Zum Inhalt springen
SIKKER GmbH

DORA-Verordnung: Beratung für Finanzunternehmen und IKT-Dienstleister

Der Digital Operational Resilience Act (DORA) verpflichtet Finanzunternehmen und IKT-Dienstleister zu umfassender digitaler Resilienz. Seit dem 17. Januar 2025 ist die EU-Verordnung unmittelbar anwendbar, Verstöße sanktionieren BaFin und Bundesbank. Die SIKKER GmbH übernimmt Betroffenheitsprüfung, IKT-Risikomanagement und laufende DORA-Compliance.

Erstberatung anfragen Anforderungen im Überblick

Was ist die DORA-Verordnung?

Die DORA-Verordnung (EU 2022/2554) ist eine EU-Verordnung zur Stärkung der digitalen operationalen Resilienz im Finanzsektor. Ihr Ziel: Finanzunternehmen sollen IKT-bezogene Störungen und Cyberangriffe erkennen, abwehren und sich davon erholen können, ohne dass die Stabilität des Finanzsystems gefährdet wird.

Anders als die NIS-2-Richtlinie ist DORA als EU-Verordnung in allen Mitgliedstaaten unmittelbar anwendbar. Es bedarf keiner nationalen Umsetzung. Die Verordnung gilt seit dem 17. Januar 2025 verbindlich für alle betroffenen Finanzunternehmen und deren IKT-Dienstleister.

DORA ergänzt bestehende Aufsichtsanforderungen (BAIT, VAIT, KAIT, ZAIT) und schafft einen einheitlichen europäischen Rahmen für das IKT-Risikomanagement. Für Unternehmen, die bereits ein ISMS nach ISO 27001 betreiben, bietet DORA erhebliche Synergien. Grundlegendes zur Informationssicherheit finden Sie auf unserer Übersichtsseite.

DORA auf einen Blick

  • Grundlage: EU-Verordnung 2022/2554 (Digital Operational Resilience Act)
  • Anwendbar seit: 17. Januar 2025
  • Rechtscharakter: Unmittelbar anwendbar in allen EU-Mitgliedstaaten
  • Aufsicht: BaFin, Bundesbank, ESAs (EBA, ESMA, EIOPA)
  • Betroffene: Über 22.000 Finanzunternehmen und IKT-Drittanbieter in der EU

Wer ist von der DORA-Verordnung betroffen?

DORA erfasst nahezu den gesamten regulierten Finanzsektor sowie die IKT-Drittanbieter, auf die Finanzunternehmen angewiesen sind. Die Verordnung definiert 21 Kategorien betroffener Unternehmen.

Finanzunternehmen

Direkt regulierte Unternehmen, die DORA vollständig umsetzen müssen.

  • Kreditinstitute und Banken
  • Versicherungs- und Rückversicherungsunternehmen
  • Wertpapierfirmen und Handelsplätze
  • Zahlungsinstitute und E-Geld-Institute
  • Kapitalverwaltungsgesellschaften
  • Zentralverwahrer und zentrale Gegenparteien
  • Ratingagenturen und Transaktionsregister
  • Einrichtungen der betrieblichen Altersversorgung
  • Schwarmfinanzierungsdienstleister

IKT-Drittanbieter

Dienstleister, die IKT-Leistungen für Finanzunternehmen erbringen.

  • Cloud-Service-Provider
  • Softwareanbieter (z.B. Kernbankensysteme)
  • Rechenzentren und Hosting-Anbieter
  • Managed-Service-Provider
  • Anbieter von Datenanalysediensten
  • IT-Sicherheitsdienstleister

Kritische IKT-Drittanbieter unterliegen einer direkten Aufsicht durch die europäischen Aufsichtsbehörden (ESAs) und müssen erweiterte Anforderungen erfüllen.

Der Proportionalitätsgrundsatz gilt: Kleinstunternehmen und bestimmte Finanzunternehmen mit begrenztem Risikoprofil müssen einen vereinfachten IKT-Risikomanagementrahmen umsetzen. Die vollständigen Anforderungen, einschließlich Threat-Led Penetration Testing, gelten für größere Institute.

Die 5 DORA-Anforderungen im Überblick

Die DORA-Verordnung definiert fünf zentrale Anforderungsbereiche. Gemeinsam bilden sie den Rahmen für die digitale operationale Resilienz im Finanzsektor.

01

IKT-Risikomanagement

Finanzunternehmen müssen einen umfassenden IKT-Risikomanagementrahmen einrichten. Dazu gehören: Identifikation und Klassifikation aller IKT-Assets, kontinuierliche Risikoanalyse, Schutzmaßnahmen, Erkennung von Anomalien und dokumentierte Wiederherstellungspläne.

02

Meldung von IKT-Vorfällen

Schwerwiegende IKT-Vorfälle müssen der zuständigen Aufsichtsbehörde gemeldet werden: Erstmeldung innerhalb von 4 Stunden nach Klassifikation, Zwischenbericht innerhalb von 72 Stunden, Abschlussbericht binnen eines Monats. Die Klassifikation erfolgt anhand definierter Kriterien.

03

Tests der digitalen Resilienz

Regelmäßige Tests der IKT-Systeme sind Pflicht: Schwachstellenscans, Open-Source-Analysen, Netzwerksicherheitsprüfungen und Penetrationstests. Bedeutende Finanzunternehmen müssen zusätzlich alle drei Jahre ein Threat-Led Penetration Testing (TLPT) durchführen.

04

IKT-Drittparteienrisiko

Alle Verträge mit IKT-Drittanbietern müssen spezifische Anforderungen erfüllen. Finanzunternehmen führen ein vollständiges Informationsregister aller IKT-Vereinbarungen und bewerten Konzentrationsrisiken. Kritische IKT-Drittanbieter unterliegen einer direkten EU-Aufsicht.

05

Informationsaustausch

Finanzunternehmen dürfen und sollen Informationen über Cyberbedrohungen, Schwachstellen und Angriffstechniken untereinander austauschen. DORA schafft dafür einen rechtssicheren Rahmen, um die kollektive Resilienz des Finanzsektors zu stärken.

DORA und ISO 27001: Synergien nutzen

Ein bestehendes ISMS nach ISO 27001 bildet eine starke Grundlage für die DORA-Umsetzung. Viele Kontrollen überschneiden sich direkt. Die folgende Tabelle zeigt, welche ISO-27001-Bereiche welche DORA-Anforderungen adressieren.

DORA-Anforderung ISO 27001:2022 Kontrollen Deckungsgrad
IKT-Risikomanagement Kap. 6.1.2, A.5.1, A.8.1, A.8.2 Weitgehend
Meldung von IKT-Vorfällen A.5.24, A.5.25, A.5.26, A.6.8 Teilweise
Tests der digitalen Resilienz A.8.8, A.8.34 Teilweise
IKT-Drittparteienrisiko A.5.19, A.5.20, A.5.21, A.5.22 Weitgehend
Informationsaustausch A.5.5, A.5.6 Teilweise

Die Bewertung „Teilweise" bedeutet: ISO 27001 legt die methodische Grundlage, die spezifischen DORA-Anforderungen (z.B. TLPT, Informationsregister, aufsichtsrechtliche Meldefristen) erfordern zusätzliche Maßnahmen. Eine gezielte Gap-Analyse identifiziert den konkreten Anpassungsbedarf für Ihr Unternehmen.

DORA und NIS-2: Abgrenzung und Gemeinsamkeiten

Beide Regelwerke stärken die Cybersicherheit in der EU, richten sich aber an unterschiedliche Zielgruppen. Für Finanzunternehmen gilt DORA als lex specialis: Wo DORA spezifischere Anforderungen stellt, gehen diese den allgemeinen NIS-2-Anforderungen vor.

Aspekt DORA NIS-2
Zielgruppe Nur Finanzsektor und IKT-Drittanbieter 18 Sektoren (Energie, Verkehr, Gesundheit etc.)
Rechtscharakter EU-Verordnung (direkt anwendbar) EU-Richtlinie (nationale Umsetzung nötig)
Anwendbar seit 17. Januar 2025 Dezember 2025 (NIS2UmsuCG)
Kernforderung 5 Säulen der digitalen Resilienz 10 Risikomanagement-Maßnahmen (§30 BSIG)
ISMS gefordert? Ja (explizit: IKT-Risikomanagementrahmen) Ja (implizit über Risikoanalyse-Pflicht)
Aufsicht (DE) BaFin, Bundesbank BSI

Finanzunternehmen, die sowohl unter DORA als auch unter NIS-2 fallen, profitieren von der Vorrangregelung: Die vollständige DORA-Umsetzung ersetzt die überschneidenden NIS-2-Pflichten. Dennoch empfiehlt sich eine koordinierte Betrachtung beider Regelwerke, um Synergien zu nutzen und Lücken zu vermeiden.

Sanktionen und Konsequenzen bei Nichteinhaltung

Die DORA-Verordnung sieht empfindliche Sanktionen vor. Die konkreten Bußgeldrahmen werden durch die nationalen Aufsichtsbehörden festgelegt, die Verordnung gibt jedoch klare Leitlinien vor.

1 % Tagesumsatz

Periodische Zwangsgelder: bis zu 1 % des durchschnittlichen weltweiten Tagesumsatzes, täglich bis zur Herstellung der Compliance

5 Mio. EUR

Maximale Geldbuße für kritische IKT-Drittanbieter bei schwerwiegenden Verstößen gegen die DORA-Anforderungen

Persönliche Haftung

Geschäftsleitung ist verantwortlich für den IKT-Risikomanagementrahmen und kann bei Pflichtverletzung persönlich haftbar gemacht werden

Zusätzlich können Aufsichtsbehörden öffentliche Bekanntmachungen erlassen, die Geschäftstätigkeit einschränken oder die Nutzung bestimmter IKT-Drittanbieter untersagen. Für kritische IKT-Drittanbieter besteht das Risiko, dass europäische Finanzunternehmen ihre Dienste nicht mehr nutzen dürfen.

DORA-Umsetzung: Ihr strukturierter Fahrplan

Die DORA-Umsetzung lässt sich in fünf aufeinander aufbauende Schritte gliedern. Dieser Fahrplan eignet sich besonders für mittelständische Finanzunternehmen und IKT-Dienstleister, die die DORA-Anforderungen effizient erfüllen wollen.

  1. 1

    Betroffenheitsprüfung und Scope-Definition

    Wir prüfen, in welchem Umfang DORA für Ihr Unternehmen gilt. Dabei analysieren wir Ihre Lizenz, Ihre Rolle im Finanzökosystem und Ihre IKT-Abhängigkeiten. Das Ergebnis: eine klare Einordnung und der definierte Anwendungsbereich für die weiteren Schritte.

  2. 2

    Ist-Analyse und Gap-Assessment

    Wir gleichen Ihre bestehenden Sicherheitsmaßnahmen mit den fünf DORA-Anforderungsbereichen ab. Wer ein ISMS nach ISO 27001 oder BAIT-/VAIT-Prozesse hat, deckt oft große Teile bereits ab.

  3. 3

    Maßnahmenplanung und Priorisierung

    Auf Basis der Gap-Analyse erstellen wir einen risikobasierten Umsetzungsplan. Kritische Bereiche wie das IKT-Drittparteienrisikomanagement und das Informationsregister werden priorisiert. Ressourcen und Zeitrahmen werden realistisch definiert.

  4. 4

    Implementierung und Dokumentation

    Der IKT-Risikomanagementrahmen, Incident-Response-Prozesse, das Informationsregister und die vertraglichen Anforderungen an IKT-Drittanbieter werden umgesetzt und revisionssicher dokumentiert. Schulungen für Mitarbeitende und Geschäftsleitung runden die Implementierung ab.

  5. 5

    Monitoring und kontinuierliche Verbesserung

    DORA-Compliance ist keine einmalige Pflicht. Regelmäßige Resilienztests, die Aktualisierung des Informationsregisters, Auswertung von IKT-Vorfällen und die Anpassung an neue Regulatory Technical Standards (RTS) stellen die dauerhafte Konformität sicher.

Häufig gestellte Fragen

Was sind die 5 Säulen der DORA-Verordnung?

Die DORA-Verordnung basiert auf fünf Kernanforderungen: IKT-Risikomanagement, Meldung von IKT-Vorfällen, Tests der digitalen operationalen Resilienz (einschließlich Threat-Led Penetration Testing), Management des IKT-Drittparteienrisikos und Vereinbarungen zum Informationsaustausch. Finanzunternehmen müssen alle fünf Bereiche nachweisbar umsetzen und dokumentieren.

Wer fällt unter die DORA-Verordnung?

DORA betrifft nahezu den gesamten Finanzsektor: Kreditinstitute, Versicherungsunternehmen, Wertpapierfirmen, Zahlungsinstitute, Kapitalverwaltungsgesellschaften, Ratingagenturen und Handelsplätze. Zusätzlich erfasst die Verordnung IKT-Drittanbieter wie Cloud-Dienste, Softwareanbieter und Rechenzentren, die Dienstleistungen für Finanzunternehmen erbringen. Kritische IKT-Drittanbieter unterliegen einer direkten Aufsicht durch die europäischen Aufsichtsbehörden (ESAs).

Ist die DORA-Verordnung verpflichtend?

Ja. DORA ist eine EU-Verordnung und seit dem 17. Januar 2025 in allen EU-Mitgliedstaaten unmittelbar anwendbar. Anders als eine Richtlinie bedarf sie keiner nationalen Umsetzung. Betroffene Finanzunternehmen und IKT-Drittanbieter müssen die Anforderungen vollständig erfüllen. Die Aufsicht liegt bei der BaFin und der Bundesbank, auf europäischer Ebene bei den ESAs.

Was ist der Unterschied zwischen DORA und NIS-2?

DORA ist eine EU-Verordnung speziell für den Finanzsektor und gilt seit Januar 2025 direkt. NIS-2 ist eine EU-Richtlinie, die alle kritischen Sektoren abdeckt und über nationale Gesetze umgesetzt wird. Für Finanzunternehmen geht DORA als lex specialis vor: Wer DORA vollständig umsetzt, erfüllt die überschneidenden NIS-2-Anforderungen. Beide Regelwerke fordern ein IKT-Risikomanagement, Incident-Meldung und Business Continuity.

Welche Dokumentationspflichten gibt es nach DORA?

DORA verlangt umfangreiche Dokumentation: einen IKT-Risikomanagementrahmen, ein Informationsregister aller IKT-Verträge mit Drittanbietern, dokumentierte Incident-Response-Prozesse, Ergebnisse von Resilienztests und Penetrationstests sowie Richtlinien für das IKT-Drittparteienrisikomanagement. Diese Dokumente müssen der Aufsichtsbehörde auf Anforderung vorgelegt werden können.

Hilft ein bestehendes ISMS nach ISO 27001 bei der DORA-Umsetzung?

Ja, erheblich. Ein ISMS nach ISO 27001 deckt wesentliche DORA-Anforderungen im Bereich IKT-Risikomanagement, Incident-Management und Zugriffskontrollen bereits ab. Die systematische Herangehensweise an Informationssicherheit bildet eine solide Grundlage. Zusätzlicher Anpassungsbedarf besteht vor allem beim Drittparteienrisikomanagement, dem Informationsregister und den spezifischen Resilienztests (TLPT).

Verwandte Leistungen

Die DORA-Verordnung steht nicht isoliert. Diese Leistungen ergänzen die DORA-Umsetzung sinnvoll.

NIS-2-Beratung

Finanzunternehmen können von beiden Regelwerken betroffen sein. Wir zeigen Synergien auf und vermeiden Doppelarbeit bei der Umsetzung.

Mehr erfahren

ISMS & ISO 27001

Ein ISMS nach ISO 27001 bildet die Grundlage für das IKT-Risikomanagement nach DORA und beschleunigt die Umsetzung erheblich.

Mehr erfahren

Informationssicherheit

DORA fordert umfassende IKT-Sicherheit. Unsere Beratung zur Informationssicherheit schafft die strategische Basis für alle regulatorischen Anforderungen.

Mehr erfahren

Ihr Partner für DORA-Compliance

Die SIKKER GmbH unterstützt Finanzunternehmen und IKT-Dienstleister bei der strukturierten DORA-Umsetzung. Wir kombinieren ISMS-Umsetzungen nach ISO 27001 mit den spezifischen DORA-Pflichten, damit Doppelarbeit entfällt und bestehende Sicherheitsprozesse weiterlaufen.

Von der Betroffenheitsprüfung über die Gap-Analyse bis zur laufenden Betreuung: Wir begleiten Sie in jeder Phase der DORA-Regulierung. Mehr über unser Team erfahren.

SIKKER GmbH

Informationssicherheit, Datenschutz & Compliance

ISO 27001 DSGVO NIS-2 BCM KI-Compliance

DORA-Betroffenheit in einem Gespräch klären

Wir analysieren, in welchem Umfang die DORA-Verordnung für Ihr Unternehmen gilt, und entwickeln einen praxistauglichen Umsetzungsfahrplan.

Jetzt Erstberatung anfragen