DORA (Digital Operational Resilience Act, EU-VO 2022/2554) ist eine EU-Verordnung zur Stärkung der digitalen operationellen Resilienz im Finanzsektor. Sie verpflichtet betroffene Finanzunternehmen, IKT-Risiken systematisch zu steuern, schwerwiegende Vorfälle zu melden, Resilienztests durchzuführen und Drittanbieterrisiken sauber zu kontrollieren.
Was ist DORA (EU-VO 2022/2554)?
DORA ist der zentrale EU-Rechtsrahmen für digitale Widerstandsfähigkeit im Finanzsektor. Die Verordnung schafft ein einheitliches Aufsichts- und Compliance-Niveau für Banken, Versicherungen, Zahlungsdienstleister, Wertpapierfirmen und weitere regulierte Marktteilnehmer. Rechtsgrundlage ist die EU-VO 2022/2554; anwendbar ist sie seit dem 17. Januar 2025.
Praktisch bedeutet DORA: Finanzunternehmen sollen nicht nur Cyberangriffe abwehren, sondern ihre kritischen Geschäftsprozesse auch während Störungen, Systemausfällen oder Dienstleisterproblemen zuverlässig fortführen können. Im Mittelpunkt stehen deshalb Governance, IKT-Risikomanagement, Incident Reporting, Tests und die Steuerung externer IKT-Anbieter.
Für eine vertiefte Einordnung der Gesamtverordnung lohnt sich die Übersicht zur DORA-Verordnung. Wer die konkreten Maßnahmenebenen verstehen will, findet in den DORA-Anforderungen die operative Perspektive.
| Kernmerkmal | Bedeutung für Unternehmen |
|---|---|
| Rechtsakt | EU-Verordnung 2022/2554, unmittelbar anwendbar |
| Ziel | Digitale operationelle Resilienz im Finanzsektor erhöhen |
| Fokus | IKT-Risikomanagement, Vorfälle, Tests, Drittparteien, Governance |
| Betroffene | Regulierte Finanzunternehmen nach Art. 2 DORA |
Die 5 Säulen von DORA im Kurzüberblick
DORA baut inhaltlich auf fünf Kernelementen auf. Für Glossar-Zwecke reicht der Kurzüberblick; die Details finden Sie in den vertiefenden Fachartikeln.
- IKT-Risikomanagement: Unternehmen müssen Risiken erfassen, Schutzmaßnahmen dokumentieren und kritische Funktionen absichern.
- Management und Meldung von Vorfällen: Schwere IKT-bezogene Vorfälle sind nach den DORA-Vorgaben strukturiert zu klassifizieren und zu melden.
- Digitale operationelle Resilienztests: Die Verordnung verlangt regelmäßige Prüfungen, von Basistests bis zu fortgeschrittenen szenariobasierten Verfahren.
- IKT-Drittparteirisiko: Verträge, Kontrollrechte, Abhängigkeiten und Konzentrationsrisiken bei Dienstleistern müssen aktiv gesteuert werden.
- Informationsaustausch: Der geregelte Austausch über Cyberbedrohungen kann unter bestimmten Bedingungen Teil der Resilienzstrategie sein.
Wenn Sie die fünf Säulen detailliert nachvollziehen möchten, ist die Pillar-Seite zur DORA-Verordnung der sinnvollste Einstieg.
Wen betrifft DORA — 21 Kategorien
DORA gilt nicht für alle Unternehmen, sondern für einen genau abgegrenzten Kreis regulierter Finanzakteure. Art. 2 EU-VO 2022/2554 nennt 21 Kategorien. Dazu gehören unter anderem Kreditinstitute, Zahlungsinstitute, Kontoinformationsdienstleister, E-Geld-Institute, Wertpapierfirmen, Zentralverwahrer, zentrale Gegenparteien, Handelsplätze, Fondsmanager, Versicherungsgesellschaften, Versicherungsvermittler, Einrichtungen der betrieblichen Altersversorgung, Ratingagenturen, Schwarmfinanzierungsdienstleister und IKT-Drittdienstleister.
Für die Praxis ist entscheidend: Auch moderne Marktteilnehmer wie FinTechs oder Krypto-Dienstleister können erfasst sein, wenn sie regulatorisch in eine der DORA-Kategorien fallen. Die Frage lautet also nicht, ob ein Unternehmen klassisch als Bank auftritt, sondern ob es rechtlich als betroffene Finanzgesellschaft oder relevanter Dienstleister eingeordnet wird.
| Regulatorische Relevanz | Beispiel |
|---|---|
| Direkt betroffen | Banken, Versicherer, Zahlungsdienstleister, Wertpapierfirmen |
| Häufig ebenfalls betroffen | FinTechs mit Lizenzstatus, E-Geld- oder Payment-Anbieter, Krypto-Dienstleister |
| Indirekt relevant | Technologie- und Cloud-Anbieter mit kritischen Services für Finanzunternehmen |
Im Compliance-Alltag überschneidet sich DORA oft mit allgemeiner Compliance, aber mit deutlich sektorenspezifischerem Fokus. Genau deshalb sollten Finanzunternehmen ihre Pflichten nicht nur abstrakt, sondern entlang ihrer konkreten Geschäfts- und Auslagerungsstruktur prüfen.
DORA als Lex Specialis zu NIS2
DORA ist für den Finanzsektor die speziellere Regel gegenüber NIS2. Art. 1 Abs. 2 DORA stellt klar, dass die Verordnung für betroffene Finanzunternehmen als sektorspezifischer Unionsrechtsakt im Sinne von Art. 4 NIS2 gilt. Für IKT-Risikomanagement, Vorfallbehandlung, Resilienztests und Drittparteirisiken gehen daher die DORA-Regeln den allgemeinen NIS2-Vorgaben vor.
Das bedeutet nicht, dass NIS2 im Finanzsektor vollständig bedeutungslos wäre. Vielmehr müssen betroffene Unternehmen prüfen, welche Anforderungen bereits durch DORA abschließend geregelt sind und wo ergänzende horizontale Pflichten relevant bleiben. Für die Gegenüberstellung im Detail ist der Beitrag DORA vs. NIS2 die passende Vertiefung.
Für Teams, die regulatorische Zuständigkeiten strukturieren wollen, ist auch ein belastbares Risikomanagement-System hilfreich, weil genau dort die Übersetzung von Rechtsnormen in Prozesse, Kontrollen und Nachweise stattfindet.
Fristen und aktueller Stand
DORA gilt seit dem 17. Januar 2025 unmittelbar in allen EU-Mitgliedstaaten. Anders als eine Richtlinie musste die Verordnung also nicht erst national umgesetzt werden. Unternehmen im Anwendungsbereich sollten ihre Maßnahmen deshalb nicht als Zukunftsthema behandeln, sondern als laufende Compliance-Pflicht.
Der aktuelle Stand ist regulatorisch geprägt durch technische Standards und Aufsichtspraxis. Für Unternehmen heißt das: Die Grundpflichten stehen fest, während Detailanforderungen durch RTS, ITS und Leitlinien weiter operationalisiert werden. Besonders relevant bleiben Meldeprozesse, Register über IKT-Drittanbieter, Testprogramme und belastbare Governance auf Leitungsebene.
Wer DORA heute umsetzt, sollte mindestens folgende Fragen beantworten können: Welche kritischen Funktionen hängen von IKT ab? Welche Dienstleister sind dafür wesentlich? Wie werden schwere Vorfälle erkannt und eskaliert? Und welche Nachweise liegen für Aufsicht oder interne Prüfung bereits vor?
Häufig gestellte Fragen (FAQ)
Gilt DORA auch für FinTechs?
Ja, viele FinTechs können von DORA erfasst sein. Maßgeblich ist nicht die Selbsteinordnung als Start-up oder Tech-Unternehmen, sondern die aufsichtsrechtliche Kategorie nach Art. 2 EU-VO 2022/2554. Sobald etwa eine Lizenz als Zahlungsinstitut, E-Geld-Institut oder Krypto-Dienstleister vorliegt, ist DORA regelmäßig relevant.
Was ist der Unterschied zu NIS2?
DORA ist die spezifische Finanzsektor-Regel für digitale operationelle Resilienz. NIS2 ist breiter angelegt und erfasst viele kritische Sektoren horizontal. Im Finanzbereich verdrängt DORA die NIS2-Anforderungen überall dort, wo DORA denselben Sachverhalt spezieller regelt, insbesondere bei IKT-Risiken, Vorfallmeldungen, Tests und Drittparteien.
Seit wann gilt DORA?
DORA ist seit dem 17. Januar 2025 anwendbar. Das ist das maßgebliche Datum für die Praxis. Die Verordnung selbst wurde bereits 2022 beschlossen, ihre operative Geltung für Unternehmen begann aber am 17. Januar 2025.
Wenn Sie DORA-Pflichten nicht nur definitorisch verstehen, sondern in Rollen, Prozesse und Nachweise übersetzen möchten, ist der Kurs zur KI- und Compliance-Weiterbildung ein sinnvoller nächster Schritt für Geschäftsführung, Compliance und Fachbereiche.