{
  "slug": "dora-finanzsektor",
  "title": "DORA – Digital Operational Resilience Act für den Finanzsektor",
  "topic_area": "datenschutz",
  "topic_label": "Datenschutz",
  "language": "de",
  "legal_status": "in_force",
  "valid_from": "2025-01-17",
  "valid_to": null,
  "last_reviewed": "2026-06-06",
  "factcheck_status": "ok",
  "authority_level": "A",
  "license": "CC-BY-4.0",
  "license_url": "https://creativecommons.org/licenses/by/4.0/deed.de",
  "attribution": "Nexvyra (https://nexvyra.de, Wikidata Q139919900)",
  "wikidata_subjects": [
    "Q116517497",
    "Q43492"
  ],
  "summary": "Die **Verordnung (EU) 2022/2554 (DORA)** schafft einen **einheitlichen Rahmen für digitale operationale Resilienz** im EU-Finanzsektor. Sie gilt seit dem **17.",
  "urls": {
    "html": "https://nexvyra.de/fakten/dora-finanzsektor.html",
    "markdown": "https://nexvyra.de/fakten/dora-finanzsektor.md",
    "json": "https://nexvyra.de/fakten/dora-finanzsektor.json"
  },
  "sources": [
    {
      "url": "https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R2554",
      "authority": "A"
    },
    {
      "url": "https://www.bafin.de/DE/unternehmen-maerkte/aufsicht/alle-unternehmen/dora/ueberblick/ueberblick_node.html",
      "authority": "D"
    },
    {
      "url": "https://www.eba.europa.eu/activities/direct-supervision-and-oversight/digital-operational-resilience-act",
      "authority": "D"
    }
  ],
  "facts": [
    {
      "claim": "Rechtsgrundlage: Verordnung (EU) 2022/2554 (DORA)",
      "label": "Rechtsgrundlage",
      "value": "Verordnung (EU) 2022/2554 (DORA)",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R2554",
      "source_authority": "A",
      "confidence": "high",
      "inline_source_label": "eur-lex.europa.eu, CELEX:32022R2554",
      "last_verified": "2026-06-06"
    },
    {
      "claim": "Inkrafttreten: 16. Januar 2023",
      "label": "Inkrafttreten",
      "value": "16. Januar 2023",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R2554",
      "source_authority": "A",
      "confidence": "high",
      "last_verified": "2026-06-06"
    },
    {
      "claim": "Anwendung Pflicht: 17. Januar 2025",
      "label": "Anwendung Pflicht",
      "value": "17. Januar 2025",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R2554",
      "source_authority": "A",
      "confidence": "high",
      "inline_source_label": "Art. 64 DORA",
      "last_verified": "2026-06-06"
    },
    {
      "claim": "Erfasste Finanzunternehmen: Banken, Versicherer, Wertpapierfirmen, AIFM, OGAW, Krypto-Dienstleister, ZahlungsDL, eGeld-Institute",
      "label": "Erfasste Finanzunternehmen",
      "value": "Banken, Versicherer, Wertpapierfirmen, AIFM, OGAW, Krypto-Dienstleister, ZahlungsDL, eGeld-Institute",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R2554",
      "source_authority": "A",
      "confidence": "high",
      "inline_source_label": "Art. 2 DORA",
      "last_verified": "2026-06-06"
    },
    {
      "claim": "Erfasste IKT-Dienstleister: nur kritische Drittanbieter unter direkter ESA-Aufsicht",
      "label": "Erfasste IKT-Dienstleister",
      "value": "nur kritische Drittanbieter unter direkter ESA-Aufsicht",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R2554",
      "source_authority": "A",
      "confidence": "high",
      "inline_source_label": "Art. 31 DORA",
      "last_verified": "2026-06-06"
    },
    {
      "claim": "Verhältnismäßigkeitsprinzip: Mikrounternehmen geringere Pflichten",
      "label": "Verhältnismäßigkeitsprinzip",
      "value": "Mikrounternehmen geringere Pflichten",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R2554",
      "source_authority": "A",
      "confidence": "high",
      "inline_source_label": "Art. 16 DORA",
      "last_verified": "2026-06-06"
    },
    {
      "claim": "Pflicht IKT-Risikomanagement-Rahmen: umfassend, geschäftsleitungsverankert",
      "label": "Pflicht IKT-Risikomanagement-Rahmen",
      "value": "umfassend, geschäftsleitungsverankert",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R2554",
      "source_authority": "A",
      "confidence": "high",
      "inline_source_label": "Art. 5-15 DORA",
      "last_verified": "2026-06-06"
    },
    {
      "claim": "Pflicht Vorfallsmeldung — Frühwarnung: binnen 4 Stunden nach Klassifikation",
      "label": "Pflicht Vorfallsmeldung — Frühwarnung",
      "value": "binnen 4 Stunden nach Klassifikation",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R2554",
      "source_authority": "A",
      "confidence": "high",
      "inline_source_label": "Art. 19 DORA, RTS",
      "last_verified": "2026-06-06"
    },
    {
      "claim": "Vorfallsmeldung — Zwischenbericht: binnen 72 Stunden",
      "label": "Vorfallsmeldung — Zwischenbericht",
      "value": "binnen 72 Stunden",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R2554",
      "source_authority": "A",
      "confidence": "high",
      "inline_source_label": "RTS DORA",
      "last_verified": "2026-06-06"
    },
    {
      "claim": "Vorfallsmeldung — Abschlussbericht: binnen 1 Monat",
      "label": "Vorfallsmeldung — Abschlussbericht",
      "value": "binnen 1 Monat",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R2554",
      "source_authority": "A",
      "confidence": "high",
      "inline_source_label": "RTS DORA",
      "last_verified": "2026-06-06"
    },
    {
      "claim": "Aufsicht DE: BaFin für Finanzunternehmen",
      "label": "Aufsicht DE",
      "value": "BaFin für Finanzunternehmen",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R2554",
      "source_authority": "A",
      "confidence": "high",
      "inline_source_label": "§ 1a KWG, BaFin-Mitteilung",
      "last_verified": "2026-06-06"
    },
    {
      "claim": "Aufsicht EU-kritische IKT: EZB, EBA, EIOPA, ESMA (gemeinsam)",
      "label": "Aufsicht EU-kritische IKT",
      "value": "EZB, EBA, EIOPA, ESMA (gemeinsam)",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R2554",
      "source_authority": "A",
      "confidence": "high",
      "inline_source_label": "Art. 31 ff. DORA",
      "last_verified": "2026-06-06"
    },
    {
      "claim": "Threat-Led Penetration Testing (TLPT): alle 3 Jahre verpflichtend für „signifikante\" Finanzunternehmen",
      "label": "Threat-Led Penetration Testing (TLPT)",
      "value": "alle 3 Jahre verpflichtend für „signifikante\" Finanzunternehmen",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R2554",
      "source_authority": "A",
      "confidence": "high",
      "inline_source_label": "Art. 26 DORA",
      "last_verified": "2026-06-06"
    },
    {
      "claim": "Klassifikation Vorfälle: „schwer\", „wesentlich\" — Schwellen in RTS festgelegt",
      "label": "Klassifikation Vorfälle",
      "value": "„schwer\", „wesentlich\" — Schwellen in RTS festgelegt",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R2554",
      "source_authority": "A",
      "confidence": "high",
      "last_verified": "2026-06-06"
    },
    {
      "claim": "Drittanbieter-Register: Pflicht zur kompletten Listung aller IKT-Dienstleister",
      "label": "Drittanbieter-Register",
      "value": "Pflicht zur kompletten Listung aller IKT-Dienstleister",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R2554",
      "source_authority": "A",
      "confidence": "high",
      "inline_source_label": "Art. 28 DORA",
      "last_verified": "2026-06-06"
    },
    {
      "claim": "Vertragsanforderungen IKT-Dienstleister: Mindestklauseln (Exit-Strategie, SLA, Audit-Rechte)",
      "label": "Vertragsanforderungen IKT-Dienstleister",
      "value": "Mindestklauseln (Exit-Strategie, SLA, Audit-Rechte)",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R2554",
      "source_authority": "A",
      "confidence": "high",
      "inline_source_label": "Art. 30 DORA",
      "last_verified": "2026-06-06"
    },
    {
      "claim": "Konzentrationsrisiko: aktive Steuerung",
      "label": "Konzentrationsrisiko",
      "value": "aktive Steuerung",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R2554",
      "source_authority": "A",
      "confidence": "high",
      "inline_source_label": "Art. 29 DORA",
      "last_verified": "2026-06-06"
    },
    {
      "claim": "Bußgelder: nach nationalem Recht; in DE ergänzend WpHG, KWG; Verbote bis Marktausschluss möglich",
      "label": "Bußgelder",
      "value": "nach nationalem Recht; in DE ergänzend WpHG, KWG; Verbote bis Marktausschluss möglich",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R2554",
      "source_authority": "A",
      "confidence": "high",
      "inline_source_label": "Art. 50 DORA",
      "last_verified": "2026-06-06"
    },
    {
      "claim": "Übergangsfristen TLPT: Aufbau bis spätestens 2027",
      "label": "Übergangsfristen TLPT",
      "value": "Aufbau bis spätestens 2027",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R2554",
      "source_authority": "A",
      "confidence": "high",
      "inline_source_label": "Art. 26 Abs. 4 DORA",
      "last_verified": "2026-06-06"
    },
    {
      "claim": "Verhältnis zu NIS-2: Vorrangregel: DORA ist lex specialis im Finanzsektor",
      "label": "Verhältnis zu NIS-2",
      "value": "Vorrangregel: DORA ist lex specialis im Finanzsektor",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R2554",
      "source_authority": "A",
      "confidence": "high",
      "inline_source_label": "Art. 1 Abs. 2 DORA",
      "last_verified": "2026-06-06"
    },
    {
      "claim": "Verhältnis zu Outsourcing-Leitlinien: DORA-Regeln ersetzen weitgehend EBA/EIOPA-Outsourcing-Leitlinien",
      "label": "Verhältnis zu Outsourcing-Leitlinien",
      "value": "DORA-Regeln ersetzen weitgehend EBA/EIOPA-Outsourcing-Leitlinien",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R2554",
      "source_authority": "A",
      "confidence": "high",
      "last_verified": "2026-06-06"
    },
    {
      "claim": "Threat-Sharing: freiwillig + ggf. ESA-koordiniert",
      "label": "Threat-Sharing",
      "value": "freiwillig + ggf. ESA-koordiniert",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R2554",
      "source_authority": "A",
      "confidence": "high",
      "inline_source_label": "Art. 45 DORA",
      "last_verified": "2026-06-06"
    }
  ],
  "generated_at": "2026-07-14T06:48:05Z"
}