Der Digital Operational Resilience Act (DORA) — EU-Verordnung 2022/2554 — ist seit dem 17. Januar 2025 vollständig anwendbar. Er verpflichtet Finanzunternehmen und ihre IKT-Dienstleister zu umfassenden Maßnahmen für digitale Betriebsstabilität. Für IT-Leiter im Finanzsektor und deren Zulieferer ist DORA keine Option, sondern Pflicht.

DORA im Überblick: Warum jetzt handeln?

DORA harmonisiert erstmals EU-weit die Anforderungen an die digitale operationelle Resilienz im Finanzsektor. Die Verordnung ersetzt das bisherige Flickwerk nationaler Regelungen durch einen einheitlichen Rahmen, der für alle 27 EU-Mitgliedsstaaten gilt.[1]

Der Anwendungsbereich ist bewusst breit gefasst: Betroffen sind nicht nur Banken und Versicherungen, sondern auch Wertpapierfirmen, Zahlungsinstitute, Krypto-Dienstleister und — erstmals in dieser Form — kritische IKT-Drittdienstleister wie Cloud-Provider, Rechenzentren und Managed-Service-Anbieter.[2]

Die BaFin hat klargestellt, dass sie die Einhaltung von DORA aktiv prüfen wird. Verstöße können mit Geldbußen und aufsichtsrechtlichen Maßnahmen geahndet werden. Für IT-Leiter bedeutet das: DORA ist kein Compliance-Projekt, das man auf 2027 verschieben kann — die Frist ist bereits abgelaufen.[3]

Insgesamt umfasst DORA 64 Artikel, ergänzt durch zahlreiche technische Regulierungsstandards (RTS) und Implementierungsstandards (ITS), die von den europäischen Aufsichtsbehörden (ESAs) erarbeitet wurden.[4]

Die fünf Säulen von DORA

DORA bündelt Resilienz, Vorfallmanagement, Tests und Drittparteiensteuerung zu einem Pflichtprogramm.
Abbildung 1: DORA bündelt Resilienz, Vorfallmanagement, Tests und Drittparteiensteuerung zu einem Pflichtprogramm.

DORA gliedert sich in fünf zentrale Anforderungsbereiche:

1. IKT-Risikomanagement (Art. 5-16): Finanzunternehmen müssen einen umfassenden IKT-Risikomanagement-Rahmen etablieren, der Identifikation, Schutz, Erkennung, Reaktion und Wiederherstellung umfasst. Die Geschäftsleitung trägt die persönliche Verantwortung.[1]

2. IKT-bezogenes Vorfallmanagement (Art. 17-23): Schwerwiegende IKT-Vorfälle müssen innerhalb von 4 Stunden nach Klassifizierung an die zuständige Behörde gemeldet werden — mit Zwischen- und Abschlussberichten.

3. Testen der digitalen Betriebsstabilität (Art. 24-27): Jährliche Basistests und alle drei Jahre bedrohungsgeleitete Penetrationstests (TLPT) nach dem TIBER-EU-Framework für systemrelevante Institute.

4. IKT-Drittparteirisikomanagement (Art. 28-44): Vertragliche Mindestanforderungen an IKT-Dienstleister, einschließlich Exit-Strategien und Auditrechte.

5. Informationsaustausch (Art. 45): Freiwilliger Austausch von Bedrohungsinformationen zwischen Finanzunternehmen.

DORA verändert die Spielregeln für das IKT-Risikomanagement im Finanzsektor grundlegend: Es geht nicht mehr nur um IT-Sicherheit — es geht um operationelle Resilienz als Kernkompetenz.

Fokus: IKT-Drittparteimanagement

Drittparteienrisiken werden kritisch, wenn Auslagerungen direkt auf digitale Betriebsstabilität wirken.
Abbildung 2: Drittparteienrisiken werden kritisch, wenn Auslagerungen direkt auf digitale Betriebsstabilität wirken.

Der möglicherweise disruptivste Aspekt von DORA betrifft das Management von IKT-Drittdienstleistern. Art. 28-44 etablieren ein Regime, das weit über bisherige Outsourcing-Anforderungen hinausgeht.[1]

Vertragspflichten: Alle IKT-Dienstleistungsverträge müssen spezifische Klauseln enthalten — darunter Service Level Agreements, Auditrechte, Datenlokalisierung, Kündigungsrechte und Unterstützung bei der Transition zu alternativen Anbietern.

Konzentrationsrisiko: Finanzunternehmen müssen Konzentrationsrisiken bei IKT-Drittanbietern identifizieren und steuern. Die Abhängigkeit von einzelnen Cloud-Providern wird explizit als Risikofaktor adressiert.

Kritische IKT-Drittdienstleister: Im November 2025 haben die ESAs die ersten 19 kritischen IKT-Drittdienstleister (CTPPs) designiert; sie unterliegen seither der direkten Aufsicht durch einen federführenden Aufseher (Lead Overseer). Für Cloud-Hyperscaler wie AWS, Azure und Google Cloud ist das ein Novum.[5]

Für IT-Leiter bedeutet dies: Jeder bestehende IKT-Vertrag muss auf DORA-Konformität geprüft und gegebenenfalls nachverhandelt werden.

Testen der digitalen Betriebsstabilität

Resilienz entsteht durch getestete Wiederherstellung, klare Verantwortung und belastbare Dienstleistersteuerung.
Abbildung 3: Resilienz entsteht durch getestete Wiederherstellung, klare Verantwortung und belastbare Dienstleistersteuerung.

DORA führt ein zweistufiges Testregime ein, das deutlich über bisherige Penetrationstest-Anforderungen hinausgeht.

Basistests (Art. 25): Alle betroffenen Unternehmen müssen jährlich Schwachstellenscans, Open-Source-Analysen, Netzwerksicherheitstests, Gap-Analysen, physische Sicherheitsprüfungen und Szenarioanalysen durchführen.

Bedrohungsgeleitete Penetrationstests — TLPT (Art. 26-27): Systemrelevante Institute müssen alle drei Jahre TLPT nach dem TIBER-EU-Framework durchführen. Diese Tests simulieren reale Angriffsszenarien durch qualifizierte externe Tester auf die Produktivsysteme des Unternehmens.[6]

TLPT sind aufwendig: Sie binden über Monate interne Ressourcen, erfordern spezialisierte externe Tester und eine sorgfältige Abstimmung mit der Aufsicht — Budget und Planung sollten daher frühzeitig stehen.

DORA-Zeitstrahl: Vom Gesetz zur Praxis

  1. Dezember 2022: DORA wird als EU-Verordnung 2022/2554 verabschiedet und im Amtsblatt veröffentlicht
  2. Januar 2023 – Januar 2025: 24-monatige Übergangsfrist für die Umsetzung; ESAs erarbeiten technische Standards (RTS/ITS)
  3. 17. Januar 2025: DORA wird vollständig anwendbar — alle betroffenen Unternehmen müssen compliant sein
  4. April 2025: Die ESAs sammeln erstmals die Informationsregister der Finanzunternehmen über die nationalen Aufsichtsbehörden ein; parallel laufen die ersten Prüfzyklen von BaFin und Co.
  5. November 2025: Die ESAs designieren die ersten 19 kritischen IKT-Drittdienstleister (CTPPs) und nehmen die direkte Aufsicht über sie auf[5]
  6. 2026: Erste TLPT-Zyklen für systemrelevante Institute laufen; im Juni 2026 veröffentlichen die ESAs den ersten Jahresbericht zu schwerwiegenden IKT-Vorfällen im EU-Finanzsektor

Handlungsempfehlungen für IT-Leiter

  1. Gap-Analyse durchführen: Vergleichen Sie Ihren aktuellen IKT-Risikomanagement-Rahmen mit den DORA-Anforderungen (Art. 5-16). Identifizieren Sie Lücken systematisch.

  2. IKT-Dienstleisterregister aufbauen: Erstellen Sie ein vollständiges Register aller IKT-Drittdienstleister mit Kritikalitätsbewertung, Vertragsdetails und Konzentrationsanalyse.

  3. Verträge nachverhandeln: Prüfen Sie bestehende IKT-Verträge auf die Mindestanforderungen nach Art. 30 — insbesondere Auditrechte, Exit-Klauseln und Datenlokalisierung.

  4. Incident-Response-Prozess anpassen: Stellen Sie sicher, dass schwerwiegende IKT-Vorfälle innerhalb von 4 Stunden klassifiziert und gemeldet werden können.

  5. Testprogramm etablieren: Implementieren Sie ein jährliches Testprogramm nach Art. 25 und evaluieren Sie, ob Ihr Unternehmen unter die TLPT-Pflicht fällt.

  6. Geschäftsleitung einbinden: DORA macht die Leitungsebene persönlich verantwortlich für das IKT-Risikomanagement. Stellen Sie regelmäßige Berichterstattung sicher.

Quellen und Referenzen

  1. Europäisches Parlament und Rat: „Verordnung (EU) 2022/2554 über die digitale operationelle Resilienz im Finanzsektor (DORA)", Amtsblatt der Europäischen Union, 27. Dezember 2022. https://eur-lex.europa.eu/eli/reg/2022/2554/oj
  2. BaFin: „DORA — Digital Operational Resilience Act: Umsetzung in Deutschland", BaFin Journal, 2024.
  3. BaFin: „DORA — Digital Operational Resilience Act", Aufsichtsportal der BaFin. https://www.bafin.de/DE/Aufsicht/DORA/DORA_node.html
  4. European Supervisory Authorities (ESAs): „Joint Final Report on the first batch of DORA policy products", ESAs, Januar 2024.
  5. European Supervisory Authorities (ESAs): „The European Supervisory Authorities designate critical ICT third-party providers under the Digital Operational Resilience Act", Pressemitteilung, 18. November 2025. https://www.eba.europa.eu/publications-and-media/press-releases/european-supervisory-authorities-designate-critical-ict-third-party-providers-under-digital
  6. European Central Bank: „TIBER-EU Framework — How to implement the European framework for Threat Intelligence-based Ethical Red Teaming", ECB, 2018 (aktualisiert 2024). https://www.ecb.europa.eu/paym/cyber-resilience/tiber-eu/html/index.en.html