Der Digital Operational Resilience Act (DORA) ist seit Januar 2025 vollständig anwendbar und stellt den europäischen Finanzsektor vor die bislang umfangreichsten IT-Sicherheitsanforderungen seiner Geschichte. Betroffen sind nicht nur Großbanken — sondern auch Versicherungen, Vermögensverwalter, Zahlungsdienstleister und ihre IT-Dienstleister.

Digitale Resilienz — Finanzinfrastruktur
Die europäische Finanzinfrastruktur soll durch DORA widerstandsfähiger gegen Cyberangriffe und digitale Ausfälle werden. Foto: Unsplash

Was ist DORA — und warum wurde es eingeführt?

DORA steht für Digital Operational Resilience Act — eine EU-Verordnung (nicht Richtlinie), die direkt in allen EU-Mitgliedstaaten gilt, ohne nationale Umsetzung. Sie wurde eingeführt, weil die Europäische Kommission erkannt hat, dass der Finanzsektor in einem alarmierenden Maß von IT-Systemen abhängt — und gleichzeitig die regulatorischen Anforderungen an IT-Sicherheit fragmentiert, inkonsistent und unzureichend waren.

Auslöser waren unter anderem:

  • Mehrere große IT-Ausfälle bei europäischen Finanzinstituten, die tagelang Millionen von Kunden betrafen
  • Zunehmende Cyberangriffe auf Finanzinfrastrukturen, teils staatlich gesponsert
  • Die unkontrollierte Abhängigkeit von wenigen großen Cloud-Anbietern (AWS, Azure, Google Cloud)
  • Fehlende einheitliche Standards für IKT-Risikomanagement im Finanzsektor
Wichtiger Unterschied zu NIS2: DORA ist eine EU-Verordnung, keine Richtlinie. Sie gilt seit dem 17. Januar 2025 unmittelbar und ohne Umsetzungsspielraum in allen EU-Staaten — es gibt keine nationalen Varianten.

Wen betrifft DORA? Die vollständige Erfassungsliste

DORA erfasst einen erheblich breiteren Kreis von Finanzunternehmen als viele erwarten:

Unternehmenstyp DORA-Anwendung
Kreditinstitute (Banken)Vollständig erfasst
Zahlungsinstitute & E-Geld-InstituteVollständig erfasst
Versicherungsunternehmen & RückversichererVollständig erfasst
Wertpapierfirmen & VermögensverwalterVollständig erfasst
Kryptoasset-Dienstleister (nach MiCA)Vollständig erfasst
Handelsplätze & zentrale GegenparteienVollständig erfasst
IKT-Drittdienstleister für o.g. UnternehmenIndirekt erfasst (DORA Kap. V)
Kleine und mittlere FinanzunternehmenVereinfachte Anforderungen (Art. 16)

Die 5 Säulen von DORA: Was konkret gefordert wird

DORA strukturiert die Anforderungen in fünf Bereiche, die zusammen ein vollständiges IKT-Risikorahmenwerk bilden:

01
IKT-Risikomanagement (Art. 5–16)

Vollständiger Rahmen zur Identifikation, Schutz, Erkennung, Reaktion und Wiederherstellung bei IKT-Risiken. Die Leitungsorgane sind persönlich verantwortlich und müssen regelmäßig geschult werden.

02
IKT-Vorfallsmanagement und -meldung (Art. 17–23)

Klassifizierung, Erfassung und Meldung von IKT-bezogenen Vorfällen. Schwerwiegende Vorfälle müssen an die BaFin gemeldet werden — mit konkreten Fristen (Erstmeldung, Zwischenbericht, Abschlussbericht).

03
Testen der digitalen operationalen Resilienz (Art. 24–27)

Regelmäßige Tests aller IKT-Systeme: Vulnerability Assessments, Penetrationstests. Für wesentliche Finanzinstitute: erweiterte bedrohungsgeleitete Penetrationstests (TLPT) alle 3 Jahre.

04
IKT-Drittparteienrisiko (Art. 28–44)

Das umfangreichste Kapitel von DORA. Finanzunternehmen müssen alle IKT-Dienstleister registrieren, bewerten und vertraglich absichern. Systemrelevante Anbieter werden von europäischen Aufsichtsbehörden direkt reguliert.

05
Informationsaustausch (Art. 45)

Finanzunternehmen sollen Informationen zu Cyberbedrohungen und Schwachstellen untereinander teilen — auf freiwilliger Basis, aber mit klarem regulatorischen Rahmen.

Digitale Infrastruktur — Resilienz und Systemsicherheit
DORA zielt auf die digitale Widerstandsfähigkeit des gesamten europäischen Finanzsystems — von der Großbank bis zum Fintech. Foto: Unsplash

Der unterschätzte Teil: IKT-Drittparteienrisiko

Kapitel V von DORA — das IKT-Drittparteienmanagement — ist für die meisten Finanzunternehmen die größte operative Herausforderung und wird oft unterschätzt.

Was konkret gefordert wird:

  • Vollständiges Register aller IKT-Dienstleister mit Klassifizierung nach Kritikalität
  • Vertragliche Mindestanforderungen in allen Verträgen mit IKT-Dienstleistern — DORA definiert, was diese Verträge enthalten müssen
  • Ausstiegsstrategien für kritische IKT-Dienstleister — der Beweis, dass das Unternehmen im Notfall auf alternative Anbieter wechseln kann
  • Konzentrations­risikobewertung — Abhängigkeiten von wenigen Anbietern müssen erkannt und dokumentiert sein
Cloud-Konzentrationsrisiko: Europäische Aufsichtsbehörden haben öffentlich erklärt, dass die Abhängigkeit des Finanzsektors von wenigen US-amerikanischen Cloud-Anbietern (AWS, Azure, GCP) ein systemisches Risiko darstellt. DORA zwingt Finanzunternehmen, dieses Risiko aktiv zu managen und zu dokumentieren.

Sanktionen: Was bei Verstößen droht

1%
des täglichen Weltumsatzes — täglich, für bis zu 6 Monate
5 Mio.
Euro Bußgeld für natürliche Personen (Leitungsorgane)
Direkt
BaFin kann Maßnahmen ohne Vorwarnung anordnen

Neben Geldbußen können Aufsichtsbehörden unter DORA auch:

  • Öffentliche Bekanntmachungen über Verstöße veröffentlichen
  • Zeitweise Verbote für Führungspersonen aussprechen
  • Die Zulassung zum Geschäftsbetrieb vorübergehend entziehen
  • Korrekturmaßnahmen mit konkreten Fristen anordnen

NIS2 und DORA: Wie verhalten sich die beiden Regelwerke zueinander?

Viele Finanzunternehmen fragen sich, ob sie NIS2 und DORA einhalten müssen. Die Antwort ist differenziert:

Aspekt NIS2 DORA
Zielgruppe Alle kritischen Sektoren Nur Finanzsektor
Rechtsform Richtlinie (nationale Umsetzung) Verordnung (direkt anwendbar)
Spezifität Allgemeine Cybersicherheitspflichten Detaillierte IKT-Resilienzanforderungen
Verhältnis DORA ist lex specialis — für Finanzunternehmen ersetzt DORA die NIS2-Anforderungen weitgehend, soweit DORA gleichwertige oder strengere Anforderungen stellt

Konkrete Handlungsschritte für Finanzunternehmen

01
IKT-Risikorahmen dokumentieren

Ein vollständiges IKT-Risikorahmenwerk ist die Grundlage für alle weiteren DORA-Anforderungen. Ohne dieses Dokument sind keine anderen Maßnahmen begründbar.

02
IKT-Drittparteienregister erstellen

Alle IKT-Dienstleister erfassen, nach Kritikalität klassifizieren und bestehende Verträge gegen die DORA-Mindestanforderungen prüfen.

03
Vorfallsmeldeprozess einrichten

Klare Klassifizierungskriterien, Meldeketten und Zuständigkeiten für IKT-Vorfälle — inklusive der Fristen für BaFin-Meldungen.

04
Resilienz-Tests planen

Jährliche Vulnerability Assessments und Penetrationstests für alle kritischen IKT-Systeme einplanen und dokumentieren.

Neurobird unterstützt DORA-Compliance: Unser Compliance-Betriebssystem deckt die zentralen DORA-Dokumentationspflichten ab — IKT-Risikoregister, Vorfallsmeldungen, Drittparteienmanagement und Audit-Reports.
→ Beta-Zugang anfragen
Über Neurobird

Neurobird ist ein Compliance-Betriebssystem für NIS2 und DORA — speziell für KMU und Finanzdienstleister in der DACH-Region. Keine Berater, keine Folien. Revisionssichere Dokumentation und Audit-Bereitschaft in einem System.

Beta-Zugang sichern →