DORA

DORA-Fristen und Zeitplan: die wichtigsten Termine

Von SecDrills-Redaktion
DORA ist keine Zukunftsmusik mehr, sondern seit dem 17. Januar 2025 unmittelbar geltendes Recht. Diese Übersicht ordnet alle zentralen Termine ein – vom Inkrafttreten über die Meldefristen bis zu den laufenden Test-Zyklen.

Wann trat DORA in Kraft – und seit wann gilt sie?

Da DORA eine Verordnung (Verordnung (EU) 2022/2554) ist, gilt sie unmittelbar in jedem Mitgliedstaat – eine nationale Umsetzung wie bei NIS2 war nicht nötig. Nationale Regelungen (in Deutschland u. a. das Finanzmarktdigitalisierungsgesetz mit Zuständigkeiten der BaFin, in Österreich der FMA) flankieren lediglich den Vollzug.

DatumMeilenstein
14.12.2022DORA wird als Verordnung (EU) 2022/2554 verabschiedet
16.1.2023Inkrafttreten (20 Tage nach Veröffentlichung im Amtsblatt, Art. 64)
17.1.2025Geltungsbeginn – seither müssen alle Anforderungen erfüllt sein (Art. 64)
seit 2024/2025Technische Standards (RTS/ITS) konkretisieren Meldewesen, Register & TLPT
laufendJährliche Tests kritischer Systeme (Art. 24 Abs. 6), TLPT mindestens alle 3 Jahre (Art. 26 Abs. 1)

Welche Meldefristen gelten bei schwerwiegenden IKT-Vorfällen?

Die Meldekette selbst steht in Art. 19 Abs. 4 DORA (Erstmeldung, Zwischenmeldung, Abschlussmeldung); die konkreten Fristen legt die Delegierte Verordnung (EU) 2025/301 fest:

  • Erstmeldung: so früh wie möglich, binnen 4 Stunden nach Klassifizierung des Vorfalls als schwerwiegend – spätestens 24 Stunden nach Kenntnisnahme.
  • Zwischenmeldung: binnen 72 Stunden nach der Erstmeldung – auch wenn sich der Status nicht geändert hat.
  • Abschlussmeldung: spätestens einen Monat nach der letzten Zwischenmeldung.

Fällt eine Frist auf ein Wochenende oder einen Feiertag, dürfen viele Finanzunternehmen bis 12 Uhr des nächsten Arbeitstags melden (Art. 5 Abs. 4 der Del. VO) – nicht jedoch Unternehmen, die zugleich als wesentliche oder wichtige Einrichtungen unter NIS2 fallen. Diese Taktung unter Echtzeit-Druck zuverlässig zu bedienen, ist genau das, was in Übungen trainiert wird.

Was regeln die technischen Standards (RTS/ITS)?

Viele Detailpflichten konkretisieren technische Regulierungs- und Durchführungsstandards der Europäischen Aufsichtsbehörden (ESAs) – unter anderem die Klassifizierung von Vorfällen, Inhalt und Fristen der Meldungen (Del. VO (EU) 2025/301), das Informationsregister zu IKT-Drittdienstleistern und die Durchführung von TLPT im Einklang mit dem TIBER-EU-Rahmen (Art. 26 Abs. 11). Diese Standards wurden 2024/2025 schrittweise wirksam und sind laufend zu beachten.

Welche Test-Zyklen schreibt DORA vor?

  • Mindestens jährlich: Tests aller IKT-Systeme und -Anwendungen, die kritische oder wichtige Funktionen unterstützen (Art. 24 Abs. 6).
  • Mindestens jährlich: Erprobung der IKT-Geschäftsfortführungspläne sowie der Reaktions- und Wiederherstellungspläne – dazu die Krisenkommunikationspläne (Art. 11 Abs. 6).
  • Mindestens alle drei Jahre: Threat-Led Penetration Testing für dafür benannte Finanzunternehmen (Art. 26 Abs. 1); die Behörde kann die Frequenz anpassen. Details unter DORA-Resilienztests & TLPT.

Welche Pflichten laufen dauerhaft?

DORA ist kein einmaliges Projekt. Dauerhaft zu erfüllen sind das Vorfallmeldewesen, ein gepflegtes Informationsregister über alle vertraglichen Vereinbarungen mit IKT-Drittdienstleistern, das jährliche Testprogramm (Art. 24) und die regelmäßige Erprobung der Reaktions- und Wiederherstellungspläne. Wer die Übungs- und Testtermine in einen festen Jahresplan gießt – etwa quartalsweise Tabletop-Übungen plus jährliche Plan-Tests – erfüllt die Zyklen nachweisbar, statt ihnen hinterherzulaufen.

Häufige Fragen

Seit wann gilt DORA?

DORA (Verordnung (EU) 2022/2554) ist am 16. Januar 2023 in Kraft getreten und gilt seit dem 17. Januar 2025 unmittelbar in allen EU-Mitgliedstaaten (Art. 64). Eine nationale Umsetzung wie bei NIS2 war nicht nötig; es gab keine weitere Übergangsfrist.

Welche Meldefristen gelten bei IKT-Vorfällen unter DORA?

Die Fristen stehen in der Delegierten Verordnung (EU) 2025/301: Erstmeldung binnen 4 Stunden nach Klassifizierung als schwerwiegend, spätestens 24 Stunden nach Kenntnis; Zwischenmeldung binnen 72 Stunden nach der Erstmeldung; Abschlussmeldung spätestens einen Monat nach der letzten Zwischenmeldung.

Wie oft muss unter DORA getestet werden?

Alle IKT-Systeme, die kritische oder wichtige Funktionen unterstützen, sind mindestens jährlich zu testen (Art. 24 Abs. 6); Geschäftsfortführungs- sowie Reaktions- und Wiederherstellungspläne ebenfalls mindestens jährlich (Art. 11 Abs. 6). Für benannte Finanzunternehmen kommt TLPT mindestens alle drei Jahre hinzu (Art. 26 Abs. 1).

Hinweis: Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung. Maßgeblich sind die jeweils geltenden Gesetzes- und Verordnungstexte sowie der aktuelle Stand der nationalen Umsetzung.

Pflichten erfüllen – jetzt üben

Erproben Sie Ihre Reaktionspläne und dokumentieren Sie den Nachweis. Starten Sie kostenlos.

Übungsreife-Check starten