Der Digital Operational Resilience Act (DORA) — EU-Verordnung 2022/2554 — ist seit dem 17. Januar 2025 vollständig anwendbar. Er verpflichtet Finanzunternehmen und ihre IKT-Dienstleister zu umfassenden Massnahmen für digitale Betriebsstabilität. Für IT-Leiter im Finanzsektor und deren Zulieferer ist DORA keine Option, sondern Pflicht.

DORA im Überblick: Warum jetzt handeln?

DORA harmonisiert erstmals EU-weit die Anforderungen an die digitale operationelle Resilienz im Finanzsektor. Die Verordnung ersetzt das bisherige Flickwerk nationaler Regelungen durch einen einheitlichen Rahmen, der für alle 27 EU-Mitgliedsstaaten gilt.[1]

Der Anwendungsbereich ist bewusst breit gefasst: Betroffen sind nicht nur Banken und Versicherungen, sondern auch Wertpapierfirmen, Zahlungsinstitute, Krypto-Dienstleister und — erstmals in dieser Form — kritische IKT-Drittdienstleister wie Cloud-Provider, Rechenzentren und Managed-Service-Anbieter.[2]

Die BaFin hat klargestellt, dass sie die Einhaltung von DORA aktiv prüfen wird. Verstösse können mit Geldbussen und aufsichtsrechtlichen Massnahmen geahndet werden. Für IT-Leiter bedeutet das: DORA ist kein Compliance-Projekt, das man auf 2027 verschieben kann — die Frist ist bereits abgelaufen.[3]

Insgesamt umfasst DORA 64 Artikel, ergänzt durch zahlreiche technische Regulierungsstandards (RTS) und Implementierungsstandards (ITS), die von den europäischen Aufsichtsbehörden (ESAs) erarbeitet wurden.

Die fünf Säulen von DORA

DORA bündelt Resilienz, Vorfallmanagement, Tests und Drittparteiensteuerung zu einem Pflichtprogramm.
Abbildung 1: DORA bündelt Resilienz, Vorfallmanagement, Tests und Drittparteiensteuerung zu einem Pflichtprogramm.

DORA gliedert sich in fünf zentrale Anforderungsbereiche:

1. IKT-Risikomanagement (Art. 5-16): Finanzunternehmen müssen einen umfassenden IKT-Risikomanagement-Rahmen etablieren, der Identifikation, Schutz, Erkennung, Reaktion und Wiederherstellung umfasst. Die Geschäftsleitung trägt die persönliche Verantwortung.[1]

2. IKT-bezogenes Vorfallmanagement (Art. 17-23): Schwerwiegende IKT-Vorfälle müssen innerhalb von 4 Stunden nach Klassifizierung an die zuständige Behörde gemeldet werden — mit Zwischen- und Abschlussberichten.

3. Testen der digitalen Betriebsstabilität (Art. 24-27): Jährliche Basistests und alle drei Jahre bedrohungsgeleitete Penetrationstests (TLPT) nach dem TIBER-EU-Framework für systemrelevante Institute.

4. IKT-Drittparteirisikomanagement (Art. 28-44): Vertragliche Mindestanforderungen an IKT-Dienstleister, einschliesslich Exit-Strategien und Auditrechte.

5. Informationsaustausch (Art. 45): Freiwilliger Austausch von Bedrohungsinformationen zwischen Finanzunternehmen.

„DORA verändert die Spielregeln für das IKT-Risikomanagement im Finanzsektor grundlegend. Es geht nicht mehr nur um IT-Sicherheit — es geht um operationelle Resilienz als Kernkompetenz."

— Raimund Röseler, Exekutivdirektor Bankenaufsicht, BaFin

Fokus: IKT-Drittparteimanagement

Drittparteienrisiken werden kritisch, wenn Auslagerungen direkt auf digitale Betriebsstabilität wirken.
Abbildung 2: Drittparteienrisiken werden kritisch, wenn Auslagerungen direkt auf digitale Betriebsstabilität wirken.

Der möglicherweise disruptivste Aspekt von DORA betrifft das Management von IKT-Drittdienstleistern. Art. 28-44 etablieren ein Regime, das weit über bisherige Outsourcing-Anforderungen hinausgeht.[1]

Vertragspflichten: Alle IKT-Dienstleistungsverträge müssen spezifische Klauseln enthalten — darunter Service Level Agreements, Auditrechte, Datenlokalisierung, Kündigungsrechte und Unterstützung bei der Transition zu alternativen Anbietern.

Konzentrationsrisiko: Finanzunternehmen müssen Konzentrationsrisiken bei IKT-Drittanbietern identifizieren und steuern. Die Abhängigkeit von einzelnen Cloud-Providern wird explizit als Risikofaktor adressiert.

Kritische IKT-Drittdienstleister: Die ESAs führen ein Register kritischer IKT-Drittdienstleister und unterziehen diese einer direkten Aufsicht durch einen federführenden Aufseher (Lead Overseer). Für Cloud-Hyperscaler wie AWS, Azure und Google Cloud ist das ein Novum.[4]

Für IT-Leiter bedeutet dies: Jeder bestehende IKT-Vertrag muss auf DORA-Konformität geprüft und gegebenenfalls nachverhandelt werden.

Testen der digitalen Betriebsstabilität

Resilienz entsteht durch getestete Wiederherstellung, klare Verantwortung und belastbare Dienstleistersteuerung.
Abbildung 3: Resilienz entsteht durch getestete Wiederherstellung, klare Verantwortung und belastbare Dienstleistersteuerung.

DORA führt ein zweistufiges Testregime ein, das deutlich über bisherige Penetrationstest-Anforderungen hinausgeht.

Basistests (Art. 25): Alle betroffenen Unternehmen müssen jährlich Schwachstellenscans, Open-Source-Analysen, Netzwerksicherheitstests, Gap-Analysen, physische Sicherheitsprüfungen und Szenarioanalysen durchführen.

Bedrohungsgeleitete Penetrationstests — TLPT (Art. 26-27): Systemrelevante Institute müssen alle drei Jahre TLPT nach dem TIBER-EU-Framework durchführen. Diese Tests simulieren reale Angriffsszenarien durch qualifizierte externe Tester auf die Produktivsysteme des Unternehmens.[5]

Die EBA schätzt die durchschnittlichen Kosten eines TLPT-Tests auf 500.000 bis 1,5 Millionen Euro — abhängig von Umfang und Komplexität der Zielumgebung.

DORA-Zeitstrahl: Vom Gesetz zur Praxis

  1. Dezember 2022: DORA wird als EU-Verordnung 2022/2554 verabschiedet und im Amtsblatt veröffentlicht
  2. Januar 2023 – Januar 2025: 24-monatige Übergangsfrist für die Umsetzung; ESAs erarbeiten technische Standards (RTS/ITS)
  3. 17. Januar 2025: DORA wird vollständig anwendbar — alle betroffenen Unternehmen müssen compliant sein
  4. Juli 2025: Erste Designierung kritischer IKT-Drittdienstleister durch die ESAs erwartet
  5. April 2025 – Dezember 2025: Erste Prüfzyklen der nationalen Aufsichtsbehörden (BaFin, FMA, FINMA-Äquivalenz)
  6. 2026: Erste TLPT-Zyklen für systemrelevante Institute; Evaluierung der Verordnung durch die EU-Kommission geplant

Handlungsempfehlungen für IT-Leiter

  1. Gap-Analyse durchführen: Vergleichen Sie Ihren aktuellen IKT-Risikomanagement-Rahmen mit den DORA-Anforderungen (Art. 5-16). Identifizieren Sie Lücken systematisch.

  2. IKT-Dienstleisterregister aufbauen: Erstellen Sie ein vollständiges Register aller IKT-Drittdienstleister mit Kritikalitätsbewertung, Vertragsdetails und Konzentrationsanalyse.

  3. Verträge nachverhandeln: Prüfen Sie bestehende IKT-Verträge auf die Mindestanforderungen nach Art. 30 — insbesondere Auditrechte, Exit-Klauseln und Datenlokalisierung.

  4. Incident-Response-Prozess anpassen: Stellen Sie sicher, dass schwerwiegende IKT-Vorfälle innerhalb von 4 Stunden klassifiziert und gemeldet werden können.

  5. Testprogramm etablieren: Implementieren Sie ein jährliches Testprogramm nach Art. 25 und evaluieren Sie, ob Ihr Unternehmen unter die TLPT-Pflicht fällt.

  6. Geschäftsleitung einbinden: DORA macht die Leitungsebene persönlich verantwortlich für das IKT-Risikomanagement. Stellen Sie regelmässige Berichterstattung sicher.

Quellen und Referenzen

  1. Europäisches Parlament und Rat: „Verordnung (EU) 2022/2554 über die digitale operationelle Resilienz im Finanzsektor (DORA)", Amtsblatt der Europäischen Union, 27. Dezember 2022.
  2. BaFin: „DORA — Digital Operational Resilience Act: Umsetzung in Deutschland", BaFin Journal, 2024.
  3. BaFin: „Rundschreiben zu den Anforderungen an die IKT-Sicherheit bei Finanzunternehmen", 2025.
  4. European Banking Authority (EBA): „Final Report on Draft Regulatory Technical Standards on ICT Third-Party Risk Management", EBA/RTS/2024/01, 2024.
  5. European Central Bank: „TIBER-EU Framework — How to implement the European framework for Threat Intelligence-based Ethical Red Teaming", ECB, 2018 (aktualisiert 2024).
  6. European Supervisory Authorities (ESAs): „Joint Final Report on the first batch of DORA policy products", ESAs, Januar 2024.
  7. Deloitte: „DORA Compliance Readiness Survey — European Financial Sector", Deloitte Financial Services, 2024.