DORA – Digital Operational Resilience Act

Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (DORA)

In Kraft Gültig ab: 17.1.2025 EU-weit EU-Verordnung

Überblick

Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung, die einheitliche Anforderungen an die digitale operationale Resilienz im Finanzsektor festlegt. DORA gilt seit dem 17. Januar 2025 und ist als Verordnung direkt in allen EU-Mitgliedstaaten anwendbar.

Wer ist betroffen?

DORA betrifft nahezu alle regulierten Finanzunternehmen:

  • Kreditinstitute und Zahlungsdienstleister
  • Wertpapierfirmen und Handelsplätze
  • Versicherungs- und Rückversicherungsunternehmen
  • Ratingagenturen und Transaktionsregister
  • Verwaltungsgesellschaften und alternative Investmentfonds
  • Kritische IKT-Drittdienstleister (z.B. Cloud-Anbieter)

Kernpflichten

  1. IKT-Risikomanagement: Umfassender Rahmen zur Identifikation, Schutz, Erkennung, Reaktion und Wiederherstellung
  2. Meldung von IKT-Vorfällen: Schwerwiegende IKT-bezogene Vorfälle an die zuständige Aufsichtsbehörde melden
  3. Testen der digitalen Resilienz: Regelmäßige Tests, einschließlich Threat-Led Penetration Testing (TLPT) für systemrelevante Institute
  4. IKT-Drittparteirisiken: Vertragliche Absicherung und Überwachung von IKT-Dienstleistern
  5. Informationsaustausch: Freiwilliger Austausch von Bedrohungsinformationen zwischen Finanzunternehmen

Nationale Umsetzung

Als EU-Verordnung gilt DORA direkt und bedarf keiner nationalen Umsetzung. In den DACH-Ländern:

  • Deutschland: BaFin überwacht die Einhaltung, bestehende MaRisk/BAIT werden durch DORA ergänzt
  • Österreich: FMA als zuständige Aufsichtsbehörde
  • Schweiz: Nicht direkt betroffen (kein EU-Mitglied), aber FINMA orientiert sich an vergleichbaren Standards

Rechtsquellen

DORA: Sind Sie betroffen?

Erfahren Sie, ob und wie diese Regulierung Ihr Unternehmen betrifft – wir beraten Sie gerne.

Häufige Fragen

Wer ist von DORA betroffen?

Alle regulierten Finanzunternehmen in der EU, darunter Banken, Versicherungen, Wertpapierfirmen, Zahlungsdienstleister sowie kritische IKT-Drittdienstleister.

Ab wann gilt DORA?

DORA gilt seit dem 17. Januar 2025. Die Verordnung ist direkt anwendbar und muss nicht in nationales Recht umgesetzt werden.

Was sind die Kernpflichten unter DORA?

IKT-Risikomanagement, Meldung von IKT-Vorfällen, Tests der digitalen Resilienz (inkl. Threat-Led Penetration Testing) und Management von IKT-Drittparteirisiken.