Der Finanzsektor hat in zwei Jahrzehnten mehr als 20.000 Cyberangriffe erlitten, mit kumulierten Verlusten von über 12 Milliarden US-Dollar – so der Internationale Währungsfonds (IWF). Dieselbe Organisation warnt in ihrem Global Financial Stability Report 2024, dass das Ausmaß extremer Verluste seit 2017 mehr als vervierfacht wurde und nun 2,5 Milliarden US-Dollar erreicht. In diesem Kontext entstand die DORA-Verordnung, die seit dem 17. Januar 2025 in Kraft ist: eine europäische Regelung, die genau verhindern soll, dass ein Ausfall von Informations- und Kommunikationstechnologie-Systemen (IKT) zu einer systemischen Krise wird, die das gesamte Finanzsystem gefährdet.
Wenn Ihr Unternehmen eine Bank, ein Versicherungsunternehmen, eine Verwaltungsgesellschaft, ein Zahlungsdienstleister oder ein Technologieanbieter ist, der einen dieser Akteure bedient, ist die DORA-Compliance keine Option mehr. Dieser Leitfaden erklärt, was die Verordnung vorschreibt, wen sie betrifft, ihre fünf Säulen, die wichtigen Termine und Fristen sowie eine praktische Roadmap zur rechtzeitigen Umsetzung.
Was ist die DORA-Verordnung und warum ist sie für den Finanzsektor wichtig?
Die DORA-Verordnung – englisches Akronym für Digital Operational Resilience Act – ist die Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale Betriebsresilienz im Finanzsektor. Im Unterschied zu einer Richtlinie, die jeder Mitgliedstaat in nationales Recht umsetzen muss, gilt eine Verordnung unmittelbar in allen Ländern der Europäischen Union. Das bedeutet: Seit dem 17. Januar 2025 sind ihre Pflichten in Deutschland, Spanien, Frankreich oder Italien gleichermaßen durchsetzbar – ohne Spielraum für nationale Interpretationen, die sie abschwächen könnten.
Die Logik von DORA ist klar formuliert und anspruchsvoll umzusetzen: Die Stabilität eines Finanzinstituts hängt nicht mehr nur von seiner Solvenz oder Liquidität ab, sondern auch von seiner Fähigkeit, IKT-bezogenen Vorfällen zu widerstehen, auf sie zu reagieren und sich davon zu erholen. Ein Ransomware-Angriff, der das Zahlungssystem lahmlegt, ein längerer Ausfall des Cloud-Anbieters, der das Kernbanksystem hostet, oder ein Kettenversagen eines kritischen Drittanbieters können systemische Auswirkungen haben, die einer Kapitalkrise gleichkommen.
Die Daten belegen diese Bedenken. Die Europäische Agentur für Cybersicherheit ENISA analysierte 488 öffentlich gemeldete Cybervorfälle im europäischen Finanzsektor zwischen Januar 2023 und Juni 2024 – laut ihrem Bericht Threat Landscape: Finance Sector vom Februar 2025. Banken waren die am häufigsten betroffenen Institute mit 46 % der Vorfälle (301 Fälle). Die regulatorische Schlussfolgerung liegt auf der Hand: Digitale Resilienz muss mit der gleichen Sorgfalt verwaltet werden wie jedes andere Finanzrisiko.
DORA harmonisiert und erhöht die Anforderungen in der gesamten EU. Vor ihrem Inkrafttreten verteilten sich die Cybersicherheitsanforderungen auf sektorale Leitfäden, Empfehlungen nationaler Aufsichtsbehörden und verstreute Regelwerke. Jetzt gibt es einen einheitlichen, verbindlichen Rahmen, der von den Europäischen Aufsichtsbehörden (ESAs: EBA für Banken, EIOPA für Versicherungen und ESMA für Märkte) überwacht wird.
Auf wen gilt DORA: Finanzinstitute und kritische IKT-Drittanbieter
Der Anwendungsbereich der DORA-Verordnung ist bewusst weit gefasst. Sie beschränkt sich nicht auf Großbanken, sondern deckt nahezu das gesamte regulierte Finanzökosystem ab und erfasst – erstmals mit bindender Wirkung – auch die Technologieanbieter, die diese Institute bedienen.
Finanzinstitute im Anwendungsbereich
DORA gilt unter anderem für folgende Kategorien von Finanzinstituten:
- Kreditinstitute (Banken) und Zahlungsdienstleister.
- Wertpapierfirmen und Fondsverwalter.
- Versicherungs- und Rückversicherungsunternehmen sowie Versicherungsvermittler.
- E-Geld-Institute und Kryptowertedienstleister.
- Marktinfrastrukturen: Zentralverwahrer, zentrale Gegenparteien und Handelsplätze.
- Crowdfunding-Dienstleister und Ratingagenturen.
Das Verhältnismäßigkeitsprinzip moduliert die Intensität der Anforderungen: Kleinstunternehmen und bestimmte kleine Institute unterliegen einem vereinfachten IKT-Risikomanagementrahmen, während größere und systemrelevante Institute den vollständigen Anforderungskatalog erfüllen müssen – einschließlich erweiterter Penetrationstests.
IKT-Drittanbieter: die wichtigste Neuerung
Das innovativste Element von DORA ist die Erweiterung des Blickwinkels auf IKT-Drittanbieter: Softwareunternehmen, Managed-Service-Anbieter, Rechenzentren und insbesondere die großen Cloud-Computing-Anbieter. Die Abhängigkeit des Finanzsektors von einer Handvoll Cloud-Hyperscalern ist genau eines der Konzentrationsrisiken, die die Verordnung im Blick hat.
Für als kritisch eingestufte Anbieter schafft DORA eine neue Kategorie: den kritischen IKT-Drittanbieter (CTPP), der der direkten Aufsicht eines Hauptaufsehers unterliegt, der von den ESAs ernannt wird. Im November 2025 veröffentlichten die Europäischen Aufsichtsbehörden über ihren Gemeinsamen Ausschuss die erste offizielle Liste mit 19 designierten kritischen IKT-Drittanbietern gemäß Artikel 31 der Verordnung. Jeder steht unter der Aufsicht eines Hauptaufsehers – EBA, EIOPA oder ESMA – mit Befugnissen zur Inspektion, Informationsanforderung und Sanktionsverhängung.
Die Sanktionen haben Biss. Gemäß Artikel 35 der DORA-Verordnung kann der Hauptaufseher gegen einen kritischen Anbieter periodische Zwangsgelder von bis zu 1 % des weltweiten durchschnittlichen täglichen Umsatzes des Anbieters pro Tag des Verstoßes verhängen – für maximal sechs Monate. Bei einem globalen Hyperscaler entspricht dieser Tagesprozentsatz Beträgen, die kein Vorstand ignorieren kann.
Die praktische Konsequenz für Finanzinstitute ist eindeutig: Verantwortung lässt sich nicht auslagern. Auch wenn Sie kritische Dienste an Dritte delegieren, bleiben Sie gegenüber Ihrem Aufseher für die Resilienz der gesamten Kette verantwortlich. Deshalb ist das Vertrags- und Risikomanagement von IKT-Anbietern zu einem prioritären Bereich geworden, eng verknüpft mit den Automatisierungs- und Kontrollaufgaben, die wir in unseren Leistungen zur Compliance-Automatisierung für Fintech behandeln.
Was sind die 5 Säulen der DORA-Verordnung?
Die DORA-Verordnung ist um fünf Säulen aufgebaut, die zusammen den vollständigen Zyklus der digitalen Betriebsresilienz abdecken: verhindern, erkennen, reagieren, wiederherstellen und lernen. Diese zu kennen ist der erste Schritt, um die Verordnung in einen konkreten Arbeitsplan zu übersetzen.
| Säule | Artikel | Kernziel |
|---|---|---|
| 1. IKT-Risikomanagement | Art. 5–16 | Governance-Rahmen, Identifizierung, Schutz und Erholung bei IKT-Risiken |
| 2. Management und Meldung von IKT-Vorfällen | Art. 17–23 | Schwerwiegende Vorfälle klassifizieren und fristgerecht an die zuständige Behörde melden |
| 3. Tests der digitalen Betriebsresilienz (inkl. TLPT) | Art. 24–27 | Regelmäßige Prüfung der Systemrobustheit, einschließlich erweiterter Penetrationstests |
| 4. Management des IKT-Drittanbieterrisikos | Art. 28–30 | Abhängigkeit von externen Anbietern und Konzentrationsrisiken kontrollieren |
| 5. Informationsaustausch über Bedrohungen | Art. 45–49 | Freiwilligen Austausch von Cyberbedrohungsinformationen zwischen Instituten fördern |
Säule 1: IKT-Risikomanagement
Dies ist das Rückgrat von DORA. Es erfordert einen soliden Governance-Rahmen, in dem das Leitungsorgan die letztendliche Verantwortung für das IKT-Risikomanagement übernimmt – diese kann nicht vollständig an die IT-Abteilung delegiert werden. Dazu gehören Bestandsidentifizierung, Schutz und Prävention, Anomalieerkennung, Geschäftskontinuitätspolitik sowie Reaktions- und Wiederherstellungspläne.
Säule 2: Management und Meldung von IKT-Vorfällen
Verpflichtet zur Einrichtung eines Prozesses zur Erkennung, Verwaltung, Klassifizierung und Meldung von IKT-bezogenen Vorfällen. Als schwerwiegend eingestufte Vorfälle lösen Meldepflichten an die zuständige Behörde innerhalb sehr enger Fristen aus, die wir im folgenden Abschnitt detaillieren.
Säule 3: Tests der digitalen Betriebsresilienz
Alle Institute müssen ihre Systeme einem regelmäßigen Testprogramm unterziehen (Schwachstellenanalysen, Sicherheitsbewertungen, Kontinuitätstests). Bedeutende Institute müssen darüber hinausgehen und bedrohungsgeleitete Penetrationstests (TLPT, Threat-Led Penetration Testing) durchführen, die echte Angriffe auf Produktionssysteme simulieren.
Säule 4: Management des IKT-Drittanbieterrisikos
Legt die vertraglichen Mindestanforderungen fest, die in Vereinbarungen mit IKT-Anbietern enthalten sein müssen – Zugangs-, Prüf- und Inspektionsrechte, Ausstiegsstrategien, Servicelevel – und schafft den Rahmen für die direkte Aufsicht über kritische Anbieter.
Säule 5: Informationsaustausch über Bedrohungen
Fördert auf freiwilliger Basis, dass Institute untereinander Informationen und Erkenntnisse über Cyberbedrohungen innerhalb vertrauenswürdiger Gemeinschaften austauschen, um die kollektive Abwehr des Sektors zu stärken.
Wichtige Termine: In Kraft seit dem 17. Januar 2025
Anders als andere Regelwerke mit langen Übergangsfristen legte DORA einen einzigen und verbindlichen Termin fest. Die Verordnung (EU) 2022/2554 wurde im Dezember 2022 veröffentlicht und sah eine Anpassungszeit von zwei Jahren vor. Seit dem 17. Januar 2025 sind ihre Anforderungen vollständig durchsetzbar. Es gibt keine zweite Phase: Wer zu diesem Datum nicht bereit war, befindet sich seitdem in einem Verstoß.
Ab diesem Zeitpunkt wird der Kalender von Entwicklungs- und Aufsichtsmeilensteinen bestimmt:
- 17. Januar 2025: Vollständige Anwendung der Verordnung. Alle Institute im Anwendungsbereich müssen ihren IKT-Risikomanagementrahmen, ihren Vorfallsmeldeprozess und ihr Register der IKT-Anbieterverträge eingerichtet haben.
- Im Laufe des Jahres 2025: Inkrafttreten der technischen Regulierungsstandards (RTS und ITS), die von den ESAs ausgearbeitet wurden und Aspekte wie die Vorfallsklassifizierung und Meldevorlagen konkretisieren.
- November 2025: Veröffentlichung der ersten offiziellen Liste mit 19 designierten kritischen IKT-Drittanbietern durch die ESAs, die ihre Beziehung zum jeweiligen Hauptaufseher aufnehmen.
Die Botschaft für diejenigen, die noch im Rückstand sind: Das Gnadenfenster ist geschlossen. Die Priorität besteht jetzt nicht darin, zu diskutieren, ob DORA gilt, sondern die bestehenden Lücken zu schließen, bevor ein Vorfall oder eine Inspektion sie aufdeckt.
Meldung schwerwiegender Vorfälle: Fristen von 4 Stunden, 72 Stunden und 1 Monat
Wenn es eine DORA-Pflicht gibt, die man wörtlich verinnerlichen sollte, dann ist es das Melderegime für schwerwiegende Vorfälle. Die Fristen sind in den regulatorischen technischen Standards (RTS) festgelegt, die gemeinsam von EBA, ESMA und EIOPA entwickelt wurden und in der Delegierten Verordnung (EU) 2025/302 enthalten sind. Der Prozess gliedert sich in drei aufeinanderfolgende Berichte:
- Erstmeldung: Muss der zuständigen Behörde so schnell wie möglich, innerhalb von 4 Stunden nach Einstufung des Vorfalls als schwerwiegend und in jedem Fall spätestens 24 Stunden nach Kenntnisnahme des Vorfalls übermittelt werden.
- Zwischenbericht: Innerhalb von 72 Stunden nach der Erstmeldung, mit aktualisierten Informationen zum Vorfallsstatus und den ergriffenen Maßnahmen.
- Abschlussbericht: Spätestens innerhalb von einem Monat, mit Ursachenanalyse, tatsächlichen Auswirkungen und eingeleiteten Korrekturmaßnahmen zur Vermeidung einer Wiederholung.
| Bericht | Frist | Inhalt |
|---|---|---|
| Erstmeldung | 4 Std. nach Einstufung als schwerwiegend (max. 24 Std. nach Kenntnisnahme) | Frühwarnung über den schwerwiegenden Vorfall |
| Zwischenbericht | 72 Std. nach Erstmeldung | Aktueller Status und laufende Maßnahmen |
| Abschlussbericht | 1 Monat | Ursache, Auswirkungen und Korrekturmaßnahmen |
Die Einhaltung dieser Fristen ist nicht nur eine Frage des guten Willens: Sie erfordert eine nahezu in Echtzeit arbeitende Erkennungs- und Klassifizierungskapazität. Vier Stunden sind sehr wenig Zeit, wenn das Sicherheitsteam den Vorfall entdeckt, seinen Schweregrad bewertet, intern eskaliert und die Meldung manuell vorbereitet. Daher ist die Automatisierung von Erkennung, Klassifizierung und Meldeabläufen eines der Projekte mit dem höchsten Ertrag für DORA-pflichtige Institute.
Es lohnt sich, die Kohärenz mit anderen europäischen Rahmenwerken hervorzuheben. Institute, die bereits an ihrer Anpassung an die Cybersicherheitsrichtlinie für wesentliche Einrichtungen gearbeitet haben, starten mit Vorteilen, da viele Kontrollen gemeinsam sind – wie wir in unserem Leitfaden zu NIS2-Compliance-Dienstleistungen erläutern. DORA ist tatsächlich die lex specialis des Finanzsektors gegenüber dem allgemeinen NIS2-Rahmen.
Wie Sie sich auf DORA vorbereiten: Praktische Roadmap
Die Frage, die wir am häufigsten erhalten, ist nicht was DORA vorschreibt, sondern wo man anfangen soll. Dies ist eine Roadmap in sechs Phasen, die die Arbeit nach Auswirkungen und Aufgabenabhängigkeiten ordnet.
1. Diagnose und Lückenanalyse (Gap Analysis)
Messen Sie, bevor Sie investieren. Vergleichen Sie Ihre aktuelle Situation mit den fünf Säulen und dokumentieren Sie jede Lücke mit ihrem Kritikalitätsgrad. Das Ergebnis ist eine Heatmap, die den Aufwand priorisiert und verhindert, Ressourcen dort zu verschwenden, wo Sie bereits konform sind.
2. Governance und Verantwortung des Leitungsorgans
DORA verlangt, dass der Vorstand oder das Leitungsorgan die Aufsicht über das IKT-Risiko formell übernimmt. Dies schlägt sich in Richtlinien nieder, die auf höchster Ebene verabschiedet wurden, klarer Verantwortungszuweisung und spezifischer Schulung der Leitungspersonen. Digitale Resilienz hört auf, eine rein technische Angelegenheit zu sein, und wird zur Verantwortung der Unternehmensführung.
3. Inventar und IKT-Anbieterregister
Erstellen und pflegen Sie das Informationsregister aller vertraglichen Vereinbarungen mit IKT-Dienstleistern und identifizieren Sie, welche wesentliche oder wichtige Funktionen unterstützen. Ohne dieses Inventar ist es unmöglich, das Drittanbieterrisiko zu steuern oder auf eine Anfrage des Aufsehers zu reagieren.
4. Vertragsüberprüfung und Ausstiegsstrategien
Verhandeln Sie Verträge mit Anbietern neu, um die von DORA geforderten Mindestklauseln aufzunehmen: Prüf- und Inspektionsrechte, Servicelevel, Ort der Datenverarbeitung und insbesondere dokumentierte Ausstiegsstrategien, die eine Servicemigration ohne kritische Unterbrechungen ermöglichen, falls der Anbieter ausfällt.
5. Vorfallserkennungs- und -meldekapazität
Implementieren oder stärken Sie die Tools und Prozesse, die es Ihnen ermöglichen, schwerwiegende Vorfälle innerhalb der Fristen von 4 Stunden, 72 Stunden und einem Monat zu erkennen, zu klassifizieren und zu melden. Hier macht die Automatisierung den Unterschied zwischen Compliance und dem Risiko einer Sanktion.
6. Resilienz-Testprogramm
Definieren Sie einen Kalender für regelmäßige Tests und planen Sie, falls Ihr Institut zu den bedeutenden gehört, bedrohungsgeleitete Penetrationstests (TLPT). Dokumentieren Sie Ergebnisse, Remediationspläne und deren Nachverfolgung.
Ein Praxistipp: Behandeln Sie DORA als mehrjähriges Programm mit eigenem Steuerungsgremium, nicht als einmaliges Projekt. Die Aufsicht ist kontinuierlich und die Verordnung lebt: Neue RTS und Designationen kritischer Anbieter werden regelmäßig hinzukommen.
Zusammenfassung der Roadmap
| Phase | Fokus | Erwartetes Ergebnis |
|---|---|---|
| 1. Diagnose | Gap Analysis gegenüber den 5 Säulen | Priorisierte Lückenkarte |
| 2. Governance | Verantwortung des Leitungsorgans | Verabschiedete Richtlinien und definierte Rollen |
| 3. IKT-Inventar | Anbieterregister und Funktionen | Aktualisiertes Informationsregister |
| 4. Verträge | DORA-Klauseln und Ausstiegsstrategien | Konforme Verträge und Ausstiegspläne |
| 5. Vorfälle | Erkennung und fristgerechte Meldung | Operativer Ablauf 4 Std. / 72 Std. / 1 Monat |
| 6. Tests | Testprogramm und TLPT | Kalender und Nachweise der Remediation |
Fazit: Compliance in echte Resilienz umwandeln
Die DORA-Verordnung ist kein bürokratisches Regulierungsübung. Ihr eigentliches Ziel – zu verhindern, dass ein IKT-Ausfall zu einer systemischen Finanzkrise eskaliert – deckt sich mit dem Eigeninteresse jedes Instituts: weiterzubetreiben, wenn etwas schiefgeht. Die Zahlen des IWF und der ENISA machen deutlich, dass Cybervorfälle im Finanzsektor keine Hypothese sind, sondern eine alltägliche und wachsende Realität. DORA-Compliance, richtig verstanden, ist eine Investition in Geschäftskontinuität und Kundenvertrauen.
Der Unterschied zwischen Instituten, die gut vorbereitet sind, und jenen, die hinterherhinken, liegt meist darin, ob sie mit einer guten Diagnose begonnen und kritische Prozesse automatisiert haben – Erkennung, Klassifizierung und Meldung von Vorfällen – anstatt zu versuchen, diese unter Zeitdruck manuell zu bewältigen.
Bei Technova Partners helfen wir Finanzinstituten und ihren Technologieanbietern dabei, diese Roadmap von Anfang bis Ende zu durchlaufen: von der Gap Analysis bis zur Automatisierung der Compliance-Abläufe. Wenn Sie eine schnelle Einschätzung Ihres Ausgangspunkts wünschen, beginnen Sie mit unserer kostenlosen NIS2-Gap-Analyse, die auch die Synergien mit DORA abdeckt. Und wenn Sie einen maßgeschneiderten Plan entwickeln möchten, sprechen Sie mit unserem Team: Wir helfen Ihnen dabei, eine regulatorische Verpflichtung in einen echten operativen Vorteil zu verwandeln.
