DORA

Für wen gilt DORA? Anwendungsbereich und Ausnahmen

Von SecDrills-Redaktion
DORA gilt für einen breiten Kreis von Finanzunternehmen – und erstmals auch für deren IKT-Dienstleister. Diese Übersicht zeigt alle erfassten Kategorien, die Ausnahmen und wann der vereinfachte Rahmen greift.

Welche Finanzunternehmen erfasst DORA?

Art. 2 Abs. 1 der Verordnung (EU) 2022/2554 zählt 20 Kategorien von Finanzunternehmen auf (Buchstaben a–t) und ergänzt als 21. Kategorie die IKT-Drittdienstleister. Gruppiert sieht der Adressatenkreis so aus:

BereichErfasste Einrichtungen (Auswahl)
Banken & ZahlungsverkehrKreditinstitute, Zahlungsinstitute, Kontoinformationsdienstleister, E-Geld-Institute
Wertpapiere & MärkteWertpapierfirmen, Handelsplätze, zentrale Gegenparteien (CCP), Zentralverwahrer (CSD), Transaktionsregister, Datenbereitstellungsdienste
Fonds & VermögensverwaltungVerwalter alternativer Investmentfonds (AIFM), Verwaltungsgesellschaften (OGAW)
Versicherungen & VorsorgeVersicherungs- und Rückversicherungsunternehmen, Versicherungsvermittler, Einrichtungen der betrieblichen Altersversorgung
Krypto & neue MärkteKrypto-Dienstleister (CASP) und Emittenten wertreferenzierter Token, Schwarmfinanzierungsdienstleister
Infrastruktur & BewertungRatingagenturen, Administratoren kritischer Referenzwerte, Verbriefungsregister
IT-DienstleisterIKT-Drittdienstleister (Art. 2 Abs. 1 Buchst. u) – z. B. Cloud-, Rechenzentrums- und Software-Anbieter des Finanzsektors

Auffällig ist die Breite: Auch Akteure, die klassischerweise wenig Aufsichtskontakt hatten – etwa Versicherungsvermittler oberhalb der KMU-Schwelle oder Krypto-Dienstleister – fallen unter dieselben Resilienz-Pflichten wie Großbanken, abgestuft nach dem Verhältnismäßigkeitsprinzip (Art. 4).

Was gilt für IKT-Drittdienstleister?

Neu ist die direkte Einbeziehung der IKT-Drittdienstleister – vom Cloud-Hyperscaler bis zum spezialisierten Software-Anbieter. Als kritisch eingestufte Anbieter unterliegen einem eigenen Überwachungsrahmen der Europäischen Aufsichtsbehörden (Art. 31 ff.). Unabhängig davon gelten für jede Auslagerung Mindestvertragsinhalte (Art. 30) und die Pflicht der Finanzunternehmen, ein Informationsregister über alle vertraglichen Vereinbarungen mit IKT-Drittdienstleistern zu führen (Art. 28 Abs. 3).

Wer ist ausgenommen?

  • Verwalter alternativer Investmentfonds unterhalb der Schwellen des Art. 3 Abs. 2 AIFM-Richtlinie
  • Versicherungs- und Rückversicherungsunternehmen im Sinne von Art. 4 Solvency II (Kleinstversicherer)
  • Einrichtungen der betrieblichen Altersversorgung mit weniger als 15 Versorgungsanwärtern
  • Versicherungsvermittler, die Kleinstunternehmen oder KMU sind
  • nach MiFID II ausgenommene Personen sowie Postgiroämter (Art. 2 Abs. 3)

Mitgliedstaaten können zusätzlich eng definierte Institute aus Art. 2 Abs. 5 der Eigenkapitalrichtlinie ausnehmen (Art. 2 Abs. 4).

Wann greift der vereinfachte Rahmen (Art. 16)?

DORA staffelt nach Verhältnismäßigkeit: Für kleine und nicht verflochtene Wertpapierfirmen, ausgenommene Zahlungs- und E-Geld-Institute sowie kleine Versorgungseinrichtungen gelten die Art. 5–15 nicht – stattdessen der vereinfachte IKT-Risikomanagementrahmen des Art. 16. Der ist aber kein Freifahrtschein: Auch er verlangt einen dokumentierten Risikomanagementrahmen, die Sicherung der Kontinuität kritischer Funktionen durch Geschäftsfortführungspläne samt Sicherungs- und Wiederherstellungsmaßnahmen – und ausdrücklich deren regelmäßiges Testen (Art. 16 Abs. 1 Buchst. f und g). Eine dokumentierte Tabletop-Übung erfüllt genau diese Testpflicht in der leichtesten Form.

Wie verhält sich DORA zu NIS2?

Fällt ein Unternehmen sowohl unter NIS2 als auch unter DORA, geht DORA als Lex specialis für die abgedeckten Bereiche vor – die nationalen NIS2-Gesetze stellen das ausdrücklich klar (§ 28 Abs. 6 BSIG in Deutschland, § 24 Abs. 7 NISG 2026 in Österreich). Die Abgrenzung im Detail erklärt der Beitrag NIS2 vs. DORA.

Häufige Fragen

Für wen gilt DORA?

Art. 2 der Verordnung (EU) 2022/2554 zählt 20 Kategorien von Finanzunternehmen auf – von Kreditinstituten über Versicherer und Wertpapierfirmen bis zu Krypto-Dienstleistern – und bezieht zusätzlich IKT-Drittdienstleister ein. Zusammen wird der gesamte EU-Finanzsektor samt seiner IT-Lieferkette erfasst.

Gibt es Ausnahmen vom DORA-Anwendungsbereich?

Ja. Art. 2 Abs. 3 nimmt u. a. bestimmte kleine Verwalter alternativer Investmentfonds, kleine Versorgungseinrichtungen mit weniger als 15 Anwärtern sowie Versicherungsvermittler aus, die Kleinstunternehmen oder KMU sind. Mitgliedstaaten können weitere eng definierte Institute ausnehmen (Art. 2 Abs. 4).

Was bedeutet der vereinfachte IKT-Risikomanagementrahmen?

Kleine und nicht verflochtene Wertpapierfirmen, ausgenommene Zahlungs- und E-Geld-Institute sowie kleine Versorgungseinrichtungen müssen statt der Art. 5–15 nur den vereinfachten Rahmen des Art. 16 erfüllen. Auch der verlangt aber ausdrücklich Geschäftsfortführungspläne samt Wiederherstellungsmaßnahmen – und deren regelmäßiges Testen.

Hinweis: Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung. Maßgeblich sind die jeweils geltenden Gesetzes- und Verordnungstexte sowie der aktuelle Stand der nationalen Umsetzung.

Betroffen? Dann zählt geübte Resilienz.

Erproben Sie Reaktions- und Krisenprozesse in einer realistischen Tabletop-Übung.

Übungsreife-Check starten