regulation-dora.eu ENDEFRITES

DORA für Banken: Pflichten, Fristen und Umsetzung für Kreditinstitute

Kreditinstitute fallen vollständig in den Anwendungsbereich der Verordnung (EU) 2022/2554 (DORA). Seit dem 17. Januar 2025 müssen Banken die digitale operationale Resilienz über alle fünf Säulen nachweisen – vom IKT-Risikomanagement bis zur Aufsicht über kritische Drittdienstleister. Diese Seite fasst zusammen, was für Banken konkret gilt.

Gilt DORA für Banken?

Ja. Kreditinstitute zählen ausdrücklich zu den in Artikel 2 DORA aufgeführten Finanzunternehmen und unterliegen der Verordnung in vollem Umfang. Anders als bei manchen kleineren Finanzunternehmen gibt es für Banken keine allgemeine Ausnahme; lediglich das Prinzip der Proportionalität erlaubt es, den Umfang der Maßnahmen an Größe, Risikoprofil sowie Art und Komplexität der Dienstleistungen anzupassen.

Zuständige Aufsichtsbehörde in Deutschland ist die BaFin (in Zusammenarbeit mit der Deutschen Bundesbank); auf europäischer Ebene wirken die EBA und die EZB im Rahmen des einheitlichen Aufsichtsmechanismus mit.

IKT-Risikomanagement (Säule 1)

Banken müssen einen Rahmen für das IKT-Risikomanagement einrichten, der Teil des Gesamtrahmens für das Risikomanagement ist. Kernpflichten:

Meldung IKT-bezogener Vorfälle (Säule 3)

Banken müssen schwerwiegende IKT-Vorfälle klassifizieren und der zuständigen Behörde melden. Die technischen Standards sehen einen dreistufigen Meldeprozess vor:

Zusätzlich sind erhebliche zahlungsbezogene Betriebs- oder Sicherheitsvorfälle zu berücksichtigen. Eine korrekte Klassifizierung anhand der RTS-Kriterien (betroffene Kunden, Datenverlust, Dauer, geografische Ausbreitung, wirtschaftliche Auswirkungen) ist entscheidend.

Threat-Led Penetration Testing – TLPT (Säule 3)

Bedeutende Kreditinstitute, die von der Aufsicht als geeignet identifiziert werden, müssen bedrohungsgeleitete Penetrationstests (TLPT) durchführen – in der Regel alle drei Jahre. Diese lehnen sich an das Rahmenwerk TIBER-EU (in Deutschland TIBER-DE) an und umfassen die kritischen oder wichtigen Funktionen, auch wenn diese von Drittdienstleistern erbracht werden. Reguläre Resilienztests (Schwachstellenscans, Szenariotests) gelten unabhängig davon für alle Banken.

Management des IKT-Drittparteienrisikos (Säule 4)

Ein großer Teil der Bankinfrastruktur wird ausgelagert (Cloud, Kernbankensysteme, Zahlungsdienstleister). DORA verlangt daher:

Als kritisch eingestufte IKT-Drittdienstleister (CTPP) unterliegen einer direkten europäischen Überwachung durch eine federführende Aufsichtsbehörde.

Fristen und Sanktionen

DORA gilt seit dem 17. Januar 2025. Die ergänzenden RTS und ITS wurden in mehreren Wellen zwischen 2024 und 2026 wirksam.

Bei den Sanktionen gilt eine verbreitete Fehlvorstellung: DORA sieht für Finanzunternehmen keinen EU-weiten Bußgeldrahmen in Prozent des Umsatzes vor (anders als etwa die DSGVO). Artikel 50 überträgt die verwaltungsrechtlichen Sanktionen den Mitgliedstaaten – in Deutschland setzt die BaFin den Rahmen. Der einzige umsatzbezogene Prozentsatz in DORA betrifft kritische Drittdienstleister: ein Zwangsgeld von bis zu 1 % des durchschnittlichen weltweiten Tagesumsatzes (Artikel 35), nicht die Banken selbst.

Informationsregister DORA-konform aufbauen →

Häufige Fragen

Gilt DORA für alle Banken?

Ja. Kreditinstitute fallen als Finanzunternehmen nach Artikel 2 vollständig unter DORA. Es gibt keine generelle Ausnahme für Banken; das Proportionalitätsprinzip erlaubt lediglich, den Umfang der Maßnahmen an Größe und Risikoprofil anzupassen.

Seit wann gilt DORA für Kreditinstitute?

DORA gilt unmittelbar seit dem 17. Januar 2025. Die ergänzenden technischen Standards (RTS und ITS) wurden in mehreren Wellen zwischen 2024 und 2026 wirksam.

Welche Fristen gelten für die Meldung von IKT-Vorfällen?

Für schwerwiegende IKT-Vorfälle gilt ein dreistufiger Prozess: eine Erstmeldung kurz nach der Einstufung als schwerwiegend, ein Zwischenbericht binnen 72 Stunden und ein Abschlussbericht binnen eines Monats.

Müssen Banken TLPT (bedrohungsgeleitete Penetrationstests) durchführen?

Nur bedeutende, von der Aufsicht identifizierte Kreditinstitute müssen TLPT durchführen – in der Regel alle drei Jahre, angelehnt an TIBER-EU/TIBER-DE. Alle Banken unterliegen jedoch den regulären Resilienztests wie Schwachstellenscans und Szenariotests.

Welche Sanktionen drohen Banken bei DORA-Verstößen?

DORA sieht für Finanzunternehmen keinen EU-weiten prozentualen Bußgeldrahmen vor. Die verwaltungsrechtlichen Sanktionen legen die Mitgliedstaaten fest; in Deutschland ist dies die BaFin. Der einzige umsatzbezogene Prozentsatz (bis 1 % des durchschnittlichen weltweiten Tagesumsatzes, Artikel 35) betrifft ausschließlich kritische Drittdienstleister.

Müssen Banken ein Informationsregister führen?

Ja. Alle Finanzunternehmen, einschließlich Banken, müssen ein Register aller vertraglichen Vereinbarungen über IKT-Dienstleistungen führen und pflegen. Das Format ist im ITS (EU) 2024/2956 festgelegt und wird der Aufsicht auf Anforderung übermittelt.

Diese Seite ist eine fachliche Hilfestellung, keine Rechtsberatung. · English version