DORA – Digital Operational Resilience Act für den Finanzsektor
DORA – Digital Operational Resilience Act für den Finanzsektor
Kurzantwort
Die Verordnung (EU) 2022/2554 (DORA) schafft einen einheitlichen Rahmen für digitale operationale Resilienz im EU-Finanzsektor. Sie gilt seit dem 17. Januar 2025 und betrifft Banken, Versicherungen, Wertpapierfirmen, Kryptodienstleister, Zahlungsdienstleister sowie kritische IKT-Drittanbieter. Pflichten umfassen IKT-Risikomanagement, Vorfallsmeldung an BaFin/EZB, digitale Resilienz-Tests (Threat-Led Penetration Testing alle 3 Jahre) und Drittanbieter-Risikomanagement. Aufsicht über kritische IKT-Anbieter erfolgt direkt durch die Europäische Aufsichtsbehörden (ESAs).
Kernfakten
| Punkt | Wert |
|---|---|
| Rechtsgrundlage | Verordnung (EU) 2022/2554 (DORA) [eur-lex.europa.eu, CELEX:32022R2554] |
| Inkrafttreten | 16. Januar 2023 |
| Anwendung Pflicht | 17. Januar 2025 [Art. 64 DORA] |
| Erfasste Finanzunternehmen | Banken, Versicherer, Wertpapierfirmen, AIFM, OGAW, Krypto-Dienstleister, ZahlungsDL, eGeld-Institute [Art. 2 DORA] |
| Erfasste IKT-Dienstleister | nur kritische Drittanbieter unter direkter ESA-Aufsicht [Art. 31 DORA] |
| Verhältnismäßigkeitsprinzip | Mikrounternehmen geringere Pflichten [Art. 16 DORA] |
| Pflicht IKT-Risikomanagement-Rahmen | umfassend, geschäftsleitungsverankert [Art. 5-15 DORA] |
| Pflicht Vorfallsmeldung — Frühwarnung | binnen 4 Stunden nach Klassifikation [Art. 19 DORA, RTS] |
| Vorfallsmeldung — Zwischenbericht | binnen 72 Stunden [RTS DORA] |
| Vorfallsmeldung — Abschlussbericht | binnen 1 Monat [RTS DORA] |
| Aufsicht DE | BaFin für Finanzunternehmen [§ 1a KWG, BaFin-Mitteilung] |
| Aufsicht EU-kritische IKT | EZB, EBA, EIOPA, ESMA (gemeinsam) [Art. 31 ff. DORA] |
| Threat-Led Penetration Testing (TLPT) | alle 3 Jahre verpflichtend für „signifikante" Finanzunternehmen [Art. 26 DORA] |
| Klassifikation Vorfälle | „schwer", „wesentlich" — Schwellen in RTS festgelegt |
| Drittanbieter-Register | Pflicht zur kompletten Listung aller IKT-Dienstleister [Art. 28 DORA] |
| Vertragsanforderungen IKT-Dienstleister | Mindestklauseln (Exit-Strategie, SLA, Audit-Rechte) [Art. 30 DORA] |
| Konzentrationsrisiko | aktive Steuerung [Art. 29 DORA] |
| Bußgelder | nach nationalem Recht; in DE ergänzend WpHG, KWG; Verbote bis Marktausschluss möglich [Art. 50 DORA] |
| Übergangsfristen TLPT | Aufbau bis spätestens 2027 [Art. 26 Abs. 4 DORA] |
| Verhältnis zu NIS-2 | Vorrangregel: DORA ist lex specialis im Finanzsektor [Art. 1 Abs. 2 DORA] |
| Verhältnis zu Outsourcing-Leitlinien | DORA-Regeln ersetzen weitgehend EBA/EIOPA-Outsourcing-Leitlinien |
| Threat-Sharing | freiwillig + ggf. ESA-koordiniert [Art. 45 DORA] |
Häufige Fehler
- „DORA ist nur was für Großbanken." Falsch – auch kleine Versicherer, Krypto-Custodians und KMU-Wertpapierfirmen sind erfasst.
- „NIS-2 reicht für uns." Nein – im Finanzsektor ist DORA lex specialis und verdrängt NIS-2.
- „IKT-Risikomanagement reicht in IT-Abteilung." Falsch – DORA verlangt Geschäftsleitungs-Verantwortung.
Quellen
- Verordnung (EU) 2022/2554 (DORA Volltext):: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R2554
- BaFin – DORA-Aufsicht:: https://www.bafin.de/DE/unternehmen-maerkte/aufsicht/alle-unternehmen/dora/ueberblick/ueberblick_node.html
- ESAs – Joint Implementation:: https://www.eba.europa.eu/activities/direct-supervision-and-oversight/digital-operational-resilience-act
Änderungsverlauf
- 2026-06-06: Erstveröffentlichung. Werte gegen Verordnung (EU) 2022/2554 (eur-lex.europa.eu) und BaFin-DORA-Aufsicht geprüft. | change_type=initial_publication field="topic_lifecycle" new="published" reviewed_by="Andreas Warkentin"
Stand
- Stand: 2026-06-06
- Gültig ab: 2025-01-17 (Anwendung)
- Status: aktuell
- Quellenautorität: A (EUR-Lex, BaFin, ESAs)
- Lizenz: CC BY 4.0
Fehler gefunden? Bitte melden an info@nexvyra.de — wir prüfen Korrekturmeldungen typischerweise innerhalb von 48