Question 1

Ab wann gilt DORA?

Accepted Answer

DORA gilt seit dem 17. Januar 2025 unmittelbar in allen EU-Mitgliedstaaten. Es gab keine nationale Umsetzungsfrist — der Stichtag war hart.

Question 2

Was unterscheidet DORA von NIS2?

Accepted Answer

DORA ist sektorspezifisch für Finanzunternehmen und IKT-Drittanbieter und hat in ICT-Risk-Management und Incident-Reporting Vorrang. NIS2 ist horizontal. Wer unter DORA fällt, prüft DORA zuerst — NIS2 kann ergänzend greifen, wenn nicht überlagert.

Question 3

Sind wir als kleine Wertpapierfirma auch betroffen?

Accepted Answer

Möglicherweise ja, aber Art. 16 DORA bietet einen vereinfachten Rahmen für Sub-Threshold-Investment-Firms, kleine nicht-verflochtene Institute und Microenterprises. Die Eligibility muss jährlich geprüft und dokumentiert werden.

Question 4

Bin ich als IT-Dienstleister automatisch unter DORA?

Accepted Answer

Nein. DORA gilt direkt nur für designierte 'kritische IKT-Drittanbieter' (CTPP). Alle anderen IKT-Dienstleister erhalten DORA-Anforderungen vertraglich von ihren Finanzkunden — diese kaskadieren über Art. 28 ff. DORA in den Vertrag hinein.

Question 5

Was ist ein 'kritischer IKT-Drittanbieter'?

Accepted Answer

Die ESAs (EBA, EIOPA, ESMA) designieren CTPPs nach Annex II-Kriterien: Anzahl Finanzkunden, systemische Bedeutung, Substituierbarkeit, Konzentrationsrisiko. Designation führt zu direktem EU-Oversight nach Kapitel V DORA.

Question 6

Brauchen wir TLPT (Threat-Led Penetration Testing)?

Accepted Answer

Nur ein Teil der Finanzunternehmen ist TLPT-pflichtig (Art. 26 DORA, signifikante Größe und ICT-Risikoprofil). Falls ja: TIBER-EU-Framework und nationale Authorities (z. B. TIBER-DE) regeln Durchführung. Tests laufen alle 3 Jahre.

Question 7

Ersetzt DORA BAIT/VAIT/KAIT?

Accepted Answer

Nicht vollständig. DORA überlagert in vielen Bereichen, BaFin hat angekündigt, BAIT/VAIT/KAIT/ZAIT entsprechend anzupassen. Praktisch heißt das: weiter mit den bestehenden BAIT-/VAIT-Strukturen arbeiten und DORA-Delta nachziehen.

Fallen wir unter DORA — und mit welchem Pflichtenpaket?

Aktuelles Signal

DORA-pflichtig (Standardpfad)