DORA-Fristen und Zeitplan: die wichtigsten Termine
Wann trat DORA in Kraft – und seit wann gilt sie?
Da DORA eine Verordnung (Verordnung (EU) 2022/2554) ist, gilt sie unmittelbar in jedem Mitgliedstaat – eine nationale Umsetzung wie bei NIS2 war nicht nötig. Nationale Regelungen (in Deutschland u. a. das Finanzmarktdigitalisierungsgesetz mit Zuständigkeiten der BaFin, in Österreich der FMA) flankieren lediglich den Vollzug.
| Datum | Meilenstein |
|---|---|
| 14.12.2022 | DORA wird als Verordnung (EU) 2022/2554 verabschiedet |
| 16.1.2023 | Inkrafttreten (20 Tage nach Veröffentlichung im Amtsblatt, Art. 64) |
| 17.1.2025 | Geltungsbeginn – seither müssen alle Anforderungen erfüllt sein (Art. 64) |
| seit 2024/2025 | Technische Standards (RTS/ITS) konkretisieren Meldewesen, Register & TLPT |
| laufend | Jährliche Tests kritischer Systeme (Art. 24 Abs. 6), TLPT mindestens alle 3 Jahre (Art. 26 Abs. 1) |
Welche Meldefristen gelten bei schwerwiegenden IKT-Vorfällen?
Die Meldekette selbst steht in Art. 19 Abs. 4 DORA (Erstmeldung, Zwischenmeldung, Abschlussmeldung); die konkreten Fristen legt die Delegierte Verordnung (EU) 2025/301 fest:
- Erstmeldung: so früh wie möglich, binnen 4 Stunden nach Klassifizierung des Vorfalls als schwerwiegend – spätestens 24 Stunden nach Kenntnisnahme.
- Zwischenmeldung: binnen 72 Stunden nach der Erstmeldung – auch wenn sich der Status nicht geändert hat.
- Abschlussmeldung: spätestens einen Monat nach der letzten Zwischenmeldung.
Fällt eine Frist auf ein Wochenende oder einen Feiertag, dürfen viele Finanzunternehmen bis 12 Uhr des nächsten Arbeitstags melden (Art. 5 Abs. 4 der Del. VO) – nicht jedoch Unternehmen, die zugleich als wesentliche oder wichtige Einrichtungen unter NIS2 fallen. Diese Taktung unter Echtzeit-Druck zuverlässig zu bedienen, ist genau das, was in Übungen trainiert wird.
Was regeln die technischen Standards (RTS/ITS)?
Viele Detailpflichten konkretisieren technische Regulierungs- und Durchführungsstandards der Europäischen Aufsichtsbehörden (ESAs) – unter anderem die Klassifizierung von Vorfällen, Inhalt und Fristen der Meldungen (Del. VO (EU) 2025/301), das Informationsregister zu IKT-Drittdienstleistern und die Durchführung von TLPT im Einklang mit dem TIBER-EU-Rahmen (Art. 26 Abs. 11). Diese Standards wurden 2024/2025 schrittweise wirksam und sind laufend zu beachten.
Welche Test-Zyklen schreibt DORA vor?
- Mindestens jährlich: Tests aller IKT-Systeme und -Anwendungen, die kritische oder wichtige Funktionen unterstützen (Art. 24 Abs. 6).
- Mindestens jährlich: Erprobung der IKT-Geschäftsfortführungspläne sowie der Reaktions- und Wiederherstellungspläne – dazu die Krisenkommunikationspläne (Art. 11 Abs. 6).
- Mindestens alle drei Jahre: Threat-Led Penetration Testing für dafür benannte Finanzunternehmen (Art. 26 Abs. 1); die Behörde kann die Frequenz anpassen. Details unter DORA-Resilienztests & TLPT.
Welche Pflichten laufen dauerhaft?
DORA ist kein einmaliges Projekt. Dauerhaft zu erfüllen sind das Vorfallmeldewesen, ein gepflegtes Informationsregister über alle vertraglichen Vereinbarungen mit IKT-Drittdienstleistern, das jährliche Testprogramm (Art. 24) und die regelmäßige Erprobung der Reaktions- und Wiederherstellungspläne. Wer die Übungs- und Testtermine in einen festen Jahresplan gießt – etwa quartalsweise Tabletop-Übungen plus jährliche Plan-Tests – erfüllt die Zyklen nachweisbar, statt ihnen hinterherzulaufen.
Häufige Fragen
Seit wann gilt DORA?
DORA (Verordnung (EU) 2022/2554) ist am 16. Januar 2023 in Kraft getreten und gilt seit dem 17. Januar 2025 unmittelbar in allen EU-Mitgliedstaaten (Art. 64). Eine nationale Umsetzung wie bei NIS2 war nicht nötig; es gab keine weitere Übergangsfrist.
Welche Meldefristen gelten bei IKT-Vorfällen unter DORA?
Die Fristen stehen in der Delegierten Verordnung (EU) 2025/301: Erstmeldung binnen 4 Stunden nach Klassifizierung als schwerwiegend, spätestens 24 Stunden nach Kenntnis; Zwischenmeldung binnen 72 Stunden nach der Erstmeldung; Abschlussmeldung spätestens einen Monat nach der letzten Zwischenmeldung.
Wie oft muss unter DORA getestet werden?
Alle IKT-Systeme, die kritische oder wichtige Funktionen unterstützen, sind mindestens jährlich zu testen (Art. 24 Abs. 6); Geschäftsfortführungs- sowie Reaktions- und Wiederherstellungspläne ebenfalls mindestens jährlich (Art. 11 Abs. 6). Für benannte Finanzunternehmen kommt TLPT mindestens alle drei Jahre hinzu (Art. 26 Abs. 1).
Hinweis: Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung. Maßgeblich sind die jeweils geltenden Gesetzes- und Verordnungstexte sowie der aktuelle Stand der nationalen Umsetzung.