Nexvyra

DORA – Digital Operational Resilience Act für den Finanzsektor

Inhaltlich verantwortet von Andreas Warkentin (warepoint-media GbR) · zuletzt geprüft am 2026-06-06 · Quellenautorität A (amtliche Primärquelle) Fehler melden ✉

DORA – Digital Operational Resilience Act für den Finanzsektor

Kurzantwort

Die Verordnung (EU) 2022/2554 (DORA) schafft einen einheitlichen Rahmen für digitale operationale Resilienz im EU-Finanzsektor. Sie gilt seit dem 17. Januar 2025 und betrifft Banken, Versicherungen, Wertpapierfirmen, Kryptodienstleister, Zahlungsdienstleister sowie kritische IKT-Drittanbieter. Pflichten umfassen IKT-Risikomanagement, Vorfallsmeldung an BaFin/EZB, digitale Resilienz-Tests (Threat-Led Penetration Testing alle 3 Jahre) und Drittanbieter-Risikomanagement. Aufsicht über kritische IKT-Anbieter erfolgt direkt durch die Europäische Aufsichtsbehörden (ESAs).

Kernfakten

PunktWert
RechtsgrundlageVerordnung (EU) 2022/2554 (DORA) [eur-lex.europa.eu, CELEX:32022R2554]
Inkrafttreten16. Januar 2023
Anwendung Pflicht17. Januar 2025 [Art. 64 DORA]
Erfasste FinanzunternehmenBanken, Versicherer, Wertpapierfirmen, AIFM, OGAW, Krypto-Dienstleister, ZahlungsDL, eGeld-Institute [Art. 2 DORA]
Erfasste IKT-Dienstleisternur kritische Drittanbieter unter direkter ESA-Aufsicht [Art. 31 DORA]
VerhältnismäßigkeitsprinzipMikrounternehmen geringere Pflichten [Art. 16 DORA]
Pflicht IKT-Risikomanagement-Rahmenumfassend, geschäftsleitungsverankert [Art. 5-15 DORA]
Pflicht Vorfallsmeldung — Frühwarnungbinnen 4 Stunden nach Klassifikation [Art. 19 DORA, RTS]
Vorfallsmeldung — Zwischenberichtbinnen 72 Stunden [RTS DORA]
Vorfallsmeldung — Abschlussberichtbinnen 1 Monat [RTS DORA]
Aufsicht DEBaFin für Finanzunternehmen [§ 1a KWG, BaFin-Mitteilung]
Aufsicht EU-kritische IKTEZB, EBA, EIOPA, ESMA (gemeinsam) [Art. 31 ff. DORA]
Threat-Led Penetration Testing (TLPT)alle 3 Jahre verpflichtend für „signifikante" Finanzunternehmen [Art. 26 DORA]
Klassifikation Vorfälle„schwer", „wesentlich" — Schwellen in RTS festgelegt
Drittanbieter-RegisterPflicht zur kompletten Listung aller IKT-Dienstleister [Art. 28 DORA]
Vertragsanforderungen IKT-DienstleisterMindestklauseln (Exit-Strategie, SLA, Audit-Rechte) [Art. 30 DORA]
Konzentrationsrisikoaktive Steuerung [Art. 29 DORA]
Bußgeldernach nationalem Recht; in DE ergänzend WpHG, KWG; Verbote bis Marktausschluss möglich [Art. 50 DORA]
Übergangsfristen TLPTAufbau bis spätestens 2027 [Art. 26 Abs. 4 DORA]
Verhältnis zu NIS-2Vorrangregel: DORA ist lex specialis im Finanzsektor [Art. 1 Abs. 2 DORA]
Verhältnis zu Outsourcing-LeitlinienDORA-Regeln ersetzen weitgehend EBA/EIOPA-Outsourcing-Leitlinien
Threat-Sharingfreiwillig + ggf. ESA-koordiniert [Art. 45 DORA]

Häufige Fehler

Quellen

Änderungsverlauf

Stand