Was ist DORA? Verordnung (EU) 2022/2554 erklärt

Was ist DORA? Definition und Rechtsgrundlage

Der Digital Operational Resilience Act (DORA) ist die Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates über die digitale operationale Resilienz im Finanzsektor. Als EU-Verordnung gilt DORA unmittelbar in allen Mitgliedstaaten und bedarf keiner nationalen Umsetzung.

Ziel von DORA ist es, einen einheitlichen und harmonisierten Rahmen zu schaffen, der gewährleistet, dass Finanzunternehmen Störungen und Bedrohungen im Bereich der Informations- und Kommunikationstechnologie (IKT) standhalten, darauf reagieren und sich davon erholen können. Bislang fragmentierte nationale Vorgaben werden so durch ein konsistentes Regelwerk ersetzt.

Konkretisiert wird DORA durch zahlreiche delegierte Rechtsakte – die technischen Regulierungs- und Durchführungsstandards (RTS und ITS), die von den Europäischen Aufsichtsbehörden (ESAs) erarbeitet wurden.

Für wen gilt DORA? Geltungsbereich nach Artikel 2

Der Anwendungsbereich von DORA ist in Artikel 2 der Verordnung festgelegt und außergewöhnlich breit. Er erfasst nahezu den gesamten EU-Finanzsektor, darunter:

Kreditinstitute, Zahlungsinstitute und E-Geld-Institute
Wertpapierfirmen sowie Anbieter von Krypto-Dienstleistungen
Versicherungs- und Rückversicherungsunternehmen sowie Versicherungsvermittler
Verwalter alternativer Investmentfonds (AIFM) und Verwaltungsgesellschaften (OGAW)
Handelsplätze, zentrale Gegenparteien und Zentralverwahrer
IKT-Drittdienstleister, einschließlich kritischer Anbieter (CTPP)

Für Kleinst- und Kleinunternehmen sieht DORA ein vereinfachtes IKT-Risikomanagement nach dem Grundsatz der Proportionalität vor. Auch in diesem Fall bleiben die Kernpflichten jedoch bestehen.

Die fünf Säulen von DORA

DORA ruht auf fünf zentralen Säulen, die zusammen den Rahmen für die digitale operationale Resilienz bilden:

1. IKT-Risikomanagement: Aufbau eines umfassenden, dokumentierten Rahmens unter Verantwortung des Leitungsorgans (Art. 5–16).
2. Meldung schwerwiegender IKT-Vorfälle: Klassifizierung und fristgerechte Meldung schwerwiegender IKT-Vorfälle an die zuständige Behörde (Art. 17–23).
3. Testen der digitalen operationalen Resilienz: Regelmäßige Tests, einschließlich bedrohungsorientierter Penetrationstests (TLPT) für bedeutende Unternehmen (Art. 24–27).
4. Management des IKT-Drittparteienrisikos: Steuerung und Überwachung ausgelagerter IKT-Dienste sowie ein Informationsregister aller vertraglichen Vereinbarungen (Art. 28–44).
5. Informationsaustausch: Freiwilliger Austausch über Cyberbedrohungen und Erkenntnisse zwischen Finanzunternehmen (Art. 45).

Wichtige Fristen und Termine

Der zeitliche Rahmen von DORA gliedert sich in mehrere Meilensteine:

16. Januar 2023: Inkrafttreten der Verordnung (EU) 2022/2554.
17. Januar 2025: DORA ist seit diesem Tag unmittelbar anwendbar – alle erfassten Finanzunternehmen müssen die Anforderungen vollständig erfüllen.
2025: Erstmalige Vorlage des Informationsregisters an die zuständigen Behörden über die nationalen Aufsichtsbehörden.
Laufend: Fortschreibung der Vorfallsmeldungen, regelmäßige Resilienztests sowie wiederkehrende TLPT für bedeutende Unternehmen.

Da die Anwendungsfrist bereits verstrichen ist, liegt der Fokus 2026 auf der nachhaltigen Einhaltung, der Nachweisführung gegenüber der Aufsicht und der Behebung etwaiger Lücken.

Aufsicht und Durchsetzung

Die Aufsicht über DORA erfolgt auf zwei Ebenen. Auf nationaler Ebene überwachen die zuständigen Behörden der Mitgliedstaaten (in Deutschland die BaFin) die Einhaltung durch die Finanzunternehmen.

Auf europäischer Ebene führen die Europäischen Aufsichtsbehörden (ESAs) – EBA, ESMA und EIOPA – ein gemeinsames Überwachungsrahmenwerk für kritische IKT-Drittdienstleister (CTPP). Diese Anbieter werden direkt durch einen federführenden Überwacher beaufsichtigt, der Empfehlungen aussprechen und Auskünfte verlangen kann.

Die Behörden verfügen über weitreichende Befugnisse, darunter Vor-Ort-Prüfungen, Anforderung von Informationen und die Anordnung von Abhilfemaßnahmen.

Sanktionen bei Verstößen

DORA überlässt die Festlegung der konkreten Sanktionen weitgehend den Mitgliedstaaten, verlangt jedoch, dass diese wirksam, verhältnismäßig und abschreckend sind. Die zuständigen Behörden können unter anderem:

verwaltungsrechtliche Bußgelder verhängen,
die Einstellung von Verhaltensweisen anordnen, die gegen DORA verstoßen,
öffentliche Bekanntmachungen über Verstöße veröffentlichen (Naming and Shaming).

Für kritische IKT-Drittdienstleister sieht DORA auf EU-Ebene zudem Zwangsgelder von bis zu 1 % des durchschnittlichen weltweiten Tagesumsatzes vor, die für maximal sechs Monate täglich erhoben werden können. Hinzu kommen erhebliche Reputations- und aufsichtsrechtliche Folgen.

Wie Sie mit der DORA-Umsetzung beginnen

Ein strukturierter Einstieg in die DORA-Konformität umfasst typischerweise folgende Schritte:

Gap-Analyse: Bewerten Sie Ihren aktuellen IKT-Reifegrad gegenüber den Anforderungen der fünf Säulen.
Governance: Verankern Sie die Verantwortung beim Leitungsorgan und definieren Sie klare Rollen.
Informationsregister: Erstellen und pflegen Sie Ihr Informationsregister für alle IKT-Drittparteienvereinbarungen.
Vorfallsprozesse: Etablieren Sie Verfahren zur Klassifizierung und Meldung schwerwiegender IKT-Vorfälle.
Teststrategie: Planen Sie regelmäßige Resilienztests und prüfen Sie die TLPT-Pflicht.
Vertragsmanagement: Passen Sie Verträge mit IKT-Dienstleistern an die technischen Standards (RTS) an.

Jetzt mit dem Informationsregister starten →

Häufige Fragen

Was bedeutet DORA?

DORA steht für Digital Operational Resilience Act und bezeichnet die Verordnung (EU) 2022/2554. Sie schafft einen einheitlichen EU-Rahmen für die digitale operationale Resilienz im Finanzsektor. Im Mittelpunkt steht die Widerstandsfähigkeit gegenüber IKT-Risiken.

Seit wann gilt DORA?

DORA ist am 16. Januar 2023 in Kraft getreten und seit dem 17. Januar 2025 unmittelbar anwendbar. Seit diesem Stichtag müssen alle erfassten Finanzunternehmen die Anforderungen vollständig einhalten. 2026 liegt der Schwerpunkt auf der nachhaltigen Einhaltung und dem Nachweis gegenüber der Aufsicht.

Für welche Unternehmen gilt DORA?

Der Geltungsbereich nach Artikel 2 umfasst nahezu den gesamten EU-Finanzsektor, darunter Kreditinstitute, Zahlungs- und E-Geld-Institute, Wertpapierfirmen, Versicherer, Fondsverwalter sowie Anbieter von Krypto-Dienstleistungen. Auch IKT-Drittdienstleister fallen unter DORA. Für Kleinst- und Kleinunternehmen gelten vereinfachte Anforderungen.

Was sind die fünf Säulen von DORA?

Die fünf Säulen sind: IKT-Risikomanagement, Meldung schwerwiegender IKT-Vorfälle, Testen der digitalen operationalen Resilienz, Management des IKT-Drittparteienrisikos sowie der freiwillige Informationsaustausch. Gemeinsam bilden sie den vollständigen Rahmen für die digitale Resilienz.

Welche Sanktionen drohen bei Verstößen gegen DORA?

Die Mitgliedstaaten müssen wirksame, verhältnismäßige und abschreckende Sanktionen vorsehen, darunter Bußgelder, Anordnungen zur Einstellung von Verstößen und öffentliche Bekanntmachungen. Für kritische IKT-Drittdienstleister sieht DORA auf EU-Ebene Zwangsgelder von bis zu 1 % des durchschnittlichen weltweiten Tagesumsatzes vor.

Was ist das Informationsregister unter DORA?

Das Informationsregister ist ein verpflichtendes Verzeichnis aller vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistungen durch Drittdienstleister. Finanzunternehmen müssen es führen und den zuständigen Behörden auf Anfrage vorlegen. Es ist ein zentrales Element des Managements des IKT-Drittparteienrisikos.

Diese Seite ist eine fachliche Hilfestellung, keine Rechtsberatung. · English version

Was ist DORA? Der Digital Operational Resilience Act im Überblick