DORA Compliance: Leitfaden zum Digital Operational Resilience Act
Alles, was Finanzunternehmen über DORA Compliance wissen müssen — IKT-Risikomanagement, Vorfallsmeldung, Resilienz-Tests und Drittparteienrisiko nach der DORA-Verordnung (EU) 2022/2554.
DORA Compliance: Leitfaden zum Digital Operational Resilience Act
Der Digital Operational Resilience Act (DORA) — Verordnung (EU) 2022/2554 — ist das EU-Rahmenwerk für IKT-Risikomanagement im Finanzsektor. Er gilt seit dem 17. Januar 2025 und betrifft praktisch jedes regulierte Finanzunternehmen in der Europäischen Union.
Anders als NIS2 ist DORA eine Verordnung, keine Richtlinie. Er gilt direkt in allen Mitgliedstaaten ohne nationale Umsetzung. Wenn Sie im Finanzsektor tätig sind, ist DORA Compliance nicht optional.
Was ist DORA?
DORA schafft einen umfassenden Rahmen, damit Finanzunternehmen IKT-bezogene Störungen und Bedrohungen standhalten, darauf reagieren und sich davon erholen können. Der Rechtsakt umfasst fünf Säulen:
- IKT-Risikomanagement — Governance-Rahmenwerk für IKT-Risiken
- IKT-bezogene Vorfallsmeldung — Standardisierte Meldung schwerwiegender Vorfälle
- Digitale Belastbarkeitstests — Regelmäßige Prüfung der IKT-Systeme
- IKT-Drittparteienrisikomanagement — Überwachung kritischer IKT-Dienstleister
- Informationsaustausch — Freiwilliger Austausch von Cyber-Bedrohungsinformationen
Wer muss DORA umsetzen?
DORA gilt für 21 Kategorien von Finanzunternehmen:
| Kategorie | Beispiele |
|---|---|
| Kreditinstitute | Banken, Sparkassen |
| Zahlungsinstitute | Zahlungsdienstleister |
| E-Geld-Institute | E-Geld-Emittenten |
| Wertpapierfirmen | Broker, Vermögensverwalter |
| Krypto-Asset-Dienstleister | Börsen, Verwahrer |
| Versicherungsunternehmen | Versicherer, Rückversicherer |
| Versicherungsvermittler | Makler, Agenten |
| Einrichtungen der betrieblichen Altersversorgung | Pensionsfonds |
| Zentrale Gegenparteien | Clearinghäuser |
| Transaktionsregister | Meldewesen |
| Zentralverwahrer | Wertpapierabwicklung |
| Handelsplätze | Börsen, MTFs |
| Verbriefungsregister | ABS-Daten |
| Ratingagenturen | Bewertungsanbieter |
| Schwarmfinanzierungsdienstleister | Crowdfunding-Plattformen |
| Datenbereitstellungsdienste | APAs, ARMs |
| Verwalter alternativer Investmentfonds | Hedgefonds-Manager, PE-Manager |
| Verwaltungsgesellschaften | OGAW-Verwalter |
| Kontoinformationsdienstleister | Open-Banking-Anbieter |
Zusätzlich unterliegen kritische IKT-Drittdienstleister (CTPPs) — wie große Cloud-Anbieter für den Finanzsektor — einem neuen Überwachungsrahmen.
Verhältnismäßigkeit
DORA wendet den Grundsatz der Verhältnismäßigkeit an. Die Anforderungen skalieren basierend auf:
- Größe und Gesamtrisikoprofil des Unternehmens
- Art, Umfang und Komplexität der Dienstleistungen
- IKT-Risikoexposition des Unternehmens
Kleinstunternehmen (weniger als 10 Beschäftigte und unter 2 Mio.€ Umsatz) profitieren von einem vereinfachten IKT-Risikomanagement-Rahmenwerk.
Die fünf Säulen von DORA
Säule 1: IKT-Risikomanagement (Artikel 5-16)
Finanzunternehmen müssen ein umfassendes IKT-Risikomanagement-Rahmenwerk einrichten:
Governance:
- Leitungsorgan behält die letztendliche Verantwortung für IKT-Risiken
- Eigene IKT-Risikomanagementfunktion (unabhängig von operativer IKT)
- IKT-Risikomanagementstrategie mindestens jährlich überprüft
- Leitungsorgan muss IKT-Risiko-Schulungen absolvieren
Identifizierung:
- Alle IKT-gestützten Geschäftsfunktionen identifizieren, klassifizieren und dokumentieren
- IKT-Assets und deren Abhängigkeiten kartieren
- Alle IKT-Risikoquellen identifizieren
- Risikobewertungen mindestens jährlich durchführen
Schutz und Prävention:
- IKT-Sicherheitsrichtlinien und -verfahren umsetzen
- Patch-Management mit definierten Zeitrahmen
- Netzwerksicherheit und Zugriffskontrollen
- Datenschutz- und Verschlüsselungsmaßnahmen
Erkennung:
- Kontinuierliche Überwachung der IKT-Systeme
- Anomalie-Erkennungsmechanismen
- Mehrere Kontrollschichten
Reaktion und Wiederherstellung:
- IKT-Business-Continuity-Richtlinie
- Disaster-Recovery-Pläne mit Wiederherstellungszeitzielen
- Krisenkommunikationsverfahren
- Post-Incident-Reviews
Säule 2: IKT-bezogene Vorfallsmeldung (Artikel 17-23)
DORA standardisiert die Vorfallklassifizierung und -meldung im Finanzsektor:
| Frist | Berichtstyp | Inhalt |
|---|---|---|
| Innerhalb von 4 Stunden | Erstmeldung | Grundlegende Fakten und Klassifizierung |
| Innerhalb von 72 Stunden | Zwischenbericht | Aktualisierte Bewertung und Auswirkungen |
| Innerhalb von 1 Monat | Abschlussbericht | Ursachenanalyse, Abhilfemaßnahmen |
Säule 3: Digitale Belastbarkeitstests (Artikel 24-27)
Grundlegende Tests (alle Unternehmen):
- Schwachstellenbewertungen und -scans
- Open-Source-Analysen
- Netzwerksicherheitsbewertungen
- Lückenanalysen
- Szenariobasierte Tests
- Leistungstests
Erweiterte Tests (bedeutende Unternehmen):
- Threat-Led Penetration Testing (TLPT) mindestens alle drei Jahre
- Muss anerkannten Rahmenwerken folgen (TIBER-EU oder gleichwertig)
- Durchführung durch qualifizierte externe Tester
- Ergebnisse an zuständige Behörden melden
Säule 4: IKT-Drittparteienrisikomanagement (Artikel 28-44)
- Risikobewertung vor Vertragsabschluss
- Vertragliche Pflichtbestimmungen in IKT-Dienstleistungsverträgen
- Prüfungs- und Zugangsrechte
- Austrittsstrategien und Übergangspläne
- Register aller IKT-Drittparteienvereinbarungen
- Konzentrationsrisiko-Bewertung
Säule 5: Informationsaustausch (Artikel 45)
DORA ermutigt Finanzunternehmen zum freiwilligen Austausch von Cyber-Bedrohungsinformationen innerhalb vertrauenswürdiger Gemeinschaften.
DORA vs NIS2: Die Beziehung verstehen
| Aspekt | DORA | NIS2 |
|---|---|---|
| Rechtsform | Verordnung (direkt anwendbar) | Richtlinie (erfordert Umsetzung) |
| Geltungsbereich | Finanzsektor + kritische IKT-Anbieter | 18 sektorübergreifende Kategorien |
| Vorfallsmeldung | 4h Erst-/72h Zwischen-/1 Monat Abschluss | 24h Frühwarnung/72h Meldung/1 Monat |
| Tests | TLPT alle 3 Jahre für bedeutende Unternehmen | Wirksamkeitsbewertung (weniger präskriptiv) |
| Vorrang | Hat Vorrang für Finanzunternehmen | Gilt wo DORA nicht greift |
Wie Orbiq bei DORA Compliance unterstützt
Orbiq hilft Finanzunternehmen bei den operativen DORA-Anforderungen:
- Drittparteien-Risikoregister: Vollständiges Inventar der IKT-Dienstleistungsvereinbarungen
- Lieferanten-Monitoring: Kontinuierliche Bewertung der Sicherheitslage von IKT-Drittanbietern
- Evidenzmanagement: Automatische Sammlung von Compliance-Nachweisen für aufsichtliche Prüfungen
- Trust Center: Darstellung der operativen Resilienz gegenüber Geschäftspartnern und Aufsichtsbehörden
- EU-Datenhaltung: DSGVO-nativ mit europäischer Datenhaltung
Weiterführende Artikel
- DORA Vorfallsmeldung und Anbieter-Monitoring: Artikel 19, 28, 30
- NIS2 Compliance Leitfaden — Für Anforderungen jenseits von DORA
Dieser Leitfaden wird vom Orbiq-Team gepflegt. Letzte Aktualisierung: März 2026.