Was ist die DORA-Verordnung?
DORA steht für Digital Operational Resilience Act, auf Deutsch das Gesetz zur digitalen operationalen Resilienz. Es handelt sich um eine EU-Verordnung, die einen einheitlichen Rahmen für das Management von IKT-Risiken (Informations- und Kommunikationstechnologie) im gesamten europäischen Finanzsektor schafft.
Anders als eine Richtlinie gilt eine EU-Verordnung unmittelbar in allen Mitgliedstaaten, ohne dass sie in nationales Recht umgesetzt werden muss. DORA ist seit dem 17. Januar 2025 verbindlich anzuwenden. Ziel ist es, dass Finanzunternehmen schwerwiegende Betriebsstörungen und Cyberangriffe überstehen, ohne dass die Stabilität des Finanzsystems gefährdet wird.
Welche Finanzunternehmen sind betroffen?
DORA hat einen sehr breiten Anwendungsbereich. Erfasst werden rund 20 verschiedene Arten von Finanzunternehmen. Dazu zählen unter anderem:
- Kreditinstitute (Banken) und Zahlungsdienstleister
- Versicherungs- und Rückversicherungsunternehmen
- Wertpapierfirmen und Handelsplätze
- Verwalter alternativer Investmentfonds und Fondsgesellschaften
- Anbieter von Krypto-Dienstleistungen
- Ratingagenturen und Datenbereitstellungsdienste
Eine Besonderheit: DORA erfasst auch kritische IKT-Drittdienstleister, etwa große Cloud-Anbieter. Diese werden erstmals direkt von den europäischen Aufsichtsbehörden beaufsichtigt — ein Novum in der Finanzregulierung.
Die fünf Kernsäulen von DORA
DORA ruht auf fünf inhaltlichen Säulen, die zusammen ein umfassendes Resilienz-Framework bilden.
| Säule | Inhalt |
|---|---|
| 1. IKT-Risikomanagement | Aufbau eines umfassenden Rahmens zur Identifikation, zum Schutz, zur Erkennung und zur Wiederherstellung bei IKT-Risiken, verantwortet vom Leitungsorgan |
| 2. Vorfallsmanagement & Meldung | Klassifizierung und Meldung schwerwiegender IKT-bezogener Vorfälle an die zuständige Behörde nach harmonisierten Vorgaben |
| 3. Resilience Testing | Regelmäßige Tests der digitalen Resilienz, einschließlich bedrohungsgeleiteter Penetrationstests (TLPT) für große Institute |
| 4. Third-Party Risk | Management des Risikos durch IKT-Drittdienstleister, inklusive verbindlicher Vertragsklauseln und einem Informationsregister |
| 5. Information Sharing | Freiwilliger Austausch von Informationen über Cyberbedrohungen zwischen Finanzunternehmen |
Säule 1: IKT-Risikomanagement
Im Zentrum steht ein robustes IKT-Risikomanagement. Finanzunternehmen müssen ihre IKT-Systeme dokumentieren, Risiken kontinuierlich bewerten und Schutzmaßnahmen ergreifen. Die Verantwortung liegt ausdrücklich beim Leitungsorgan, das die Strategie genehmigt und überwacht.
Säule 2: Vorfallsmanagement und Meldung
Schwerwiegende IKT-Vorfälle müssen nach einem einheitlichen Schema klassifiziert und der Aufsichtsbehörde gemeldet werden. Dies umfasst eine Erstmeldung, eine Zwischenmeldung und einen Abschlussbericht, ähnlich dem aus NIS2 bekannten Modell.
Säule 3: Testen der Resilienz
Regelmäßige Tests sind Pflicht. Größere Institute müssen alle drei Jahre bedrohungsgeleitete Penetrationstests (Threat-Led Penetration Testing, TLPT) durchführen, die reale Angriffsszenarien simulieren.
Säule 4: Drittparteienrisiko
DORA stellt strenge Anforderungen an die Auslagerung an IKT-Dienstleister. Verträge müssen bestimmte Mindestinhalte aufweisen, und Unternehmen müssen ein Register aller Auslagerungen führen. Kritische Anbieter unterliegen direkter Aufsicht.
Säule 5: Informationsaustausch
Schließlich fördert DORA den freiwilligen Austausch von Bedrohungsinformationen zwischen Finanzunternehmen, um die kollektive Abwehrfähigkeit der Branche zu stärken.
Die BaFin als Aufsichtsbehörde
In Deutschland ist die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die zuständige Aufsichtsbehörde für DORA. Sie überwacht die Einhaltung der Anforderungen durch die beaufsichtigten Finanzunternehmen, nimmt Vorfallsmeldungen entgegen und arbeitet eng mit den europäischen Aufsichtsbehörden EBA, EIOPA und ESMA zusammen.
Die BaFin hatte bereits zuvor mit den Bankaufsichtlichen Anforderungen an die IT (BAIT) und MaRisk einen IT-Aufsichtsrahmen etabliert. DORA löst diese teilweise ab und harmonisiert die Anforderungen europaweit. Bei Verstößen kann die BaFin Maßnahmen anordnen und Sanktionen verhängen.
DORA und NIS2: Wie hängen sie zusammen?
DORA und die NIS2-Richtlinie verfolgen ein ähnliches Ziel — die Stärkung der Cyberresilienz — unterscheiden sich aber im Anwendungsbereich. NIS2 ist branchenübergreifend, während DORA speziell auf den Finanzsektor zugeschnitten ist. Als spezielleres Gesetz (lex specialis) hat DORA für Finanzunternehmen Vorrang vor NIS2.
Für Finanzunternehmen bedeutet das: Sie richten ihr IKT-Risikomanagement primär an DORA aus. Wer mehr über die branchenübergreifende Regulierung wissen will, findet Details in unserem Artikel zur NIS2-Richtlinie in Deutschland.
Auswirkungen auf IT-, Risk- und Compliance-Rollen
DORA hat die Nachfrage nach Fachkräften im Finanzsektor deutlich erhöht. Banken und Versicherungen suchen verstärkt nach IKT-Risikomanagern, Spezialisten für Third-Party Risk, IT-Auditoren und CISOs mit Finanzbranchen-Erfahrung. Die Umsetzung der fünf Säulen erfordert interdisziplinäre Teams aus IT, Recht und Compliance.
Diese Entwicklung wirkt sich auch auf die Vergütung aus: Da regulierte Finanzunternehmen besonders hohe Anforderungen stellen, gehören sie zu den bestzahlenden Arbeitgebern. Mehr dazu in unserem Beitrag zum CISO-Gehalt in Deutschland.
Fristen und nächste Schritte
DORA gilt seit dem 17. Januar 2025 vollumfänglich. Finanzunternehmen, die noch Lücken haben, sollten umgehend handeln: Gap-Analyse durchführen, das IKT-Risikomanagement an DORA ausrichten, das Auslagerungsregister vervollständigen, Meldeprozesse etablieren und ein Testprogramm aufsetzen. Die technischen Regulierungsstandards (RTS und ITS) konkretisieren die Anforderungen weiter und sollten laufend beobachtet werden.
Verstärken Sie Ihr Team für DORA-Compliance
DORA treibt die Nachfrage nach IKT-Risk-, Audit- und Security-Fachkräften im Finanzsektor. Finden Sie qualifizierte Kandidaten oder Ihre nächste Position.
Risk-Management-Stellen ansehen