DORA

DORA verständlich: Was Finanzunternehmen jetzt wissen müssen

Von SecDrills-Redaktion
Der Digital Operational Resilience Act (DORA) bündelt die Anforderungen an die digitale Widerstandsfähigkeit des EU-Finanzsektors in einer unmittelbar geltenden Verordnung. Dieser Überblick erklärt Anwendungsbereich, die fünf Säulen und die Testpflichten.

Was ist DORA?

DORA (Verordnung (EU) 2022/2554, „Digital Operational Resilience Act") schafft einen einheitlichen Rahmen für die digitale operationale Resilienz im EU-Finanzsektor. Als Verordnung gilt sie unmittelbar – ohne nationale Umsetzung. Ziel ist, dass Finanzunternehmen IKT-Störungen und Cyberangriffe nicht nur abwehren, sondern auch durchhalten und sich davon erholen können.

Für wen gilt DORA?

DORA erfasst rund 20 Arten von Finanzunternehmen sowie kritische IKT-Drittdienstleister. Für kleine und nicht vernetzte Unternehmen gilt ein vereinfachter Rahmen. Details im Beitrag Für wen gilt DORA?

Die fünf Säulen von DORA

1. IKT-Risikomanagement

Ein dokumentierter Rahmen mit klarer Governance: Die Leitung trägt die Verantwortung für IKT-Risiken, definiert Strategien und überwacht deren Umsetzung.

2. Behandlung & Meldung von Vorfällen

Erkennung, Klassifizierung und Meldung schwerwiegender IKT-bezogener Vorfälle an die zuständige Behörde – mit gestaffelten Berichten.

3. Tests der digitalen Resilienz

Ein Testprogramm für alle Unternehmen sowie – für bedeutende Institute – fortgeschrittenes Threat-Led Penetration Testing (TLPT).

4. IKT-Drittparteienrisiko

Steuerung von Auslagerungen, Mindestvertragsinhalte, ein Informationsregister und die EU-Aufsicht über kritische IKT-Drittdienstleister.

5. Informationsaustausch

Freiwilliger Austausch von Bedrohungsinformationen zwischen Finanzunternehmen.

Meldung von Vorfällen

Schwerwiegende IKT-bezogene Vorfälle sind der zuständigen Behörde (in Deutschland der BaFin) gestaffelt zu melden – mit Erstmeldung, Zwischen- und Abschlussbericht. Die genauen Fristen konkretisieren technische Regulierungsstandards (RTS/ITS).

Tests der digitalen Resilienz

Jedes erfasste Unternehmen braucht ein Testprogramm; bedeutende Institute müssen zusätzlich regelmäßig Threat-Led Penetration Testing (TLPT) durchführen. Mehr dazu unter DORA-Resilienztests & TLPT.

Üben als Pflichtbaustein

Technische Tests allein genügen nicht: DORA verlangt auch die Erprobung von Reaktions-, Wiederherstellungs- und Kommunikationsplänen. Genau hier setzen Tabletop-Übungen an – sie trainieren Entscheidungsfindung und Meldewege unter Druck und liefern den dokumentierten Nachweis.

Häufige Fragen

Seit wann gilt DORA?

Die DORA-Verordnung (EU) 2022/2554 ist seit dem 16. Januar 2023 in Kraft und gilt unmittelbar in allen Mitgliedstaaten seit dem 17. Januar 2025. Eine nationale Umsetzung ist nicht erforderlich.

Für wen gilt DORA?

DORA gilt für ein breites Spektrum an Finanzunternehmen – von Banken, Zahlungsdienstleistern und Wertpapierfirmen über Versicherer bis zu Krypto-Dienstleistern – sowie für kritische IKT-Drittdienstleister, die der EU-Aufsicht unterstehen.

Verlangt DORA Übungen?

DORA verlangt ein Programm zum Testen der digitalen operationalen Resilienz. Neben technischen Tests gehören szenariobasierte Tests und die Erprobung von Reaktions- und Wiederherstellungsplänen dazu – ein klassisches Einsatzfeld für Tabletop-Übungen.

Hinweis: Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung. Maßgeblich sind die jeweils geltenden Gesetzes- und Verordnungstexte sowie der aktuelle Stand der nationalen Umsetzung.

Reaktions- und Wiederherstellungspläne erproben

Testen Sie Ihre Krisenreaktion in einer ENISA-konformen Tabletop-Übung – mit prüffähigem After-Action-Report.

Übungsreife-Check starten