DORA · EU-Finanzsektor-Verordnung

DORA: Digitale Resilienz im Finanzsektor nachweisen

Der Digital Operational Resilience Act (DORA, Verordnung (EU) 2022/2554) gilt seit dem 17. Januar 2025 unmittelbar in der gesamten EU. Er verpflichtet Finanzunternehmen und ihre IKT-Dienstleister, digitale Betriebsstabilität nicht nur herzustellen, sondern fortlaufend nachzuweisen – vom IKT-Risikomanagement über Vorfallmeldungen bis zum Informationsregister aller IKT-Verträge. Diese Seite erklärt, was DORA verlangt, für wen die Verordnung gilt (und für wen nicht), wie die fünf Säulen zusammenwirken und wie Sie die Anforderungen mit Sightadel strukturiert und prüfbereit umsetzen.

Was ist DORA?

DORA ist eine EU-Verordnung und gilt damit unmittelbar – ohne nationale Umsetzungsgesetze. Sie harmonisiert die Anforderungen an die digitale Betriebsstabilität (Operational Resilience) im gesamten europäischen Finanzsektor. In Deutschland führt die BaFin die Aufsicht; auf EU-Ebene überwachen die drei Aufsichtsbehörden EBA, EIOPA und ESMA zusätzlich kritische IKT-Drittdienstleister direkt.

Der Grundgedanke: Finanzunternehmen sind heute in hohem Maß von IKT abhängig – von eigenen Systemen ebenso wie von Cloud-Anbietern und Softwaredienstleistern. DORA verlagert den Fokus von der reinen Kapitalausstattung auf die Frage, ob ein Institut schwere IKT-Störungen aushalten, melden und bewältigen kann. Für Finanzunternehmen ist DORA gegenüber NIS2 die speziellere Regelung (lex specialis): Wer unter DORA fällt, erfüllt seine Cybersicherheitspflichten primär dort.

Konkretisiert wird die Verordnung durch technische Regulierungs- und Durchführungsstandards (RTS/ITS) der ESAs – etwa zum IKT-Risikomanagementrahmen, zur Vorfallklassifizierung und zum Informationsregister.

Für wen gilt DORA – und für wen nicht?

DORA gilt für Sie, wenn …

… Ihre Organisation zu einer der rund 20 Kategorien von Finanzunternehmen gehört, die die Verordnung erfasst. Dazu zählen unter anderem:

  • Kreditinstitute, Zahlungs- und E-Geld-Institute.
  • Wertpapierfirmen, Handelsplätze, Fondsverwalter (KVGen).
  • Versicherungs- und Rückversicherungsunternehmen sowie größere Versicherungsvermittler.
  • Anbieter von Krypto-Dienstleistungen nach MiCA.
  • Einrichtungen der betrieblichen Altersversorgung, Ratingagenturen und Schwarmfinanzierungsdienstleister.

… oder wenn Sie IKT-Dienstleistungen für Finanzunternehmen erbringen – etwa als Cloud-, Software- oder Rechenzentrumsanbieter. Ihre Kunden müssen DORA-konforme Vertragsklauseln (Art. 30) mit Ihnen vereinbaren und Sie in ihr Informationsregister aufnehmen. Als kritisch eingestufte IKT-Drittdienstleister unterliegen zusätzlich der direkten Überwachung durch die ESAs.

DORA folgt dem Proportionalitätsprinzip: Umfang und Tiefe der Maßnahmen richten sich nach Größe, Risikoprofil und Komplexität. Für Kleinstunternehmen und bestimmte Institutsgruppen gilt ein vereinfachter IKT-Risikomanagementrahmen.

DORA gilt für Sie nicht, wenn …

… Ihre Organisation weder ein reguliertes Finanzunternehmen ist noch IKT-Dienstleistungen für solche erbringt. Einzelne Ausnahmen bestehen auch innerhalb des Sektors – etwa für Versicherungsvermittler unterhalb bestimmter Größenschwellen oder sehr kleine Einrichtungen der Altersversorgung.

Der Vorbehalt: Sobald ein Finanzunternehmen zu Ihren Kunden gehört, erreichen Sie die DORA-Anforderungen indirekt über dessen Drittparteienmanagement – auch ohne selbst beaufsichtigt zu sein.

Die fünf Säulen von DORA

  • IKT-Risikomanagement (Art. 5–16). Ein dokumentierter Risikomanagementrahmen mit klarer Verantwortung des Leitungsorgans: Identifikation kritischer Funktionen, Schutz- und Erkennungsmaßnahmen, Backup- und Wiederherstellungskonzepte.
  • Behandlung und Meldung IKT-bezogener Vorfälle (Art. 17–23). Vorfälle müssen erfasst, nach einheitlichen Kriterien klassifiziert und schwerwiegende Vorfälle fristgebunden an die Aufsicht gemeldet werden – mit Erst-, Zwischen- und Abschlussmeldung.
  • Testen der digitalen Betriebsstabilität (Art. 24–27). Ein risikobasiertes Testprogramm für alle; für dafür bestimmte Institute zusätzlich bedrohungsorientierte Penetrationstests (TLPT) mindestens alle drei Jahre.
  • Management des IKT-Drittparteienrisikos (Art. 28–44). Bewertung und Überwachung aller IKT-Dienstleister, verpflichtende Vertragsinhalte (Art. 30), Ausstiegsstrategien – und das Informationsregister aller vertraglichen Vereinbarungen, das der Aufsicht auf Anforderung und im jährlichen Turnus vorzulegen ist.
  • Austausch von Informationen (Art. 45). Freiwilliger Austausch von Bedrohungsinformationen zwischen Finanzunternehmen.

Die typische Herausforderung bei der DORA-Umsetzung

  • Das Informationsregister als Dauerbaustelle. Hunderte IKT-Verträge, Subdienstleisterketten und kritische Funktionen in Tabellen zu pflegen ist fehleranfällig – und die Einreichung an die Aufsicht wird jedes Jahr fällig.
  • Meldefristen ohne eingespielten Prozess. Ob ein Vorfall meldepflichtig ist, entscheidet sich anhand definierter Klassifizierungskriterien – unter Zeitdruck. Ohne vorbereitete Abläufe und Zuständigkeiten wird jede Störung zum Krisenprojekt.
  • Doppelarbeit neben bestehenden Standards. Vieles, was DORA verlangt, existiert bereits in einem ISMS nach ISO 27001 oder in C5-Nachweisen – wird aber getrennt dokumentiert, statt verknüpft.

Wie Sightadel die DORA-Umsetzung vereinfacht

Sightadel ist das Compliance-Portal der Pervigon Security Suite. Es bildet die DORA-Anforderungen entlang der fünf Säulen als strukturierten Katalog ab, dem Sie Maßnahmen, Verantwortliche und Nachweise zuordnen – einschließlich Informationsregister und Vorfallprozessen.

Schneller startklar. Der DORA-Katalog inklusive der RTS-Konkretisierungen ist im Portal hinterlegt. Sie ordnen bestehende Maßnahmen zu und sehen sofort, wo je Säule Lücken bestehen.
Informationsregister ohne Tabellenpflege. IKT-Dienstleister, Verträge, kritische Funktionen und Subdienstleister werden zentral erfasst und aktuell gehalten. Die jährliche Einreichung wird zum Abruf eines gepflegten Standes, nicht zur Sammelaktion.
Vorfallprozesse mit Fristen. Klassifizierungskriterien, Meldewege und Fristen für Erst-, Zwischen- und Abschlussmeldung sind als Prozess abgebildet – mit Verantwortlichen und Wiedervorlagen, bevor der Ernstfall eintritt.
Mehrfachnutzung von Nachweisen. DORA überschneidet sich stark mit ISO 27001, NIS2 und dem BSI C5. Ein einmal hinterlegter Nachweis – etwa zur Zugriffskontrolle oder zum Backup – wird automatisch den verwandten Anforderungen dieser Standards zugeordnet. Sie pflegen ihn einmal, nicht je Framework.
Keine externen Berater als Dauerlösung. Die fachliche Zuordnungslogik ist im Portal hinterlegt und wird durch den KI-Kern neoAI unterstützt. Die aufsichtsrechtliche Bewertung Ihres Einzelfalls bleibt Aufgabe Ihrer Compliance- und Rechtsfunktion – die laufende Pflege erledigt Ihr Team selbst.

DORA mit Sightadel in der Praxis

  1. 1
    Erfassen.Kritische Funktionen, IKT-Systeme und sämtliche IKT-Dienstleister inventarisieren; Informationsregister aufbauen.
  2. 2
    Bewerten.Gap-Analyse gegen die fünf Säulen, priorisierter Maßnahmenplan mit Verantwortlichen und Fristen.
  3. 3
    Umsetzen.Risikomanagementrahmen dokumentieren, Vorfall- und Meldeprozesse einrichten, Testprogramm planen, Verträge auf Art.-30-Konformität prüfen.
  4. 4
    Aufrechterhalten.Register aktuell halten, Tests und Reviews wiederkehrend durchführen, Nachweise für Aufsicht und interne Revision jederzeit abrufbar.

Häufige Fragen zu DORA

Die Verordnung ist im Januar 2023 in Kraft getreten und gilt seit dem 17. Januar 2025 verbindlich. Eine Übergangsfrist gibt es nicht mehr – die Anforderungen sind seither prüfbar.

Digitale Resilienz als Zustand, nicht als Projekt

DORA ist seit Januar 2025 gelebte Aufsichtspraxis: Register-Einreichungen, Vorfallmeldungen und Tests kehren wieder. Sightadel hält Ihren DORA-Stand fortlaufend aktuell – strukturiert, prüfbar und ohne dass jede Anfrage der Aufsicht ein neues Projekt auslöst.

Sehen Sie Ihren DORA-Stand in Sightadel.

Demo vereinbaren