Die Verordnung (EU) 2022/2554 (DORA) wird durch technische Standards der Europäischen Aufsichtsbehörden konkretisiert. Auf dieser Seite finden Sie alle zentralen RTS und ITS mit Rechtsstatus, Fristen und den konkreten Pflichten für Finanzunternehmen.
DORA legt die übergeordneten Anforderungen an die digitale operationale Resilienz fest. Die technischen Details werden über zwei Arten von Rechtsakten der Europäischen Kommission konkretisiert, die von den drei Europäischen Aufsichtsbehörden (ESAs: EBA, ESMA und EIOPA) im Rahmen des Gemeinsamen Ausschusses ausgearbeitet werden.
Beide Rechtsakte sind als EU-Verordnungen unmittelbar in allen Mitgliedstaaten verbindlich und bedürfen keiner nationalen Umsetzung. Sie sind für die betroffenen Finanzunternehmen seit dem Geltungsbeginn von DORA am 17. Januar 2025 verbindlich.
Die Delegierte Verordnung (EU) 2024/1774 konkretisiert den IKT-Risikomanagementrahmen nach Artikel 15 DORA sowie das vereinfachte Rahmenwerk nach Artikel 16 für kleinere Finanzunternehmen. Sie wurde im Juni 2024 angenommen und ist seit dem 17. Januar 2025 anwendbar.
Finanzunternehmen müssen ihren bestehenden IKT-Risikomanagementrahmen an diese detaillierten Anforderungen anpassen und die Wirksamkeit regelmäßig überprüfen.
Die Delegierte Verordnung (EU) 2024/1772 präzisiert die Kriterien zur Einstufung IKT-bezogener Vorfälle und erheblicher Cyberbedrohungen nach Artikel 18 DORA. Sie ist seit dem 17. Januar 2025 anwendbar.
Auf Basis dieser Kriterien müssen Finanzunternehmen ein Klassifizierungsverfahren etablieren, das eine konsistente und nachvollziehbare Bewertung jedes Vorfalls ermöglicht.
Das harmonisierte Meldewesen für schwerwiegende IKT-Vorfälle wird durch ein Paket aus RTS und ITS geregelt, das Anfang 2025 in Kraft trat (u. a. Delegierte Verordnung (EU) 2025/301 und der zugehörige ITS). Es konkretisiert Artikel 20 DORA.
Finanzunternehmen müssen interne Prozesse so aufsetzen, dass sie die kurzen Fristen einhalten und die geforderten Inhalte vollständig bereitstellen können.
Die Durchführungsverordnung (EU) 2024/2956 legt die Standardvorlagen für das Informationsregister über alle vertraglichen Vereinbarungen mit IKT-Drittdienstleistern nach Artikel 28 DORA fest. Sie ist seit Januar 2025 anwendbar.
Das Informationsregister ist ein zentrales Aufsichtsinstrument. Finanzunternehmen müssen es vollständig, aktuell und im vorgeschriebenen Format führen und auf Anforderung übermitteln.
Der RTS zur Unterauftragsvergabe (Subcontracting RTS) konkretisiert die Anforderungen nach Artikel 30 Absatz 5 DORA an die Weitervergabe von IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen. Nach einer früheren Ablehnung des ersten Entwurfs wurde der überarbeitete Standard 2025 angenommen.
Finanzunternehmen müssen sicherstellen, dass auch nachgelagerte Dienstleister die DORA-Anforderungen erfüllen und das Konzentrationsrisiko überwacht wird.
Der RTS zu TLPT (Threat-Led Penetration Testing) konkretisiert die Anforderungen an erweiterte Tests nach Artikel 26 DORA für Finanzunternehmen, die von der Aufsicht zur Durchführung verpflichtet werden. Er ist seit 2025 anwendbar.
Betroffene Finanzunternehmen müssen mindestens alle drei Jahre einen TLPT durchführen lassen und die kritischen Funktionen einbeziehen, die der bedrohungsgeleiteten Testung unterliegen.
Der überwiegende Teil der RTS und ITS ist mit dem Geltungsbeginn von DORA am 17. Januar 2025 wirksam geworden und damit unmittelbar verbindlich. Einzelne Standards, etwa der Subcontracting-RTS, folgten im Verlauf des Jahres 2025 nach Abschluss des Annahmeverfahrens.
Wir empfehlen eine strukturierte Gap-Analyse je Standard, um offene Anforderungen zu identifizieren und priorisiert abzuarbeiten.
Jetzt Informationsregister DORA-konform aufbauen →
RTS (technische Regulierungsstandards) konkretisieren die materiellen inhaltlichen Anforderungen von DORA und werden als delegierte Verordnungen erlassen. ITS (technische Durchführungsstandards) legen einheitliche Formate, Vorlagen und Verfahren fest, etwa für das Informationsregister, und werden als Durchführungsverordnungen erlassen. Beide sind unmittelbar in allen EU-Mitgliedstaaten verbindlich.
Der überwiegende Teil der technischen Standards ist mit dem Geltungsbeginn von DORA am 17. Januar 2025 wirksam und seitdem verbindlich. Einzelne Standards wie der RTS zur Unterauftragsvergabe wurden nach einem überarbeiteten Verfahren im Verlauf des Jahres 2025 angenommen.
Zentral sind der RTS zum IKT-Risikomanagementrahmen (2024/1774), der RTS zur Klassifizierung schwerwiegender Vorfälle (2024/1772), das Meldewesen-Paket (RTS/ITS 2025/301) sowie der ITS zum Informationsregister (2024/2956). Hinzu kommen je nach Profil der Subcontracting-RTS und der TLPT-RTS für testpflichtige Unternehmen.
Die Durchführungsverordnung (EU) 2024/2956 legt verbindliche Standardvorlagen und ein einheitliches Datenformat fest, mit denen Finanzunternehmen alle vertraglichen Vereinbarungen mit IKT-Drittdienstleistern erfassen. Verträge, die kritische oder wichtige Funktionen unterstützen, sowie Unterauftragsverhältnisse sind gesondert auszuweisen und der Aufsicht auf Anforderung zu übermitteln.
Für schwerwiegende IKT-Vorfälle gilt grundsätzlich eine Erstmeldung innerhalb von vier Stunden nach Klassifizierung (spätestens 24 Stunden nach Kenntnisnahme), eine Zwischenmeldung innerhalb von 72 Stunden sowie ein Abschlussbericht innerhalb eines Monats. Die genauen Inhalte und Vorlagen ergeben sich aus dem RTS/ITS-Paket 2025/301.
Bedrohungsgeleitete Penetrationstests (TLPT) müssen Finanzunternehmen durchführen, die von der zuständigen Behörde anhand ihrer Bedeutung und ihres Risikoprofils dazu bestimmt werden. Betroffene Unternehmen müssen mindestens alle drei Jahre einen TLPT durchführen, der sich am Rahmen TIBER-EU orientiert und die kritischen Funktionen einbezieht.
Diese Seite ist eine fachliche Hilfestellung, keine Rechtsberatung. · English version