← Zur Glossar-Übersicht

Glossar

DORA — Definition und Bedeutung für die Cybersicherheit

Was bedeutet DORA? Definition, NIS2-Relevanz und praktische Bedeutung für deutsche Unternehmen.

Veröffentlicht: 23. März 2026Letzte Aktualisierung: 23. März 20263 Min. Lesezeit

Kurzdefinition

DORA ist die EU-Verordnung 2022/2554 zur digitalen operationalen Resilienz im Finanzsektor und verpflichtet Finanzunternehmen zu IKT-Risikomanagement, Vorfallmeldung, Resilienztests und Steuerung von Drittparteirisiken.

Primaerquelle

Art. 1 Abs. 2 sowie Art. 5 bis 45 Verordnung (EU) 2022/2554; Erwägungsgrund 28 Richtlinie (EU) 2022/2555

Rechtsgrundlage ansehen

DORA — Definition und Bedeutung für die Cybersicherheit

DORA ist die Verordnung (EU) 2022/2554 zur digitalen operationalen Resilienz im Finanzsektor. Seit dem 17. Januar 2025 verpflichtet sie Banken, Versicherer, Zahlungsdienstleister und weitere Finanzunternehmen, IKT-Risiken systematisch zu steuern, schwerwiegende Vorfälle zu melden und ihre Widerstandsfähigkeit regelmäßig zu testen.

Was ist DORA?

DORA steht für Digital Operational Resilience Act. Gemeint ist ein unmittelbar geltender EU-Rechtsrahmen, der sicherstellen soll, dass Finanzunternehmen auch bei Cyberangriffen, Systemausfällen oder Problemen bei externen IKT-Dienstleistern handlungsfähig bleiben.

Für die Praxis bündelt DORA Anforderungen, die zuvor oft auf verschiedene Aufsichtsvorgaben verteilt waren. In Deutschland ist die BaFin für die DORA-Umsetzung im beaufsichtigten Finanzsektor relevant. Für Finanzunternehmen zählt deshalb belastbare Governance.

Die fünf Säulen von DORA sind:

  1. IKT-Risikomanagement: Risiken identifizieren, steuern und dokumentieren.
  2. Vorfallmeldung: schwerwiegende IKT-bezogene Vorfälle klassifizieren und fristgerecht melden.
  3. Resilienztests: Sicherheits- und Belastungstests bis hin zu fortgeschrittenen Tests wie Threat-Led Penetration Testing durchführen.
  4. Drittparteienrisiko: Cloud-, Software- und sonstige IKT-Dienstleister vertraglich und organisatorisch beherrschen.
  5. Informationsaustausch: relevante Cyberbedrohungsinformationen strukturiert teilen.

Wer DORA einordnet, sollte deshalb Begriffe wie Cyber-Resilienz, Red Teaming und Compliance im Zusammenhang betrachten.

Warum ist DORA für NIS2 relevant?

Im Rahmen der NIS2-Richtlinie ist DORA relevant, weil DORA für den Finanzsektor als lex specialis gilt. Art. 1 Abs. 2 DORA stellt klar, dass die Verordnung in Bezug auf Finanzunternehmen als sektorspezifischer Unionsrechtsakt im Sinne von Art. 4 der Richtlinie (EU) 2022/2555 zu verstehen ist. Erwägungsgrund 28 der NIS2-Richtlinie bestätigt genau dieses Vorrangverhältnis.

Für Unternehmen ist das wichtig, weil viele Verantwortliche NIS2 als allgemeinen Cybersecurity-Rahmen kennen, aber die sektorale Sonderlogik übersehen. Ein Kreditinstitut oder Versicherer prüft daher die spezielleren DORA-Vorgaben zu IKT-Risikomanagement, Meldewegen, Resilienztests und Drittparteien.

Gleichzeitig bleibt NIS2 für Unternehmensgruppen, Zulieferer oder angrenzende Gesellschaften außerhalb des DORA-Anwendungsbereichs ein wichtiger Referenzpunkt. Für den Überblick über die deutsche Umsetzung ist deshalb auch die Seite zur NIS2-Richtlinie in Deutschland relevant.

Praxisbeispiel aus Deutschland

Ein deutsches Zahlungsinstitut nutzt einen Cloud-Anbieter für Kernanwendungen, ein externes Rechenzentrum für Backups und mehrere SaaS-Lösungen für Betrugsprävention und Kundenservice. Nach DORA reicht es nicht, nur technische Schutzmaßnahmen einzukaufen. Das Unternehmen muss kritische IKT-Abhängigkeiten dokumentieren, Ausfallprozesse definieren, Vorfälle klassifizieren und regelmäßig testen, ob der Geschäftsbetrieb weiterläuft.

Praktisch heißt das: Fällt der zentrale Cloud-Dienstleister aus oder wird durch einen Cybervorfall beeinträchtigt, muss das Institut beurteilen, ob ein schwerwiegender IKT-Vorfall vorliegt, welche Kundenprozesse betroffen sind und ob eine Meldung an die BaFin erforderlich ist. Gleichzeitig muss klar sein, welche Kontrollrechte bestehen und wie Konzentrationsrisiken bei Drittanbietern reduziert werden.

Gerade hier zeigt sich der Unterschied zwischen allgemeiner IT-Sicherheit und echter operationaler Resilienz. DORA verlangt nicht nur Schutz, sondern belastbare Steuerung, Testbarkeit und Nachweisfähigkeit.

Was Unternehmen aus DORA mitnehmen sollten

DORA betrifft nicht alle Branchen, ist aber für Dienstleister relevant. Sie müssen verstehen, welche Anforderungen ihre Finanzkunden an Verträge, Prüfungen, Meldewege und Business Continuity stellen. Zugleich zeigt DORA, wie die EU Cyber-Resilienz regulatorisch konkretisiert.

Wenn Sie DORA-Pflichten operativ einordnen und in Rollen, Prozesse und Schulung übersetzen möchten, ist die NIS2-Schulung ein sinnvoller nächster Schritt. Für verteilte Teams kann auch die NIS2-Online-Schulung relevant sein.

Häufig gestellte Fragen

Was ist DORA?

DORA ist die Verordnung (EU) 2022/2554 zur digitalen operationalen Resilienz im Finanzsektor. Sie gilt seit dem 17. Januar 2025 und regelt IKT-Risikomanagement, Vorfallmeldung, Resilienztests, Drittparteirisiken und Informationsaustausch.

Welche Rolle spielt DORA unter NIS2?

DORA ist für Finanzunternehmen die speziellere Regel. Nach Art. 1 Abs. 2 DORA und Erwägungsgrund 28 der NIS2-Richtlinie gilt DORA im Finanzsektor als sektorspezifischer Unionsrechtsakt mit Vorrang.

Nächster Schritt

Begriffe einordnen ist der Anfang. Umsetzung und Nachweis entscheiden im Unternehmen.

Wenn Sie KI-Kompetenz, Rollen, rote Linien und Schulungsnachweis nicht nur nachschlagen, sondern sauber ausrollen wollen, ist der Kurs der direkte nächste Schritt. Für typische Rückfragen zu Umfang, Nachweis und Team-Rollout steht zusätzlich die FAQ-Seite bereit.

Zur KursübersichtFAQ ansehen