DORA (Digital Operational Resilience Act)

Banken sind es gewohnt, Kapitalrisiken zu steuern. DORA überträgt dieselbe Ernsthaftigkeit auf die digitale Seite: Ausfälle, Angriffe und Abhängigkeiten von IT-Dienstleistern gelten seit Januar 2025 als Risiken, die genauso systematisch beherrscht und nachgewiesen werden müssen.

Was ist DORA?

Der Digital Operational Resilience Act ist die EU-Verordnung 2022/2554 über die digitale operationale Resilienz im Finanzsektor. Als Verordnung gilt sie unmittelbar in allen Mitgliedstaaten, ohne nationales Umsetzungsgesetz; anwendbar ist sie seit dem 17. Januar 2025.

Der Anwendungsbereich ist breit: Banken, Versicherungen, Wertpapierfirmen, Zahlungs- und E-Geld-Institute, Handelsplätze und weitere Finanzakteure, insgesamt rund 20 Kategorien. Die Besonderheit: Auch IKT-Drittdienstleister geraten in den Blick. Kritische Anbieter können direkt von den europäischen Aufsichtsbehörden überwacht werden, und jeder Dienstleister eines Finanzunternehmens bekommt die Anforderungen über Verträge und das Informationsregister weitergereicht.

Die fünf Säulen von DORA

  • IKT-Risikomanagement: Ein dokumentierter Rahmen, der Systeme, Rollen und Schutzmaßnahmen umfasst; ausdrücklich gefordert sind Strategien, die die Auswirkungen von IKT-Vorfällen begrenzen, samt Erkennungs- und Wiederherstellungsfähigkeit.
  • Vorfallmanagement und Meldungen: Klassifizierung von IKT-Vorfällen und Meldung schwerwiegender Vorfälle an die Aufsicht in festen Stufen und Fristen.
  • Tests der digitalen Resilienz: Regelmäßige Tests der Systeme und Kontrollen; für bedeutende Institute zusätzlich bedrohungsgeleitete Penetrationstests (TLPT) etwa alle drei Jahre.
  • IKT-Drittparteirisiko: Ein vollständiges Informationsregister aller IKT-Verträge, Pflichtklauseln mit Dienstleistern und Ausstiegsstrategien für kritische Services.
  • Informationsaustausch: Rahmen für das freiwillige Teilen von Bedrohungsinformationen innerhalb der Branche.

Warum es wichtig ist

  • Die Verordnung gilt unmittelbar und wird von BaFin und Bundesbank beaufsichtigt; Übergangsfristen sind abgelaufen.
  • Die Nachweispflichten sind konkret: Register, Klassifizierungen, Testberichte und Meldeprozesse lassen sich nicht improvisieren.
  • IT-Dienstleister von Finanzunternehmen werden vertraglich in die Pflicht genommen und müssen ihre Maßnahmen belegen können.
  • Der Fokus auf Begrenzung der Auswirkungen verschiebt Budgets von reiner Prävention zu Eindämmung und Wiederanlauf.

Typische Szenarien

  • Eine Bank baut ihr Informationsregister auf und stellt fest, dass Dutzende Netzwerk- und Cloud-Verträge DORA-Pflichtklauseln brauchen.
  • Ein Zahlungsinstitut segmentiert seine Transaktionssysteme, um die geforderte Begrenzung von Vorfallsauswirkungen nachweisen zu können.
  • Ein Versicherer probt den Ausfall eines kritischen IKT-Dienstleisters inklusive Exit-Szenario.
  • Ein IT-Provider im Finanzumfeld erhält von mehreren Kunden gleichlautende Fragebögen zu Resilienz, Tests und Subdienstleistern.

Was Prüfer in der Praxis sehen wollen

Seit dem Anwendungsstart zeichnet sich ab, worauf Prüfungen zielen. Das Informationsregister muss vollständig und aktuell sein, inklusive Subdienstleisterketten; lückenhafte Register sind der schnellste Weg zu Feststellungen. Die Vorfallklassifizierung braucht geübte Prozesse: Wer erst im Ernstfall klärt, ob ein Vorfall meldepflichtig ist, reißt Fristen. Und die geforderte Begrenzung von Auswirkungen will technisch belegt sein, etwa durch dokumentierte Segmentierungsrichtlinien, Wiederanlauftests und nachvollziehbare Datenflüsse.

Dabei gilt das Proportionalitätsprinzip: Ein kleines Zahlungsinstitut muss nicht die Testtiefe einer Großbank nachweisen, wohl aber ein zu seiner Größe passendes, gelebtes Rahmenwerk. Für IKT-Dienstleister heißt das umgekehrt: Wer seinen Finanzkunden fertige Nachweise liefert, vom Betriebsbericht über Testergebnisse bis zur vertraglich zugesicherten Exit-Unterstützung, wird in Prüfungen vom Risikofaktor zum Wettbewerbsvorteil und verkürzt jede Vertragsverhandlung spürbar.

DORA und NIS-2: der Unterschied

Beide Regelwerke stammen aus demselben EU-Paket, adressieren aber Verschiedenes: NIS-2 ist eine sektorübergreifende Richtlinie mit nationalem Umsetzungsspielraum, DORA eine unmittelbar geltende Spezialverordnung für den Finanzsektor. Für Finanzunternehmen geht DORA als das speziellere Regelwerk in seinen Themen vor; wer beides berührt, etwa als IT-Dienstleister mehrerer Branchen, muss beide Anforderungswelten bedienen. Die Einordnung aller Regelwerke bündelt der Eintrag Cybersecurity-Compliance .

So unterstützt KAEMI

Die DORA-Kernforderung, Auswirkungen von IKT-Vorfällen zu begrenzen, ist eine Architekturfrage: Zero-Trust-Mikrosegmentierung hält den Radius eines Angriffs klein und liefert die Sichtbarkeit über Datenflüsse, die Register und Prüfungen erleichtert; private, redundante Anbindungen über Cloud Connectivity & SDN stärken die Verfügbarkeitsseite. KAEMI betreibt beides als Managed Service mit der Dokumentationstiefe, die Finanzaufsichten erwarten. Eine ausführliche Einordnung mit Praxisleitfaden bietet unser Blogbeitrag DORA: Was der Finanzsektor wissen muss .

Häufige Fragen zu DORA (Digital Operational Resilience Act)

Für wen gilt DORA?

Für rund 20 Kategorien von Finanzunternehmen in der EU, von Banken und Versicherungen über Zahlungsinstitute bis zu Handelsplätzen, sowie mittelbar für deren IKT-Dienstleister. Kritische IKT-Drittanbieter können zusätzlich direkt unter die Überwachung der europäischen Aufsichtsbehörden fallen.

Seit wann ist DORA verbindlich?

DORA ist seit dem 17. Januar 2025 anwendbar. Als EU-Verordnung gilt sie unmittelbar, ohne nationales Umsetzungsgesetz. In Deutschland überwachen BaFin und Deutsche Bundesbank die Einhaltung; die Übergangszeit zur Vorbereitung ist abgelaufen.

Was sind die fünf Säulen von DORA?

IKT-Risikomanagement, Management und Meldung von IKT-Vorfällen, Tests der digitalen operationalen Resilienz inklusive bedrohungsgeleiteter Penetrationstests für bedeutende Institute, Management des IKT-Drittparteirisikos mit Informationsregister sowie Vereinbarungen zum Austausch von Bedrohungsinformationen.

Betrifft DORA auch IT-Dienstleister außerhalb des Finanzsektors?

Ja, mittelbar fast immer: Finanzunternehmen müssen DORA-Pflichtklauseln in IKT-Verträge aufnehmen, Dienstleister im Informationsregister führen und deren Risiken steuern. Wer Finanzkunden bedient, muss Resilienz, Tests und Subdienstleister belegen können, unabhängig von der eigenen Branchenzugehörigkeit.

Welche Rolle spielt Mikrosegmentierung für DORA?

DORA verlangt ausdrücklich, die Auswirkungen von IKT-Vorfällen zu begrenzen. Mikrosegmentierung setzt genau das um: Ein kompromittiertes System bleibt isoliert, kritische Prozesse laufen weiter, und die entstehende Sichtbarkeit über Kommunikationsbeziehungen liefert Nachweise für Prüfungen und das Vorfallmanagement.

Vom Begriff zur Umsetzung: KAEMI begleitet Sie von der ersten Analyse bis in den laufenden Betrieb.