DORA – Was Finanzunternehmen und ihre
IT-Dienstleister jetzt wissen müssen
Was ist DORA? (Kurzdefinition)
DORA steht für "Digital Operational Resilience Act" – die EU-Verordnung zur digitalen operativen Widerstandsfähigkeit im Finanzsektor. Sie trat am 17. Januar 2025 EU-weit in Kraft und gilt seitdem unmittelbar in allen Mitgliedstaaten, ohne dass eine nationale Umsetzung erforderlich war.
Das Ziel: Finanzunternehmen sollen IKT-Störungen (IT-Ausfälle, Cyberangriffe, Systemfehler) nicht nur verhindern, sondern auch standhalten und sich schnell davon erholen können. DORA macht digitale Resilienz zur gesetzlichen Pflicht – und bezieht erstmals auch IT-Drittdienstleister direkt in die Regulierung ein.
Der wesentliche Unterschied zu anderen EU-Regelwerken:
DORA ist eine Verordnung, keine Richtlinie. Das bedeutet: Sie gilt unmittelbar, einheitlich und ohne nationalen Umsetzungsspielraum in allen 27 EU-Staaten. Es gibt keine deutschen "Sonderregeln".
Bin ich betroffen? (Betroffenheits-Check)
DORA kennt – anders als NIS2 – keine Größenschwelle. Betroffen sind alle Finanzentitäten, die in der EU tätig sind, unabhängig von Mitarbeiterzahl oder Umsatz.
Betroffene Einrichtungen und Beispiele
-
Kreditinstitute: Banken, Sparkassen, Genossenschaftsbanken
-
Zahlungsdienstleister: PSP, E-Geld-Institute, Zahlungsabwickler
-
Wertpapierfirmen: Broker, Handelsplatze, Fondsverwalter (AIF/OGAW)
-
Versicherungsunternehmen: Lebens- und Sachversicherer, Rueckversicherer
-
Kryptoasset-Dienstleister: CASP nach MiCA-Regulierung
-
Ratingagenturen & Datenanbieter: Bonitätsprüfer, Referenzdatenprovider
-
Kritische IKT-Drittdienstleister: Cloud-Anbieter, Rechenzentren, Kernbanksoftware
Proportionalitätsprinzip
DORA sieht vor, dass Maßnahmen risikoadäquat und verhältnismäßig sein müssen. Kleine Finanzunternehmen können vereinfachte IKT-Risikomanagement-Rahmen anwenden (Art. 16 DORA). Die grundlegenden Pflichten – Vorfallmeldung, Drittparteimanagement, Resilienztests – bestehen jedoch für alle.
Sonderfall: IKT-Drittdienstleister (z.B. Cloud-Anbieter, Softwarehäuser)
Wer kritische IKT-Dienste für Finanzunternehmen erbringt, wird von den ESA direkt als 'kritischer Drittanbieter" eingestuft und unterliegt dann eigener DORA-Aufsicht. Auch nicht-kritische Anbieter müssen DORA-konforme Verträge ermöglichen.
Die fünf DORA-Säulenpflichten
Das dreistufige DORA-Meldeverfahren
Bei erheblichen IKT-bezogenen Vorfällen gilt eine verbindliche Meldestruktur:
Klassifikation eines "erheblichen Vorfalls":
Ein IKT-Vorfall gilt als erheblich, wenn er Schwellenwerte in Bezug auf Kundenzahl, Transaktionsvolumen, Dauer des Ausfalls oder Datenverlust überschreitet (genaue Schwellenwerte durch technische Regulierungsstandards der ESA definiert).
IKT-Drittpartei-Risikomanagement: Was muss ich bei Lieferanten beachten?
DORA stellt klare Mindestanforderungen an alle Verträge mit IKT-Drittdienstleistern (Art. 30 DORA). Diese gelten unabhängig davon, ob der Anbieter selbst als "kritisch" eingestuft ist.
Vertragsanforderungen und deren Bedeutung in der Praxis
-
Klare Leistungsbeschreibung: SLAs, Verfügbarkeiten, Datenschutz explizit dokumentiert
-
Audit- und Inspektionsrechte: Finanzunternehmen muss Anbieter prüfen dürfen (direkt oder über Dritte)
-
Exit-Strategie: Vertraglich geregelte Kündigungsmöglichkeiten ohne Datenverlust oder Systemausfall
-
Sub-Outsourcing-Transparenz: Anbieter muss Weitervergabe von Leistungen offenlegen und genehmigen lassen
-
Standort der Daten und Systeme: Verarbeitung, Speicherung und Backup-Standorte müssen bekannt sein
-
Business-Continuity-Unterstützung: Anbieter muss Notfallpläne und -tests des Finanzunternehmens unterstützen
Praktischer Hinweis:
Bestehende Verträge mit Cloud-Anbietern, Kernbanksoftware-Herstellern oder Rechenzentrumsdienstleistern müssen auf DORA-Konformität geprüft und bei Bedarf nachverhandelt werden. Anbieter, die keine DORA-konformen Verträge ermöglichen, sind ein Compliance-Risiko.
Was sind Resilienztests – und welche sind Pflicht?
DORA unterscheidet zwischen zwei Teststufen:
Ob Ihr Unternehmen TLPT-pflichtig ist, wird von den zuständigen ESA (EBA, EIOPA, ESMA) festgelegt. Für die große Mehrheit der Finanzunternehmen reichen die grundlegenden Tests.
Die 6-Schritte-Roadmap zur DORA-Compliance
Sanktionen und Haftung bei DORA-Verstoß
-
Bußgelder (Finanzentitäten): Festgelegt durch nationale Aufsicht (BaFin) – je nach Schwere bis mehrstellige Millionenbeträge
-
Bußgelder (kritische IKT-Drittanbieter): ESA kann direkt bis zu 1% des weltweiten Tagesumsatzes verhangen (max. 6 Monate lang)
-
Persönliche Haftung: Vorstands- und Aufsichtsratsmitglieder können persönlich haftbar gemacht werden
-
Betriebseinschränkungen: BaFin kann Betrieb bestimmter Dienste einschränken oder untersagen
-
Veröffentlichung: Behörden können Verstöße öffentlich bekanntmachen (Naming and Shaming)
Wichtiger Hinweis zur Managementhaftung
DORA schreibt explizit vor, dass das Leitungsorgan (Vorstand, GF) die IKT-Risikostrategie genehmigen, die Umsetzung überwachen und regelmäßig an Schulungen teilnehmen muss (Art. 5 DORA). Cybersicherheit ist damit Vorstandspflicht – nicht delegierbar.
Häufig gestellte Fragen (FAQ)
Gilt DORA auch für kleine Regionalbanken und Kreditgenossenschaften?
Ja. DORA kennt keine Größenschwelle für Finanzentitäten. Allerdings dürfen kleine und nicht-komplexe Institute ein vereinfachtes IKT-Risikomanagement-Rahmenwerk anwenden (Art. 16 DORA). Das reduziert den Aufwand, hebt aber die grundlegenden Pflichten nicht auf.
Wir nutzen einen deutschen Cloud-Anbieter. Gilt DORA trotzdem?
Ja. DORA gilt für alle IKT-Dienstleister – unabhängig vom Sitzland. Entscheidend ist, dass der Cloud-Anbieter Dienste für ein EU-reguliertes Finanzunternehmen erbringt. Der Vertrag mit dem Cloud-Anbieter muss die DORA-Mindestanforderungen gemäß Art. 30 erfüllen.
Wir sind Softwareanbieter für Banken. Fallen wir unter DORA?
Möglicherweise direkt. Wenn Ihre Software als kritisch für den Betrieb des Finanzunternehmens eingestuft wird, können Sie als 'kritischer IKT-Drittdienstleister' von der ESA benannt werden und unterliegen dann direkter DORA-Aufsicht. In jedem Fall müssen Sie Ihren Bankkunden DORA-konforme Vertragsklauseln ermöglichen.
Was ist der Unterschied zwischen DORA und NIS2 für mein Finanzunternehmen?
DORA ist Lex specialis – es geht NIS2 in den Überlappungsbereichen vor. Wer DORA vollständig erfüllt, gilt damit als NIS2-konform für den Finanzbereich. DORA geht jedoch in einigen Punkten deutlich weiter als NIS2: verpflichtende Resilienztests, explizite Drittpartei-Regulierung und direktere Managementhaftung.
Was ist ein TLPT – und muss meine Bank das machen?
TLPT (Threat-Led Penetration Test) ist ein realitätsnaher Angriffssimulationstest, bei dem zertifizierte externe Red-Team-Anbieter echte Angriffsmuster auf Live-Systeme simulieren. Verpflichtend ist er nur fuer systemrelevante Großinstitute, die von den ESA explizit benannt werden. Die große Mehrheit der Finanzunternehmen erfüllt die Testpflicht mit grundlegenden jährlichen Resilienztests.
Unsere bestehenden Lieferantenverträge sind aus 2022. Müssen wir die anpassen?
Ja, in der Regel. DORA setzt klare Mindestanforderungen an IKT-Lieferantenverträge (Art. 30), die ältere Verträge häufig nicht erfüllen. Insbesondere Prüfe- und Auditrechte, Exit-Strategien und Sub-Outsourcing-Transparenz sind oft lückenhaft. Eine strukturierte Vertragsprüfung ist ein zentraler erster Schritt.
Wo melde ich einen DORA-relevanten Vorfall?
In Deutschland bei der BaFin. Die BaFin hat ein DORA-Meldeportal eingerichtet. Technische Regulierungsstandards (RTS) der ESA konkretisieren die genauen Schwellenwerte und Meldeformate. TrustHub IT kann Sie bei der Einrichtung eines internen Meldeprozesses unterstützen.
Was passiert, wenn wir erst spät mit der DORA-Umsetzung beginnen?
DORA gilt seit Januar 2025 ohne Übergangsfrist. Jedes Finanzunternehmen, das noch keinen IKT-Risikorahmen hat, keine DORA-konformen Lieferantenverträge und keinen Vorfallmeldeprozess, befindet sich faktisch in einer Compliance-Luecke. Bußgelder, Betriebseinschränkungen und Reputationsschaden durch BaFin-Veröffentlichungen sind reale Risiken.