Zum Hauptinhalt springen
Informationssicherheit / NIS2

DORA (Digital Operational Resilience Act)

Die EU-Verordnung 2022/2554 zur digitalen Betriebsstabilität im Finanzsektor mit Anforderungen an ICT-Risikomanagement.

Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung (2022/2554), die seit Januar 2025 verbindlich für Finanzunternehmen in der gesamten EU gilt. DORA schafft einen einheitlichen Rechtsrahmen für die digitale operationale Resilienz im Finanzsektor und konsolidiert bisher fragmentierte nationale und sektorale Anforderungen. Sie gilt für ein breites Spektrum von Finanzunternehmen: Banken, Versicherungen, Wertpapierfirmen, Zahlungsdienstleister, Börsen, Ratingagenturen und erstmals auch für kritische IKT-Drittdienstleister wie Cloud-Anbieter.

Die fünf Säulen von DORA umfassen: IKT-Risikomanagement (Governance, Rahmenwerk, Strategien), IKT-bezogenes Vorfallmanagement und Meldepflichten, Digital Operational Resilience Testing (DORA-spezifische Pen-Tests und TLPT), Management von IKT-Drittparteirisiken sowie Informationsaustausch. Besonders hervorzuheben ist die Pflicht zur Registrierung und Beaufsichtigung kritischer IKT-Drittdienstleister direkt durch die europäischen Aufsichtsbehörden (ESAs).

Für Compliance-Verantwortliche im Finanzsektor bedeutet DORA eine erhebliche Ausweitung der Anforderungen gegenüber bisherigen nationalen Regelungen. Überschneidungen mit NIS2 existieren, sind jedoch bewusst so gestaltet, dass DORA als lex specialis für den Finanzsektor gilt. Die Umsetzung erfordert enge Zusammenarbeit zwischen IT-Sicherheit, Compliance, Rechtsabteilung und dem Vorstand sowie eine systematische Überprüfung aller IKT-Drittdienstleisterverträge auf DORA-Konformität.

Rechtliche Grundlage

EU-Verordnung 2022/2554 (DORA), delegierte Rechtsakte der ESAs

Praxisbeispiel

Eine mittelgroße Regionalbank führt eine DORA-Gap-Analyse durch und stellt fest, dass die IKT-Drittdienstleisterverträge mit zwei kritischen Cloud-Anbietern nicht den DORA-Anforderungen entsprechen: Ausstiegsstrategien fehlen, und Prüfrechte der Aufsichtsbehörden sind nicht vertraglich verankert. Das Compliance-Team verhandelt die Verträge nach und implementiert ein IKT-Drittparteienregister. Zusätzlich werden Threat-Led Penetration Tests (TLPT) mit einem autorisierten Tester durchgeführt und ein formelles IKT-Vorfallmeldeverfahren bei der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) eingerichtet.

Häufige Fragen

DORA (Digital Operational Resilience Act) ist eine EU-Verordnung (2022/2554), die seit Januar 2025 verbindliche Anforderungen an die digitale Betriebsstabilität von Finanzunternehmen und deren IKT-Dienstleistern stellt. Sie umfasst IKT-Risikomanagement, Vorfallmeldepflichten, Resilienzprüfungen und das Management von IKT-Drittparteien.
DORA gilt für nahezu alle regulierten Finanzunternehmen in der EU: Banken, Versicherungen, Wertpapierfirmen, Zahlungsdienstleister, Börsen, Kreditinstitute und viele weitere. Erstmals werden auch kritische IKT-Drittdienstleister wie Cloud-Anbieter direkt von europäischen Aufsichtsbehörden beaufsichtigt.
DORA ist als lex specialis für den Finanzsektor konzipiert und geht in vielen Bereichen über NIS2 hinaus, etwa bei den Anforderungen an IKT-Drittparteien und Resilienzprüfungen. Finanzunternehmen, die grundsätzlich unter NIS2 fallen würden, müssen primär DORA einhalten. Die Anforderungen beider Regelwerke überschneiden sich inhaltlich erheblich.

So unterstützt preeco Sie

Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.

Mehr erfahren

Verwandte Begriffe

NIS-2-Richtlinie ISMS (Informationssicherheits-Managementsystem) Risikobewertung (Risk Assessment) Business Continuity Management (BCM) Compliance-Management-System (CMS)
Zurück zum Glossar