verwalter alternativer Investmentfonds
  • Versicherungs- und Rückversicherungsunternehmen
  • IKT-Drittdienstleister

Die vollständige Liste der betroffenen Unternehmen finden Sie in Art. 2 Abs. 1 DORA.

Wer ist von DORA ausgenommen?

Der Digital Operational Resilience Act sieht Ausnahmen für folgende Unternehmen vor (Art. 2 Abs. 3 DORA):

  • Verwalter alternativer Investmentfonds im Sinne von Art. 3 Abs. 2 der Richtlinie 2011/61/EU
  • Versicherungs- und Rückversicherungsunternehmen im Sinne von Art. 4 der Richtlinie 2009/138/EG
  • Einrichtungen der betrieblichen Altersversorgung, die Altersversorgungssysteme mit insgesamt weniger als 15 Versorgungsanwärtern betreiben
  • Gemäß den Art. 2 und 3 der Richtlinie 2014/65/EU ausgenommene natürliche oder juristische Personen
  • Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit, bei denen es sich um Kleinstunternehmen oder kleine oder mittlere Unternehmen handelt
  • Postgiroämter im Sinne von Art. 2 Abs. 5 Nummer 3 der Richtlinie 2013/36/EU.

Was sind die Anforderungen des Digital Operational Resilience Act?

Der Digital Operational Resilience Act definiert klare Anforderungen, die betroffene Finanzunternehmen in der EU umsetzen müssen. Diese lassen sich in folgende Bereiche gliedern:

  • IKT-Risikomanagement
  • Meldung von IKT-bezogenen Vorfällen
  • Testen der digitalen operationalen Widerstandsfähigkeit
  • Management des IKT-Drittparteienrisikos
  • Informationsaustausch

IKT-Risikomanagement

Eine zentrale Anforderung von DORA ist der Aufbau eines umfassenden Rahmenwerks. Damit werden IKT-Risiken systematisch identifiziert, bewertet und gesteuert.

Finanzunternehmen müssen dafür Strategien, Leit- und Richtlinien, Verfahren sowie Tools implementieren, um IKT-Assets vor Risiken zu schützen.

Kernelemente des IKT-Risikomanagements sind:

  • Governance und Verantwortung: Das Leitungsorgan des Unternehmens trägt die Gesamtverantwortung für das Management von IKT-Risiken.
  • IKT-Systeme, Protokolle und Tools: Alle relevanten IKT-Assets werden erfasst, regelmäßig aktualisiert und nach Risiken bewertet. Dies beinhaltet Maßnahmen zum Schutz und zur Prävention (z. B. Zugangsbeschränkungen), Mechanismen zur Erkennung von Auffälligkeiten sowie Pläne zur Reaktion und Wiederherstellung im Ernstfall.
  • Lernprozesse und Weiterentwicklung: Unternehmen müssen Ursachen von IKT-bezogenen Vorfällen analysieren, Prozesse anpassen sowie regelmäßig die Geschäftsleitung, Mitarbeiter und bei Bedarf auch Drittdienstleister schulen.
  • Kommunikation: Zumindest schwerwiegende IKT-bezogene Vorfälle oder Schwachstellen sind gegenüber Kunden, anderen Finanzunternehmen und der Öffentlichkeit zu kommunizieren.

Rechtsgrundlage: Art. 5–16 DORA

Meldung von IKT-bezogenen Vorfällen

Der Digital Operational Resilience Act verpflichtet Finanzunternehmen dazu, IKT-bezogene Vorfälle nach einheitlichen Vorgaben zu behandeln und zu klassifizieren.

Die Klassifizierung der Vorfälle erfolgt dabei anhand festgelegter Kriterien, wie:

  • Anzahl betroffener Kunden, Transaktionen oder Gegenparteien
  • Dauer und Ausfallzeiten des Vorfalls
  • Geografische Ausbreitung
  • Wirtschaftliche Auswirkungen

Falls ein Vorfall als schwerwiegend eingestuft wird, müssen Unternehmen dies den zuständigen nationalen Aufsichtsbehörden zeitnah melden. In Deutschland ist dafür die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zuständig.

Hinweis: Ein Vorfall gilt als schwerwiegend, wenn wesentliche oder kritische Dienste betroffen sind und entweder ein unbefugter Zugriff mit möglichem Datenverlust vorliegt oder mindestens zwei der genannten Kriterien die in DORA definierten Schwellenwerte überschreiten.

Rechtsgrundlage: Art. 17–23 DORA

Testen der digitalen operationalen Widerstandsfähigkeit

Um die Widerstandsfähigkeit der IKT-Systeme zu überprüfen, müssen Finanzunternehmen ein Testprogramm einführen.

Dabei wird zwischen einem allgemeinen Testprogramm und fortgeschrittenen Tests unterschieden.

Das allgemeine Testprogramm umfasst beispielsweise Schwachstellenbewertungen, Quellcodeprüfungen oder Lückenanalysen. Dieses ist von allen Finanzunternehmen (außer Kleinstunternehmen) durchzuführen.

Die fortgeschrittenen Tests hingegen sind nur für systemrelevante Finanzunternehmen mit hoher IKT-Reife vorgeschrieben. Dazu zählt das Threat-Led-Penetration-Testing (TLPT), das echte Angriffe auf IT-Systeme simuliert. 

Rechtsgrundlage: Art. 24–27 DORA

Management des IKT-Drittparteienrisikos

Eine weitere zentrale Anforderung von DORA ist das Management von Risiken, die sich aus der Zusammenarbeit mit IKT-Drittanbietern ergeben.

Dies umfasst folgende Punkte:

  • IKT-Drittanbieter sind vor Vertragsabschluss sorgfältig zu prüfen (z. B. hinsichtlich Sicherheitsstandards).
  • Verträge müssen bestimmte Elemente beinhalten, wie eine klare und vollständige Beschreibung aller IKT-Dienstleistungen oder Kündigungsrechte.
  • Für den Fall von Vertragsbeendigungen sind Ausstiegsstrategien zu entwickeln.

Rechtsgrundlage: Art. 28–30 DORA

Informationsaustausch

Die EU-Verordnung ermöglicht es Finanzunternehmen, Informationen und Erkenntnisse über Cyberbedrohungen untereinander auszutauschen. Dies erfolgt innerhalb vertrauenswürdiger Gemeinschaften von Finanzunternehmen.

Ziel ist es, Bedrohungen schneller zu erkennen, deren Verbreitung einzudämmen und die Reaktionsfähigkeit zu verbessern.

Der Austausch ist zwar freiwillig, wird jedoch von DORA ausdrücklich gefördert.

Rechtsgrundlage: Art. 45 DORA

Welche Konsequenzen drohen, wenn DORA nicht eingehalten wird?

DORA sieht klare Regelungen für den Fall von Verstößen vor. Die zuständigen nationalen Behörden sind dafür verantwortlich, Sanktionen bei Verstößen durchzusetzen.

Mögliche Maßnahmen umfassen:

  • Anordnungen zur Beendigung von Verstößen
  • Vorübergehende oder dauerhafte Untersagung bestimmter Tätigkeiten
  • Finanzielle Sanktionen

Zudem können bei schwerwiegenden Verstößen erhebliche Geldbußen oder Einschränkungen im Geschäftsbetrieb verhängt werden.

Rechtsgrundlage: Art. 50 DORA

Was sind die Unterschiede zwischen NIS2 und DORA?

Die NIS-2-Richtlinie und DORA sind zwei Regelwerke der EU. Beide verfolgen zwar das Ziel, die digitale Resilienz und die Cybersicherheit in der EU zu stärken, unterscheiden sich aber in Zielgruppe und Umsetzung.

NIS2 ist eine Richtlinie und muss von den EU-Mitgliedsstaaten in nationales Recht umgesetzt werden. Sie richtet sich an Unternehmen und Organisationen in 18 kritischen Sektoren, wie Energie, Transport, Gesundheitswesen oder Wasserversorgung. (Richtlinie (EU) 2022/2555)

Bei DORA hingegen handelt es sich um eine Verordnung, die unmittelbar in allen EU-Mitgliedsstaaten wirkt und ausschließlich für den Finanzsektor gilt.