Für wen gilt DORA? Anwendungsbereich und Ausnahmen
Welche Finanzunternehmen erfasst DORA?
Art. 2 Abs. 1 der Verordnung (EU) 2022/2554 zählt 20 Kategorien von Finanzunternehmen auf (Buchstaben a–t) und ergänzt als 21. Kategorie die IKT-Drittdienstleister. Gruppiert sieht der Adressatenkreis so aus:
| Bereich | Erfasste Einrichtungen (Auswahl) |
|---|---|
| Banken & Zahlungsverkehr | Kreditinstitute, Zahlungsinstitute, Kontoinformationsdienstleister, E-Geld-Institute |
| Wertpapiere & Märkte | Wertpapierfirmen, Handelsplätze, zentrale Gegenparteien (CCP), Zentralverwahrer (CSD), Transaktionsregister, Datenbereitstellungsdienste |
| Fonds & Vermögensverwaltung | Verwalter alternativer Investmentfonds (AIFM), Verwaltungsgesellschaften (OGAW) |
| Versicherungen & Vorsorge | Versicherungs- und Rückversicherungsunternehmen, Versicherungsvermittler, Einrichtungen der betrieblichen Altersversorgung |
| Krypto & neue Märkte | Krypto-Dienstleister (CASP) und Emittenten wertreferenzierter Token, Schwarmfinanzierungsdienstleister |
| Infrastruktur & Bewertung | Ratingagenturen, Administratoren kritischer Referenzwerte, Verbriefungsregister |
| IT-Dienstleister | IKT-Drittdienstleister (Art. 2 Abs. 1 Buchst. u) – z. B. Cloud-, Rechenzentrums- und Software-Anbieter des Finanzsektors |
Auffällig ist die Breite: Auch Akteure, die klassischerweise wenig Aufsichtskontakt hatten – etwa Versicherungsvermittler oberhalb der KMU-Schwelle oder Krypto-Dienstleister – fallen unter dieselben Resilienz-Pflichten wie Großbanken, abgestuft nach dem Verhältnismäßigkeitsprinzip (Art. 4).
Was gilt für IKT-Drittdienstleister?
Neu ist die direkte Einbeziehung der IKT-Drittdienstleister – vom Cloud-Hyperscaler bis zum spezialisierten Software-Anbieter. Als kritisch eingestufte Anbieter unterliegen einem eigenen Überwachungsrahmen der Europäischen Aufsichtsbehörden (Art. 31 ff.). Unabhängig davon gelten für jede Auslagerung Mindestvertragsinhalte (Art. 30) und die Pflicht der Finanzunternehmen, ein Informationsregister über alle vertraglichen Vereinbarungen mit IKT-Drittdienstleistern zu führen (Art. 28 Abs. 3).
Wer ist ausgenommen?
- Verwalter alternativer Investmentfonds unterhalb der Schwellen des Art. 3 Abs. 2 AIFM-Richtlinie
- Versicherungs- und Rückversicherungsunternehmen im Sinne von Art. 4 Solvency II (Kleinstversicherer)
- Einrichtungen der betrieblichen Altersversorgung mit weniger als 15 Versorgungsanwärtern
- Versicherungsvermittler, die Kleinstunternehmen oder KMU sind
- nach MiFID II ausgenommene Personen sowie Postgiroämter (Art. 2 Abs. 3)
Mitgliedstaaten können zusätzlich eng definierte Institute aus Art. 2 Abs. 5 der Eigenkapitalrichtlinie ausnehmen (Art. 2 Abs. 4).
Wann greift der vereinfachte Rahmen (Art. 16)?
DORA staffelt nach Verhältnismäßigkeit: Für kleine und nicht verflochtene Wertpapierfirmen, ausgenommene Zahlungs- und E-Geld-Institute sowie kleine Versorgungseinrichtungen gelten die Art. 5–15 nicht – stattdessen der vereinfachte IKT-Risikomanagementrahmen des Art. 16. Der ist aber kein Freifahrtschein: Auch er verlangt einen dokumentierten Risikomanagementrahmen, die Sicherung der Kontinuität kritischer Funktionen durch Geschäftsfortführungspläne samt Sicherungs- und Wiederherstellungsmaßnahmen – und ausdrücklich deren regelmäßiges Testen (Art. 16 Abs. 1 Buchst. f und g). Eine dokumentierte Tabletop-Übung erfüllt genau diese Testpflicht in der leichtesten Form.
Wie verhält sich DORA zu NIS2?
Fällt ein Unternehmen sowohl unter NIS2 als auch unter DORA, geht DORA als Lex specialis für die abgedeckten Bereiche vor – die nationalen NIS2-Gesetze stellen das ausdrücklich klar (§ 28 Abs. 6 BSIG in Deutschland, § 24 Abs. 7 NISG 2026 in Österreich). Die Abgrenzung im Detail erklärt der Beitrag NIS2 vs. DORA.
Häufige Fragen
Für wen gilt DORA?
Art. 2 der Verordnung (EU) 2022/2554 zählt 20 Kategorien von Finanzunternehmen auf – von Kreditinstituten über Versicherer und Wertpapierfirmen bis zu Krypto-Dienstleistern – und bezieht zusätzlich IKT-Drittdienstleister ein. Zusammen wird der gesamte EU-Finanzsektor samt seiner IT-Lieferkette erfasst.
Gibt es Ausnahmen vom DORA-Anwendungsbereich?
Ja. Art. 2 Abs. 3 nimmt u. a. bestimmte kleine Verwalter alternativer Investmentfonds, kleine Versorgungseinrichtungen mit weniger als 15 Anwärtern sowie Versicherungsvermittler aus, die Kleinstunternehmen oder KMU sind. Mitgliedstaaten können weitere eng definierte Institute ausnehmen (Art. 2 Abs. 4).
Was bedeutet der vereinfachte IKT-Risikomanagementrahmen?
Kleine und nicht verflochtene Wertpapierfirmen, ausgenommene Zahlungs- und E-Geld-Institute sowie kleine Versorgungseinrichtungen müssen statt der Art. 5–15 nur den vereinfachten Rahmen des Art. 16 erfüllen. Auch der verlangt aber ausdrücklich Geschäftsfortführungspläne samt Wiederherstellungsmaßnahmen – und deren regelmäßiges Testen.
Hinweis: Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung. Maßgeblich sind die jeweils geltenden Gesetzes- und Verordnungstexte sowie der aktuelle Stand der nationalen Umsetzung.