Launch Q3 2026
BearGuard®
BearGuard®
Governance & AI Guardrails
DE EN
🔒 EU/EWR Datenschutz

DORA — Digital Operational Resilience Act

DORA (Verordnung EU 2022/2554) stärkt die digitale Betriebsstabilität des EU-Finanzsektors mit einheitlichen IKT-Risikomanagement- und Resilienzanforderungen.

LinkedIn X WhatsApp

Zusammenfassung

Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung (2022/2554), die einheitliche Anforderungen an das IKT-Risikomanagement, die Meldung von IKT-Vorfällen, Tests der digitalen Betriebsstabilität und das Management von Drittparteirisiken im Finanzsektor festlegt.

  • IKT-Risikomanagement: Finanzunternehmen müssen umfassende Rahmenbedingungen für das Management von IKT-Risiken einrichten und aufrechterhalten.
  • Vorfallsmeldung: Einheitliche Klassifizierung und Meldung schwerwiegender IKT-bezogener Vorfälle an Aufsichtsbehörden.
  • Resilienztests: Regelmäßige Tests, einschließlich bedrohungsgesteuerter Penetrationstests (TLPT) für systemrelevante Institute.
  • Drittparteirisiken: Strenge Anforderungen an Verträge mit IKT-Drittanbietern, insbesondere Cloud-Diensten.

Geschichte

DORA entstand als Reaktion auf die wachsende Abhängigkeit des Finanzsektors von digitalen Systemen und die zunehmenden Cyberangriffe auf Finanzinstitute. Die EU-Kommission legte den Entwurf im September 2020 als Teil des „Digital Finance Package“ vor. Nach Trilogverhandlungen wurde DORA am 27. Dezember 2022 im EU-Amtsblatt veröffentlicht und trat am 17. Januar 2023 in Kraft. Die Anwendbarkeit begann am 17. Januar 2025, nachdem die zugehörigen technischen Regulierungsstandards (RTS) und Durchführungsstandards (ITS) von ESAs erarbeitet worden waren.

Geltungsbereich

DORA gilt direkt (ohne nationale Umsetzung) für ein breites Spektrum von Finanzunternehmen: Banken, Versicherungen, Wertpapierfirmen, Zahlungsinstitute, E-Geld-Institute, Handelsplätze, Zentralverwahrer, zentrale Gegenparteien, Kreditratingagenturen, Verwalter alternativer Investmentfonds, OGAW-Verwaltungsgesellschaften und Krypto-Assetdienstleister. Darüber hinaus sind IKT-Drittanbieter, die als „kritisch“ eingestuft werden, der direkten Aufsicht durch europäische Aufsichtsbehörden (ESAs) unterworfen.

Kernanforderungen

  • IKT-Risikomanagement-Rahmenwerk: Umfassende Strategie, Governance, kontinuierliche Überwachung und Verbesserung.
  • Vorfallsmanagement: Klassifizierung, Meldung innerhalb definierter Fristen (Erstmeldung: 4 Stunden für kritische Vorfälle), Ursachenanalyse.
  • TLPT: Bedrohungsgesteuerte Penetrationstests mindestens alle 3 Jahre für bedeutende Institute.
  • Drittparteirisikomanagement: Vertragsanforderungen, Ausstiegsstrategien, Konzentrations-risikoüberwachung.
  • Informationsaustausch: Freiwilliger Austausch von Bedrohungsinformationen zwischen Finanzinstituten.
  • Governance: Klare Verantwortlichkeiten der Führungsebene für IKT-Risiken.

Verwandte Frameworks

GDPR/DSGVONIS2SanktionenCRA

Inhalt zuletzt geprüft: 22. Februar 2026. Fehler gefunden oder Aktualisierung nötig? [email protected]