---
title: DORA – Digital Operational Resilience Act für den Finanzsektor
slug: dora-finanzsektor
topic: datenschutz
legal_status: in_force
authority_level: A
valid_from: 2025-01-17
valid_to: null
last_reviewed: 2026-06-06
status: aktuell
license: CC-BY-4.0
url: https://nexvyra.de/fakten/dora-finanzsektor.md
wikidata_subjects: [Q116517497, Q43492]
factcheck_status: ok
---

# DORA – Digital Operational Resilience Act für den Finanzsektor

## Kurzantwort

Die **Verordnung (EU) 2022/2554 (DORA)** schafft einen **einheitlichen Rahmen für digitale operationale Resilienz** im EU-Finanzsektor. Sie gilt seit dem **17. Januar 2025** und betrifft **Banken, Versicherungen, Wertpapierfirmen, Kryptodienstleister, Zahlungsdienstleister sowie kritische IKT-Drittanbieter**. Pflichten umfassen **IKT-Risikomanagement**, **Vorfallsmeldung an BaFin/EZB**, **digitale Resilienz-Tests (Threat-Led Penetration Testing alle 3 Jahre)** und **Drittanbieter-Risikomanagement**. Aufsicht über kritische IKT-Anbieter erfolgt direkt durch die **Europäische Aufsichtsbehörden (ESAs)**.

## Kernfakten

| Punkt | Wert |
|---|---|
| Rechtsgrundlage | Verordnung (EU) 2022/2554 (DORA) [eur-lex.europa.eu, CELEX:32022R2554] |
| Inkrafttreten | **16. Januar 2023** |
| Anwendung Pflicht | **17. Januar 2025** [Art. 64 DORA] |
| Erfasste Finanzunternehmen | Banken, Versicherer, Wertpapierfirmen, AIFM, OGAW, Krypto-Dienstleister, ZahlungsDL, eGeld-Institute [Art. 2 DORA] |
| Erfasste IKT-Dienstleister | nur **kritische** Drittanbieter unter direkter ESA-Aufsicht [Art. 31 DORA] |
| Verhältnismäßigkeitsprinzip | Mikrounternehmen geringere Pflichten [Art. 16 DORA] |
| Pflicht IKT-Risikomanagement-Rahmen | umfassend, geschäftsleitungsverankert [Art. 5-15 DORA] |
| Pflicht Vorfallsmeldung — Frühwarnung | binnen **4 Stunden** nach Klassifikation [Art. 19 DORA, RTS] |
| Vorfallsmeldung — Zwischenbericht | binnen **72 Stunden** [RTS DORA] |
| Vorfallsmeldung — Abschlussbericht | binnen **1 Monat** [RTS DORA] |
| Aufsicht DE | **BaFin** für Finanzunternehmen [§ 1a KWG, BaFin-Mitteilung] |
| Aufsicht EU-kritische IKT | EZB, EBA, EIOPA, ESMA (gemeinsam) [Art. 31 ff. DORA] |
| Threat-Led Penetration Testing (TLPT) | alle **3 Jahre** verpflichtend für „signifikante" Finanzunternehmen [Art. 26 DORA] |
| Klassifikation Vorfälle | „schwer", „wesentlich" — Schwellen in RTS festgelegt |
| Drittanbieter-Register | Pflicht zur kompletten Listung aller IKT-Dienstleister [Art. 28 DORA] |
| Vertragsanforderungen IKT-Dienstleister | Mindestklauseln (Exit-Strategie, SLA, Audit-Rechte) [Art. 30 DORA] |
| Konzentrationsrisiko | aktive Steuerung [Art. 29 DORA] |
| Bußgelder | nach nationalem Recht; in DE ergänzend WpHG, KWG; Verbote bis Marktausschluss möglich [Art. 50 DORA] |
| Übergangsfristen TLPT | Aufbau bis spätestens 2027 [Art. 26 Abs. 4 DORA] |
| Verhältnis zu NIS-2 | Vorrangregel: DORA ist lex specialis im Finanzsektor [Art. 1 Abs. 2 DORA] |
| Verhältnis zu Outsourcing-Leitlinien | DORA-Regeln ersetzen weitgehend EBA/EIOPA-Outsourcing-Leitlinien |
| Threat-Sharing | freiwillig + ggf. ESA-koordiniert [Art. 45 DORA] |

## Häufige Fehler

- **„DORA ist nur was für Großbanken."** Falsch – auch kleine Versicherer, Krypto-Custodians und KMU-Wertpapierfirmen sind erfasst.
- **„NIS-2 reicht für uns."** Nein – im Finanzsektor ist DORA lex specialis und verdrängt NIS-2.
- **„IKT-Risikomanagement reicht in IT-Abteilung."** Falsch – DORA verlangt **Geschäftsleitungs-Verantwortung**.




## Quellen

- Verordnung (EU) 2022/2554 (DORA Volltext):
  https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R2554
- BaFin – DORA-Aufsicht:
  https://www.bafin.de/DE/unternehmen-maerkte/aufsicht/alle-unternehmen/dora/ueberblick/ueberblick_node.html
- ESAs – Joint Implementation:
  https://www.eba.europa.eu/activities/direct-supervision-and-oversight/digital-operational-resilience-act

## Änderungsverlauf

- 2026-06-06: Erstveröffentlichung. Werte gegen Verordnung (EU) 2022/2554 (eur-lex.europa.eu) und BaFin-DORA-Aufsicht geprüft. | change_type=initial_publication field="topic_lifecycle" new="published" reviewed_by="Andreas Warkentin"

## Stand

- Stand: 2026-06-06
- Gültig ab: 2025-01-17 (Anwendung)
- Status: aktuell
- Quellenautorität: A (EUR-Lex, BaFin, ESAs)
- Lizenz: CC BY 4.0
