Compliance

DORA-Compliance: Was der Digital Operational Resilience Act für IT-Leiter bedeutet

Anforderungen, Fristen und Umsetzungsfahrplan für den EU-Regulierungsrahmen zur digitalen Betriebsstabilität

CIO-Wissen Redaktion· 2026-03-28 ·5 Min.

DORA im Überblick: Warum jetzt handeln?

DORA harmonisiert erstmals EU-weit die Anforderungen an die digitale operationelle Resilienz im Finanzsektor. Die Verordnung ersetzt das bisherige Flickwerk nationaler Regelungen durch einen einheitlichen Rahmen, der für alle 27 EU-Mitgliedsstaaten gilt.[1]

Der Anwendungsbereich ist bewusst breit gefasst: Betroffen sind nicht nur Banken und Versicherungen, sondern auch Wertpapierfirmen, Zahlungsinstitute, Krypto-Dienstleister und — erstmals in dieser Form — kritische IKT-Drittdienstleister wie Cloud-Provider, Rechenzentren und Managed-Service-Anbieter.[2]

Die BaFin hat klargestellt, dass sie die Einhaltung von DORA aktiv prüfen wird. Verstösse können mit Geldbussen und aufsichtsrechtlichen Massnahmen geahndet werden. Für IT-Leiter bedeutet das: DORA ist kein Compliance-Projekt, das man auf 2027 verschieben kann — die Frist ist bereits abgelaufen.[3]

Insgesamt umfasst DORA 64 Artikel, ergänzt durch zahlreiche technische Regulierungsstandards (RTS) und Implementierungsstandards (ITS), die von den europäischen Aufsichtsbehörden (ESAs) erarbeitet wurden.

Die fünf Säulen von DORA

DORA gliedert sich in fünf zentrale Anforderungsbereiche:

1. IKT-Risikomanagement (Art. 5-16): Finanzunternehmen müssen einen umfassenden IKT-Risikomanagement-Rahmen etablieren, der Identifikation, Schutz, Erkennung, Reaktion und Wiederherstellung umfasst. Die Geschäftsleitung trägt die persönliche Verantwortung.[1]

2. IKT-bezogenes Vorfallmanagement (Art. 17-23): Schwerwiegende IKT-Vorfälle müssen innerhalb von 4 Stunden nach Klassifizierung an die zuständige Behörde gemeldet werden — mit Zwischen- und Abschlussberichten.

3. Testen der digitalen Betriebsstabilität (Art. 24-27): Jährliche Basistests und alle drei Jahre bedrohungsgeleitete Penetrationstests (TLPT) nach dem TIBER-EU-Framework für systemrelevante Institute.

4. IKT-Drittparteirisikomanagement (Art. 28-44): Vertragliche Mindestanforderungen an IKT-Dienstleister, einschliesslich Exit-Strategien und Auditrechte.

5. Informationsaustausch (Art. 45): Freiwilliger Austausch von Bedrohungsinformationen zwischen Finanzunternehmen.

„DORA verändert die Spielregeln für das IKT-Risikomanagement im Finanzsektor grundlegend. Es geht nicht mehr nur um IT-Sicherheit — es geht um operationelle Resilienz als Kernkompetenz."

— Raimund Röseler, Exekutivdirektor Bankenaufsicht, BaFin

Fokus: IKT-Drittparteimanagement

Der möglicherweise disruptivste Aspekt von DORA betrifft das Management von IKT-Drittdienstleistern. Art. 28-44 etablieren ein Regime, das weit über bisherige Outsourcing-Anforderungen hinausgeht.[1]

Vertragspflichten: Alle IKT-Dienstleistungsverträge müssen spezifische Klauseln enthalten — darunter Service Level Agreements, Auditrechte, Datenlokalisierung, Kündigungsrechte und Unterstützung bei der Transition zu alternativen Anbietern.

Konzentrationsrisiko: Finanzunternehmen müssen Konzentrationsrisiken bei IKT-Drittanbietern identifizieren und steuern. Die Abhängigkeit von einzelnen Cloud-Providern wird explizit als Risikofaktor adressiert.

Kritische IKT-Drittdienstleister: Die ESAs führen ein Register kritischer IKT-Drittdienstleister und unterziehen diese einer direkten Aufsicht durch einen federführenden Aufseher (Lead Overseer). Für Cloud-Hyperscaler wie AWS, Azure und Google Cloud ist das ein Novum.[4]

Für IT-Leiter bedeutet dies: Jeder bestehende IKT-Vertrag muss auf DORA-Konformität geprüft und gegebenenfalls nachverhandelt werden.

Testen der digitalen Betriebsstabilität

DORA führt ein zweistufiges Testregime ein, das deutlich über bisherige Penetrationstest-Anforderungen hinausgeht.

Basistests (Art. 25): Alle betroffenen Unternehmen müssen jährlich Schwachstellenscans, Open-Source-Analysen, Netzwerksicherheitstests, Gap-Analysen, physische Sicherheitsprüfungen und Szenarioanalysen durchführen.

Bedrohungsgeleitete Penetrationstests — TLPT (Art. 26-27): Systemrelevante Institute müssen alle drei Jahre TLPT nach dem TIBER-EU-Framework durchführen. Diese Tests simulieren reale Angriffsszenarien durch qualifizierte externe Tester auf die Produktivsysteme des Unternehmens.[5]

Die EBA schätzt die durchschnittlichen Kosten eines TLPT-Tests auf 500.000 bis 1,5 Millionen Euro — abhängig von Umfang und Komplexität der Zielumgebung.

DORA-Zeitstrahl: Vom Gesetz zur Praxis

  1. Dezember 2022: DORA wird als EU-Verordnung 2022/2554 verabschiedet und im Amtsblatt veröffentlicht
  2. Januar 2023 – Januar 2025: 24-monatige Übergangsfrist für die Umsetzung; ESAs erarbeiten technische Standards (RTS/ITS)
  3. 17. Januar 2025: DORA wird vollständig anwendbar — alle betroffenen Unternehmen müssen compliant sein
  4. Juli 2025: Erste Designierung kritischer IKT-Drittdienstleister durch die ESAs erwartet
  5. April 2025 – Dezember 2025: Erste Prüfzyklen der nationalen Aufsichtsbehörden (BaFin, FMA, FINMA-Äquivalenz)
  6. 2026: Erste TLPT-Zyklen für systemrelevante Institute; Evaluierung der Verordnung durch die EU-Kommission geplant

Handlungsempfehlungen für IT-Leiter

  1. Gap-Analyse durchführen: Vergleichen Sie Ihren aktuellen IKT-Risikomanagement-Rahmen mit den DORA-Anforderungen (Art. 5-16). Identifizieren Sie Lücken systematisch.

  2. IKT-Dienstleisterregister aufbauen: Erstellen Sie ein vollständiges Register aller IKT-Drittdienstleister mit Kritikalitätsbewertung, Vertragsdetails und Konzentrationsanalyse.

  3. Verträge nachverhandeln: Prüfen Sie bestehende IKT-Verträge auf die Mindestanforderungen nach Art. 30 — insbesondere Auditrechte, Exit-Klauseln und Datenlokalisierung.

  4. Incident-Response-Prozess anpassen: Stellen Sie sicher, dass schwerwiegende IKT-Vorfälle innerhalb von 4 Stunden klassifiziert und gemeldet werden können.

  5. Testprogramm etablieren: Implementieren Sie ein jährliches Testprogramm nach Art. 25 und evaluieren Sie, ob Ihr Unternehmen unter die TLPT-Pflicht fällt.

  6. Geschäftsleitung einbinden: DORA macht die Leitungsebene persönlich verantwortlich für das IKT-Risikomanagement. Stellen Sie regelmässige Berichterstattung sicher.

Quellen und Referenzen

  1. Europäisches Parlament und Rat: „Verordnung (EU) 2022/2554 über die digitale operationelle Resilienz im Finanzsektor (DORA)", Amtsblatt der Europäischen Union, 27. Dezember 2022.
  2. BaFin: „DORA — Digital Operational Resilience Act: Umsetzung in Deutschland", BaFin Journal, 2024.
  3. BaFin: „Rundschreiben zu den Anforderungen an die IKT-Sicherheit bei Finanzunternehmen", 2025.
  4. European Banking Authority (EBA): „Final Report on Draft Regulatory Technical Standards on ICT Third-Party Risk Management", EBA/RTS/2024/01, 2024.
  5. European Central Bank: „TIBER-EU Framework — How to implement the European framework for Threat Intelligence-based Ethical Red Teaming", ECB, 2018 (aktualisiert 2024).
  6. European Supervisory Authorities (ESAs): „Joint Final Report on the first batch of DORA policy products", ESAs, Januar 2024.
  7. Deloitte: „DORA Compliance Readiness Survey — European Financial Sector", Deloitte Financial Services, 2024.

Weitere Artikel

KI-Strategie

AI Agents im Unternehmen: Autonome Workflows jenseits von Chatbots

Wie Agentic AI Geschäftsprozesse transformiert und was CIOs jetzt wissen müssen

IT-Beschaffung

Build vs. Buy 2026: Eigenentwicklung oder Standardsoftware?

Die alte Frage in neuem Kontext — Composable Architecture, API-First und Low-Code verschieben die Grenzen. Ein Entscheidungsrahmen für IT-Leiter, die weder in die Vendor-Lock-in-Falle noch in die Eigenentwicklungs-Sackgasse laufen wollen.

IT-Leadership

CIO-Agenda 2026: Die fünf Prioritäten erfolgreicher IT-Führungskräfte

KI-Integration, Cybersecurity, Nachhaltigkeit, Talentgewinnung und Kostenoptimierung — eine datengestützte Analyse der strategischen Schwerpunkte für das laufende Jahr.