DORA-Verordnung
Digitale operationelle Resilienz
EU 2022/2554
Die DORA-Verordnung verpflichtet den gesamten Finanzsektor – und seine IKT-Dienstleister – zu nachweisbarer digitaler Widerstandsfähigkeit. Wer kritische IT-Dienste für Banken, Versicherer oder Zahlungsdienstleister erbringt, fällt direkt in den Anwendungsbereich.
DORA gilt unmittelbar seit dem 17. Januar 2025 – ohne nationale Umsetzung. Aufsichtsbehörden prüfen bereits aktiv. Wer noch keine vollständige Resilienzstrategie hat, sollte jetzt handeln.
Verordnung
EU-Verordnung 2022/2554
17.01.2025
Gilt seit
5 Säulen
Tragende Säulen
innerhalb 4h
Schwere Vorfälle melden
20+ Typen
Betroffene Entitätstypen
Wer ist von DORA betroffen?
DORA gilt für Finanzunternehmen und für die IKT-Drittdienstleister, die kritische Dienste für den Finanzsektor erbringen. Auch Software- und Cloud-Anbieter sind damit erfasst.
Finanzunternehmen
- Banken & Kreditinstitute
- Versicherer & Rückversicherer
- Wertpapierfirmen
- Zahlungsdienstleister
- Krypto-Dienstleister (MiCA)
- Fondsverwalter & KVGen
- Handelsplätze & Zentralverwahrer
IKT-Dienstleister des Finanzsektors
- Cloud-Anbieter
- Software- & SaaS-Hersteller
- Rechenzentren & Hosting
- Managed-Service-Provider
- IT-Sicherheitsdienstleister
- Datenanalyse- & KI-Dienste
- Kritische Drittanbieter (CTPP)
Anwendungsbereich: DORA gilt grundsätzlich für alle beaufsichtigten Finanzunternehmen – unabhängig von der Größe, wobei für Kleinst- und Kleinunternehmen ein vereinfachtes Risikorahmenwerk vorgesehen ist. Entscheidend für IT-Anbieter ist nicht die eigene Größe, sondern ob sie kritische IKT-Dienste für den Finanzsektor erbringen. Als kritisch eingestufte Drittanbieter (CTPP) unterliegen einer direkten EU-Aufsicht.
Was verlangt DORA konkret?
DORA baut auf fünf Säulen auf und definiert verbindliche Anforderungen an IKT-Risikomanagement, Vorfallmeldung, Resilienztests, Drittanbietersteuerung und Governance.
IKT-Risikomanagement-Rahmenwerk
Dokumentiertes Rahmenwerk zur Identifikation, zum Schutz und zur Überwachung aller IKT-Assets. Inventar kritischer Systeme und Abhängigkeiten ist Pflicht.
Klassifizierung & Meldung von Vorfällen
Schwerwiegende IKT-Vorfälle müssen klassifiziert und an die Aufsicht gemeldet werden – Erstmeldung innerhalb von 4 Stunden nach Einstufung, gefolgt von Zwischen- und Abschlussbericht.
Resilienztests inkl. TLPT
Regelmäßige Tests der digitalen Widerstandsfähigkeit. Bedeutende Unternehmen müssen bedrohungsorientierte Penetrationstests (Threat-Led Penetration Testing) durchführen.
Steuerung von IKT-Drittanbietern
Vertragsregister aller IKT-Dienstleister, verpflichtende Vertragsklauseln, Exit-Strategien und laufende Überwachung kritischer Lieferanten.
Geschäftsfortführung & Wiederherstellung
Notfall- und Wiederanlaufpläne, Backup-Strategien und definierte Wiederherstellungsziele (RTO/RPO), regelmäßig getestet.
Governance & Vorstandsverantwortung
Das Leitungsorgan trägt die Letztverantwortung für das IKT-Risikomanagement. Rollen, Zuständigkeiten und Berichtswege müssen klar definiert sein.
Fristen & Timeline
Der Zeitplan für DORA – von der Verabschiedung bis zur laufenden Aufsicht.
DORA verabschiedet
Die EU-Verordnung 2022/2554 tritt in Kraft. Es folgt eine Übergangsfrist von 24 Monaten zur Vorbereitung.
Technische Standards (RTS/ITS)
ESAs konkretisieren DORA durch technische Regulierungsstandards zu Risikomanagement, Vorfallmeldung und Drittanbietersteuerung.
DORA gilt unmittelbar
Ab diesem Datum sind alle Anforderungen verbindlich. Finanzunternehmen und ihre IKT-Dienstleister müssen vollständig konform sein.
Jetzt handelnAufsicht & CTPP-Benennung
Aufsichtsbehörden prüfen die Umsetzung. Kritische Drittanbieter werden benannt und unterliegen direkter EU-Aufsicht.
Wie wir Ihnen bei DORA helfen
Von der Betroffenheits- und Gap-Analyse bis zur laufenden Begleitung – wir führen Sie durch den gesamten DORA-Prozess in drei klar strukturierten Phasen.
Analyse & Gap-Bewertung
Wir klären Ihren Anwendungsbereich und vergleichen Ihre aktuelle Aufstellung mit den DORA-Anforderungen – inklusive vollständiger Erfassung Ihrer IKT-Assets und Dienstleister.
- Betroffenheits- & Scope-Prüfung
- Gap-Analyse gegen DORA
- IKT-Asset- & Abhängigkeitsmapping
- Erfassung kritischer Drittanbieter
Umsetzung & Aufbau
Wir bauen alle DORA-Bausteine praxisnah und dokumentiert auf – vom Risikorahmenwerk bis zum Vertragsregister.
- IKT-Risikorahmenwerk etablieren
- Vorfall-Melde- & Klassifizierungsprozess
- Testprogramm inkl. TLPT vorbereiten
- Vertragsregister aufbauen
- Business-Continuity-Management einrichten
Begleitung & Betrieb
DORA ist ein Dauerthema. Wir begleiten Sie mit wiederkehrenden Tests, Meldeprozessen und Lieferantenüberwachung.
- Testzyklen & Resilienztests
- Aufsichts- & Meldeprozesse
- Laufende Lieferantenüberwachung
- Audits & kontinuierliche Anpassung
Häufige Fragen zu DORA
Ist Ihr Unternehmen DORA-ready?
Lassen Sie uns gemeinsam prüfen, ob und wie DORA Sie betrifft – und welche Maßnahmen jetzt umzusetzen sind. Kostenfreies Erstgespräch, konkrete Einschätzung.
Kostenfreies Erstgespräch vereinbarenWir melden uns innerhalb von 24 Stunden.