DORA ist seit dem 17. Januar 2025 der zentrale EU-Rechtsrahmen für digitale operationale Resilienz im Finanzsektor. Für Banken, Versicherer, Wertpapierfirmen und weitere Finanzunternehmen bedeutet das: IKT-Risiken, Drittparteien, Vorfälle und Resilienztests müssen einheitlich, prüfbar und governance-tauglich gesteuert werden. Gerade für Enterprise- und Behörden-nahe IT-Organisationen ist DORA deshalb mehr als Compliance – sie ist ein Betriebsmodell für belastbare digitale Services.
Begriffserklärung: Was ist DORA?
Der Digital Operational Resilience Act, offiziell Verordnung (EU) 2022/2554, definiert verbindliche Anforderungen an die digitale operationale Resilienz von Finanzunternehmen in der EU. Ziel ist, dass Institute auch bei Cyberangriffen, Systemausfällen oder Störungen bei IKT-Dienstleistern ihre kritischen Geschäftsprozesse aufrechterhalten, geordnet wiederherstellen und regulatorisch sauber melden können. DORA harmonisiert damit Anforderungen, die zuvor oft national oder sektorspezifisch verteilt waren. Nach ESMA betrifft der Rahmen 21 Typen von Finanzunternehmen; zugleich etabliert er eine EU-weite Aufsicht über kritische IKT-Drittdienstleister.
Kernaussage: DORA verschiebt den Fokus von klassischer IT-Sicherheit hin zu nachweisbarer Widerstandsfähigkeit über Prozesse, Lieferketten, Governance und Meldewege hinweg.
Funktionsweise & technische Hintergründe
Technisch ist DORA in mehrere eng verzahnte Bausteine gegliedert: IKT-Risikomanagement, Management IKT-bezogener Vorfälle, Tests der digitalen operationalen Resilienz, Steuerung von IKT-Drittparteirisiken sowie geregelter Informationsaustausch zu Cyberbedrohungen. Ergänzt wird die Verordnung durch technische Regulierungs- und Durchführungsstandards, etwa zum IKT-Risikomanagement, zur Klassifizierung und Meldung schwerwiegender Vorfälle, zu Threat-Led Penetration Testing (TLPT) und zu standardisierten Informationsregistern.
Architektonisch verlangt DORA ein belastbares Zusammenspiel aus Asset-Inventar, Abhängigkeitsanalyse, Kontrollrahmen, Logging, Detektion, Wiederanlaufplanung und Lieferantensteuerung. Besonders relevant ist das Informationsregister nach Art. 28 DORA: Es macht IKT-Fremdbezüge, kritische oder wichtige Funktionen, Konzentrationsrisiken und Subdienstleister transparent. In Deutschland hat die BaFin für die Einreichung der Informationsregister 2026 den Zeitraum vom 9. bis 30. März 2026 genannt.
Anwendungsbeispiele in der Praxis
In einer Bank betrifft DORA etwa den Online-Banking-Betrieb auf Cloud-Infrastruktur: Fällt ein Identitätsdienst aus, müssen Abhängigkeiten, Eskalationswege und Wiederanlaufverfahren dokumentiert und getestet sein. Bei einem Versicherer kann DORA die Resilienz von Bestands- und Schadenplattformen stärken, insbesondere wenn externe SaaS-Komponenten in kritische Prozesse eingebunden sind. Bei Kapitalverwaltungsgesellschaften oder Handelsplätzen rücken Marktanbindung, Latenz, Monitoring und Meldepflichten bei größeren IKT-Vorfällen in den Vordergrund.
Praxisnutzen: DORA wirkt dort besonders stark, wo Legacy-Systeme, Cloud-Services und externe Provider in einer komplexen Wertschöpfungskette zusammenarbeiten.
Nutzen und Herausforderungen
Vorteile ergeben sich vor allem bei Sicherheit, Transparenz und Steuerbarkeit. DORA verbessert die Vergleichbarkeit regulatorischer Anforderungen in der EU, stärkt Krisenfähigkeit und reduziert blinde Flecken in der Lieferkette. Für Architektur- und Betriebsteams schafft das klarere Anforderungen an BCM, Security Engineering, Testverfahren und Provider Governance.
Dem stehen Herausforderungen gegenüber: Die Einführung ist organisatorisch anspruchsvoll, weil Fachbereiche, Compliance, Informationssicherheit, Einkauf, BCM und IT-Betrieb gemeinsam arbeiten müssen. Aufwändig sind insbesondere Datenqualität und Pflege des Informationsregisters, die vertragliche Absicherung von IKT-Dienstleistern, TLPT-Vorbereitung sowie die saubere Klassifizierung und Meldung größerer Vorfälle. In Deutschland kommt hinzu, dass DORA nationale IT-Aufsichtsanforderungen teilweise ersetzt oder überlagert; BaFin hat ZAIT, VAIT und KAIT bereits aufgehoben, BAIT wird schrittweise zurückgenommen.
Alternative Lösungen
| Ansatz | Fokus | Stärke | Grenze gegenüber DORA |
|---|---|---|---|
| NIS2 | Cybersicherheit kritischer/ wichtiger Einrichtungen | Breiter sektoraler Sicherheitsrahmen | Nicht auf Finanzsektor-spezifische Resilienzpflichten zugeschnitten |
| ISO/IEC 27001 | ISMS | Gute Governance- und Auditbasis |
Deckt DORA-Melde- und Finanzaufsichtsanforderungen nicht vollständig ab |
| BSI IT-Grundschutz | Systematische Absicherung | Starke methodische Tiefe | Kein Ersatz für DORA-spezifische Drittparteien- und Testpflichten |
Fazit
DORA ist für den Finanzsektor der EU der maßgebliche Rahmen, um digitale Resilienz technisch und organisatorisch nachweisbar zu machen. Entscheidend ist nicht nur die Erfüllung einzelner Controls, sondern die Integration von IKT-Risikomanagement, Vorfallsmeldung, Tests und Drittparteiensteuerung in ein belastbares Betriebsmodell. Wer DORA früh mit Architektur, Einkauf, Security und BCM verzahnt, schafft nicht nur Compliance, sondern messbar robustere digitale Services.
FAQs
Ist DORA nur ein Cybersecurity-Thema?
Nein. DORA umfasst neben IT-Sicherheit auch Governance, Resilienztests, Vorfallsmeldung, Notfallplanung und das Management von IKT-Drittparteien.
Für wen gilt DORA?
Für zahlreiche Finanzunternehmen in der EU, darunter Banken, Versicherer, Wertpapierfirmen und weitere regulierte Marktteilnehmer. ESMA spricht von 21 Typen von Finanzunternehmen.
Reicht ISO 27001 für DORA-Compliance aus?
Nein. ISO 27001 ist eine gute Grundlage, ersetzt aber weder DORA-spezifische Meldepflichten noch Anforderungen an Informationsregister, TLPT oder die Aufsicht über kritische IKT-Drittdienstleister.
Autor
Florian Deinhard
Artikel erstellt: 20.02.2025
Artikel aktualisiert: 17.04.2026
