DORA — wer ist betroffen und ab wann?

DORA — der Digital Operational Resilience Act — ist die EU-Verordnung zur digitalen operationellen Resilienz im Finanzsektor. Sie gilt seit dem 17. Januar 2025 unmittelbar in allen EU-Mitgliedstaaten und verschiebt das Thema IKT-Risikomanagement aus dem Bereich „freiwilliger Best-Practice" in den Pflichtkanon der Finanzaufsicht.

Dieser Artikel ordnet ein: Wer genau ist erfasst, welche fünf Pflichtenkomplexe gelten, was IKT-Drittanbieter beachten müssen und wie die Zeitachse für die ersten Berichts- und Auditzyklen aussieht.

Was ist DORA und warum existiert die Verordnung?

DORA (Verordnung (EU) 2022/2554) wurde am 14. Dezember 2022 verabschiedet und trat am 16. Januar 2023 in Kraft. Mit zweijähriger Übergangsfrist gilt sie seit dem **17.

Detail

Januar 2025** unmittelbar — Umsetzungsgesetze in nationales Recht sind nicht nötig.

Hintergrund: Die EU-Finanzaufsicht stellte ab 2018/2019 fest, dass operationelle Risiken im IT-Bereich (Cloud-Ausfälle, Ransomware, Drittanbieter-Pleiten) systemisch relevant geworden sind, aber je Mitgliedstaat unterschiedlich reguliert wurden. DORA harmonisiert das.

Wesentlicher Zweck nach Art. 1 Abs. 1 der Verordnung: einheitliche Anforderungen an die Sicherheit der Netzwerk- und Informationssysteme im Finanzsektor sowie an das Management des Risikos durch IKT-Drittanbieter.

Geltungsbereich — wer fällt darunter?

Art. 2 Abs. 1 DORA listet die erfassten Finanzunternehmen abschließend auf. Zu den wichtigsten Kategorien gehören:

• Kreditinstitute (Banken, Sparkassen, Volksbanken, Spezialbanken)
• Zahlungsinstitute und E-Geld-Institute

Detail

• Wertpapierfirmen und zentrale Gegenparteien (CCPs)
• Versicherungs- und Rückversicherungsunternehmen sowie Versicherungsvermittler
• Verwalter alternativer Investmentfonds (AIFM) und Verwaltungsgesellschaften für OGAW
• Anbieter von Krypto-Dienstleistungen unter MiCA
• Datenbereitstellungsdienste und Crowdfunding-Dienstleister
• Einrichtungen der betrieblichen Altersversorgung (EbAV), sofern bestimmte Schwellenwerte überschritten werden

Zusätzlich erfasst DORA — und das ist die zentrale Neuerung — IKT-Drittanbieter, die kritische oder wichtige Funktionen für Finanzunternehmen erbringen (Art. 28 ff. und Art. 31 DORA). Dazu zählen typischerweise große Cloud-Provider, SaaS-Anbieter im Finanzbereich, Rechenzentrumsbetreiber, Anbieter spezialisierter Bankensoftware und Managed-Security-Service-Provider.

Sonderfall „kritische IKT-Drittanbieter": Die Europäischen Aufsichtsbehörden (ESAs) benennen ab 2025 jährlich eine Liste kritischer IKT-Drittanbieter (CTPPs), die direkt durch die ESAs überwacht werden — analog zur Aufsicht über Ratingagenturen.

Außerhalb des Anwendungsbereichs bleiben unter anderem: bestimmte kleine Versicherungsvermittler unterhalb der Schwellenwerte (Art. 2 Abs. 3) sowie reine Industrie- und Handelsunternehmen ohne Finanzdienstleistungs-Lizenz.

Die fünf Pflichtenblöcke

1. IKT-Risikomanagement (Art. 5-16)

Finanzunternehmen müssen einen umfassenden Rahmen für das IKT-Risikomanagement etablieren. Die Verantwortung liegt nach Art. 5 ausdrücklich beim Leitungsorgan (Vorstand / Geschäftsführung) — IT-Risiken sind nicht delegierbar.

Pflicht-Elemente:

• Schriftliche IKT-Risikomanagement-Strategie mit Risikotoleranz
• Inventar aller IKT-Systeme sowie der unterstützten Geschäftsfunktionen
• Schutzmaßnahmen entlang Vertraulichkeit, Integrität, Verfügbarkeit
• Erkennungs- und Reaktionsprozesse für IKT-Vorfälle
• Business-Continuity-Plan und Wiederanlaufverfahren
• Lernprozess aus Vorfällen und Übungen

Kleine, nicht-zwischen-verbundene Wertpapierfirmen, Zahlungsinstitute unterhalb der Schwellenwerte und Mikroversicherungsvermittler dürfen nach Art. 16 ein vereinfachtes Rahmenwerk anwenden — die Pflicht zur Etablierung bleibt jedoch bestehen.

2. Incident-Reporting (Art. 17-23)

DORA harmonisiert die Meldepflichten für schwerwiegende IKT-Vorfälle EU-weit. Die ESAs haben in den Technischen Regulierungsstandards (Joint RTS, veröffentlicht 2024) die Schwellenwerte und Meldefristen konkretisiert:

• Erstmeldung: unverzüglich, spätestens binnen 4 Stunden nach Klassifizierung als schwerwiegend
• Zwischenmeldung: 72 Stunden nach Erstmeldung
• Abschlussmeldung: spätestens 1 Monat nach Behebung

Zusätzlich freiwillige Meldung erheblicher Cyberbedrohungen an die zuständige Behörde (Art. 19).

3. Resilience-Testing (Art. 24-27)

Pflicht zu einem Programm digitaler operationeller Resilienz-Tests:

• Basistests für alle: jährliche Tests aller kritischen IKT-Systeme (Vulnerability-Scans, Penetration-Tests, Source-Code-Reviews)
• Threat-Led Penetration Testing (TLPT) für signifikante Finanzunternehmen: alle 3 Jahre, durch externe Tester nach TIBER-EU-ähnlichem Rahmen

Die ESAs haben die Kriterien für TLPT-Verpflichtung in den finalen RTS-Texten konkretisiert. Praxisrelevant: nicht jedes Institut muss TLPT durchführen — die BaFin nominiert die betroffenen Unternehmen.

4. Drittparteienrisiko (Art. 28-44)

Der zentrale Pflichtblock für IKT-Auslagerungen:

• Strategie zur Steuerung des IKT-Drittparteienrisikos
• Register aller IKT-Drittanbieter-Vereinbarungen
• Vertragliche Mindestinhalte (Art. 30): klare Leistungsbeschreibung, Datenspeicherorte, Audit-Rechte, Ausstiegsstrategie, Servicelevels, Versicherungspflichten
• Konzentrationsrisiko-Analyse: Was passiert, wenn ein einzelner Anbieter ausfällt?
• Exit-Strategien mit dokumentierten Übergangsplänen

Die Pflicht zum Drittparteien-Register (Art. 28 Abs. 3) ist eine der operativ aufwändigsten DORA-Anforderungen — viele Institute hatten Mitte 2025 noch keine vollständige Übersicht aller Cloud-Sub-Sub-Verträge.

5. Informationsaustausch (Art. 45)

DORA fördert (aber zwingt nicht) den Austausch von Bedrohungsdaten zwischen Finanzunternehmen, etwa über CERTs oder Industrie-CERTs. Geregelt sind dabei datenschutzrechtliche Grenzen (DSGVO-konform) und Vertraulichkeitsanforderungen.

IKT-Drittanbieter — was Cloud- und SaaS-Anbieter beachten müssen

Auch wenn IKT-Drittanbieter nicht direkt adressiert sind (außer den ESA-benannten CTPPs), trifft sie DORA mittelbar über die vertraglichen Mindestanforderungen ihrer Finanzkunden. Wer einen Bankkunden hat, wird seit 2024 mit folgenden Forderungen konfrontiert:

• DORA-konforme Vertragsanpassungen (Art. 30)
• Nachweispflichten zu Sicherheitsmaßnahmen
• Audit-Rechte und Reporting-Verpflichtungen
• Geographische Datenortsangaben
• Notfall- und Exit-Pläne

Für SaaS-KMU mit Finanz-Kunden lohnt sich eine DORA-Readiness-Mappe: Standard-Vertragsanlagen, ein vorbereitetes ISMS-Statement (z.B. nach ISO 27001) und nachvollziehbare Sub-Auftragsverarbeiter-Listen.

Zeitachse — was wann gilt

Sanktionen

Nach Art. 50-52 DORA können die zuständigen nationalen Behörden — in Deutschland die BaFin — Verwaltungssanktionen verhängen. Der Bußgeldrahmen reicht bei Unternehmen bis zu 1 % des durchschnittlichen Tages-Welt-Umsatzes pro Tag der Zuwiderhandlung (Art. 35 Abs. 6 für CTPPs); für Finanzunternehmen gibt DORA keine EU-weite Höchstsanktion vor, die Höhe regeln die Mitgliedstaaten.

Konkrete deutsche Bußgeldnormen finden sich in der angepassten KWG/VAG/WpHG-Sanktionsklauseln (Finanzmarkt-Digitalisierungsgesetz, im Bundesrat seit 2024).

FAQ

Gilt DORA auch für Fintechs ohne Banklizenz?

Nicht direkt. DORA setzt eine Finanzdienstleistungs-Lizenz nach EU-Sektorrecht voraus. Ein Fintech ohne BaFin-Lizenz (z.B. ein reiner Vermittler oder ein SaaS-Anbieter) ist nicht selbst DORA-pflichtig — wird aber als IKT-Drittanbieter erfasst, sobald lizenzierte Finanzkunden hinzukommen.

Muss eine Sparkasse mit 200 Mitarbeitern denselben Aufwand betreiben wie eine Großbank?

Nein. DORA enthält in Art. 16 ein Proportionalitätsprinzip und ein vereinfachtes Rahmenwerk für kleinere Institute. Die Pflicht zur Etablierung eines IKT-Risikomanagements bleibt aber bestehen — nur Umfang und Tiefe skalieren. Die BaFin hat in Q1 2025 erste Hilfestellungen für kleine Institute veröffentlicht.

Wann werden die ersten Bußgelder fällig?

Die BaFin hat im Frühjahr 2025 angekündigt, zunächst eine Aufsichtspraxis mit Dialog zu fahren — vor formellen Sanktionen stehen Anschreiben, Sonderprüfungen und Mängelrügen. Mit ersten Bußgeldern ist frühestens 2026 zu rechnen, sofern Mängel trotz Aufforderung nicht behoben werden.

Reicht eine ISO-27001-Zertifizierung als DORA-Nachweis?

Nein, aber sie hilft erheblich. ISO 27001 deckt einen großen Teil der Pflichten aus Art. 5-16 (IKT-Risikomanagement) ab, ersetzt aber nicht die DORA-spezifischen Anforderungen — insbesondere die Incident-Reporting-Fristen (Art. 17-23), die TLPT-Pflichten (Art. 24-27) und die Drittparteien-Vertragsanlagen (Art. 30). Praktisch sinnvoll: ISO 27001 als Basis, DORA-Gap-Analyse als Aufsatz.

Was kostet die DORA-Umsetzung?

Schätzungen der ESAs aus dem Folgenabschätzungsbericht 2022 reichen von einmalig 30.000 € bis 1,5 Mio. € je Institut — abhängig von Größe, IT-Komplexität und Vorzustand. Laufende Kosten liegen typischerweise bei 10-30 % der Initialkosten pro Jahr (Personal, Testing, Vertragsrevisionen).