Orbiq LogoOrbiq
DORA Verordnung: Alles was Finanzunternehmen 2025 wissen müssen
2025-03-08
By Orbiq Team

DORA Verordnung: Alles was Finanzunternehmen 2025 wissen müssen

Die DORA Verordnung verpflichtet EU-Finanzunternehmen ab Januar 2025 zu digitalem Betriebsresilienz-Management. Was die Verordnung fordert, wen sie betrifft und wie Sie sich vorbereiten.

DORA
Finanzregulierung
EU-Compliance
IKT-Risikomanagement

Die DORA Verordnung ist seit dem 17. Januar 2025 vollständig anwendbar und verändert grundlegend, wie Finanzunternehmen in der EU mit digitalen Risiken umgehen müssen. Wer betroffen ist, welche Pflichten entstehen und wie eine strukturierte DORA-Vorbereitung aussieht — dieser Artikel gibt einen vollständigen Überblick.

Was ist die DORA Verordnung?

Die DORA Verordnung — offiziell: Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act) — ist ein verbindlicher EU-Rechtsakt, der einheitliche Anforderungen an das IKT-Risikomanagement von Finanzunternehmen stellt.

DORA wurde am 16. Januar 2023 in Kraft gesetzt und gilt seit dem 17. Januar 2025 unmittelbar in allen EU-Mitgliedstaaten — ohne nationale Umsetzung erforderlich.

Das übergeordnete Ziel: Sicherstellen, dass kritische Finanzdienstleister digitale Störungen, Cyberangriffe und IKT-Ausfälle ohne schwerwiegende Betriebsunterbrechungen überstehen.

Wen betrifft die DORA Verordnung?

Die DORA Verordnung gilt für ein breites Spektrum an regulierten Finanzinstituten und deren IKT-Dienstleister. Im Einzelnen betroffen sind:

Finanzinstitute:

  • Kreditinstitute (Banken)
  • Zahlungsinstitute und E-Geld-Institute
  • Wertpapierfirmen und Handelsplätze
  • Zentralverwahrer und zentrale Gegenparteien
  • Verwaltungsgesellschaften und Versicherungsunternehmen
  • Ratingagenturen und Prüfer kritischer Benchmarks
  • Kryptowerte-Dienstleister (gemäß MiCA)

Drittanbieter von IKT-Dienstleistungen:

  • Cloudanbieter, Rechenzentren, Softwareanbieter
  • Kritische IKT-Drittdienstleister unterliegen direkter Aufsicht durch EBA, ESMA oder EIOPA

Kleine Nichtbank-Finanzunternehmen können von vereinfachten Anforderungen profitieren — das sogenannte Proportionalitätsprinzip der DORA Verordnung.

Die 5 Kernpflichten der DORA Verordnung

1. IKT-Risikomanagement

Finanzunternehmen müssen ein umfassendes IKT-Risikomanagement-Framework implementieren. Dazu gehören:

  • Laufende Identifikation, Klassifizierung und Dokumentation aller IKT-Assets
  • Schutzmaßnahmen für Vertraulichkeit, Integrität und Verfügbarkeit
  • Erkennungs- und Reaktionspläne für IKT-bezogene Vorfälle
  • Regelmäßige Tests und Überprüfungen des Frameworks

Die Geschäftsleitung trägt die letztendliche Verantwortung und muss aktiv in das IKT-Risikomanagement eingebunden sein.

2. IKT-bezogenes Vorfallmanagement und -meldung

Die DORA Verordnung schreibt ein strukturiertes Vorfallmanagement vor:

  • Klassifizierung aller IKT-Vorfälle nach festgelegten Kriterien
  • Meldung von schwerwiegenden IKT-Vorfällen an die zuständige nationale Aufsichtsbehörde
    • Erstmeldung: innerhalb von 4 Stunden nach Klassifizierung als schwerwiegend
    • Zwischenmeldung: innerhalb von 72 Stunden
    • Abschlussbericht: spätestens nach einem Monat
  • Freiwillige Meldung signifikanter Cyberbedrohungen

3. Testen der digitalen operationalen Resilienz

Finanzunternehmen müssen ihre Systeme regelmäßig auf Schwachstellen prüfen:

  • Grundlegende Tests (jährlich): Vulnerability Assessments, Netzwerksicherheitsscans, Lückenanalysen
  • Threat-Led Penetration Testing (TLPT) (alle 3 Jahre): Verpflichtend für bedeutende Institute — simuliert echte Angriffe durch externe Tester

4. Management von IKT-Drittparteirisiken

Eines der zentralen Elemente der DORA Verordnung ist das Drittparteien-Risikomanagement:

  • Vollständiges Register aller IKT-Drittdienstleister
  • Vertragliche Mindestanforderungen für alle Dienstleistungsverträge (Exit-Strategie, Prüfrechte, SLA-Definition)
  • Konzentrationsrisiko-Analyse: Abhängigkeit von einzelnen Anbietern bewerten
  • Direktaufsicht für kritische Drittanbieter durch die europäischen Aufsichtsbehörden (ESAs)

5. Informationsaustausch

Finanzunternehmen werden ermutigt, Threat Intelligence über Cyberbedrohungen und Schwachstellen mit anderen Marktteilnehmern zu teilen — innerhalb von regulierten Rahmenwerken.

DORA Zeitplan: Wichtige Daten im Überblick

DatumMeilenstein
16. Januar 2023DORA Verordnung tritt in Kraft
17. Januar 2024Beginn der Umsetzungsfrist
17. Januar 2025DORA gilt vollständig (Frist für Compliance)
LaufendJährliche Tests, Dreijahreszyklus für TLPT

Die Zweijahriges Übergangsfrist bis Januar 2025 ist abgelaufen. Unternehmen, die noch nicht compliant sind, sind bereits im Verzug.

Sanktionen bei Verstößen gegen die DORA Verordnung

DORA sieht gestaffelte Sanktionen vor — konkrete Bußgeldhöhen werden durch nationale Aufsichtsbehörden festgesetzt. Die Regelung enthält:

  • Verwaltungsmaßnahmen: Anordnungen, Tätigkeitsverbote, Zulassungsentzug
  • Finanzielle Sanktionen: Im Bereich anderer EU-Finanzverordnungen (z.B. bis zu 10 Mio. EUR oder 5% des Jahresumsatzes möglich)
  • Persönliche Haftung der Geschäftsleitung bei schwerem Verschulden
  • Für kritische IKT-Drittanbieter: Zwangsgelder bis zu 1% des täglichen weltweiten Umsatzes

Die zuständigen nationalen Behörden in Deutschland (BaFin) führen die Aufsicht durch.

DORA Verordnung: Checkliste zur Vorbereitung

Eine strukturierte DORA-Vorbereitung umfasst typischerweise diese Schritte:

Gap-Analyse (Wo stehen wir?)

  • Vollständiges IKT-Asset-Inventar erstellen
  • Bestehende Risikomanagement-Frameworks auf DORA-Konformität prüfen
  • Alle IKT-Drittanbieterverträge sichten und kategorisieren

Implementierung

  • IKT-Risikomanagement-Framework nach DORA-Anforderungen aufbauen
  • Vorfallmanagement-Prozesse und Meldeformulare bereitstellen
  • Vertragliche Mindestklauseln mit IKT-Lieferanten vereinbaren

Testing & Dokumentation

  • Jahresplan für Resilienztests erstellen
  • TLPT-Prozess für betroffene Institute aufsetzen
  • Kontinuierliche Evidenz für Aufsichtsbehörden sicherstellen

Laufender Betrieb

  • Vorfallmeldeprozess an BaFin einüben
  • Drittparteien-Register aktuell halten
  • Jährliche Management-Reviews durchführen

Wie Orbiq bei der DORA Compliance hilft

Die DORA Verordnung verlangt kontinuierliche Dokumentation, lückenlose Nachweisführung und strukturiertes Drittparteien-Management — genau das, was manuelle Prozesse überfordert.

Orbiq unterstützt Finanzunternehmen mit:

  • Trust Center: Zentrale Darstellung aller Sicherheitsnachweise für Prüfer und Aufsichtsbehörden
  • Compliance Automation: Automatische Erfassung und Aktualisierung von Kontrollnachweisen
  • Drittpartei-Management: Strukturiertes Lieferantenregister mit Risikobewertungen
  • Vorfalltracking: Dokumentation und Eskalation von IKT-Vorfällen nach DORA-Schema
  • EU-Hosting: Vollständig DSGVO-konform, Daten in der EU

Mehr dazu: DORA Compliance mit Orbiq

Fazit: DORA Verordnung als strategische Chance

Die DORA Verordnung ist keine bürokratische Last — sie ist ein Rahmen, der Finanzunternehmen zwingt, digitale Resilienz ernsthaft zu adressieren. Wer früh investiert, baut einen nachhaltigen Wettbewerbsvorteil auf: Vertrauen bei Kunden, saubere Audit-Trails für Aufsichtsbehörden und eine IT-Landschaft, die echten Störungen standhält.

Der erste Schritt ist eine ehrliche Gap-Analyse. Dann folgt strukturierte Umsetzung — mit den richtigen Tools.

Verwandte Artikel: NIS2 Beratung — So finden Sie die richtige Unterstützung · DORA Compliance: Die vollständige Checkliste