Was ist DORA?
Der Digital Operational Resilience Act einfach erklärt — was kleine Finanzinstitute wissen müssen.
DORA in einem Satz
Der Digital Operational Resilience Act (DORA, Verordnung EU 2022/2554) ist eine EU-Verordnung, die sicherstellt, dass Finanzinstitute ihre IT-Risiken — insbesondere durch Drittanbieter — systematisch managen können.
DORA gilt seit 17. Januar 2025 unmittelbar in allen EU-Mitgliedstaaten.
Wen betrifft DORA?
DORA betrifft praktisch alle regulierten Finanzunternehmen:
- Banken und Sparkassen (inkl. Volksbanken, Privatbanken)
- Versicherungen und Rückversicherer
- Wertpapierfirmen und Kapitalverwaltungsgesellschaften
- Zahlungsinstitute und E-Geld-Institute
- Krypto-Asset-Dienstleister
Die Verordnung gilt unabhängig von der Unternehmensgröße. Auch kleine Institute mit weniger als 500 Mitarbeitern sind vollständig betroffen.
Die fünf Säulen von DORA
1. ICT-Risikomanagement (Art. 5-16)
Finanzunternehmen müssen ein umfassendes Rahmenwerk für das Management von ICT-Risiken einrichten. Dazu gehören Governance-Strukturen, Identifikation kritischer Systeme und dokumentierte Prozesse.
2. ICT-bezogene Vorfälle (Art. 17-23)
Meldung schwerwiegender ICT-Vorfälle an die zuständige Aufsichtsbehörde — innerhalb definierter Fristen und nach einem strukturierten Prozess.
3. Digital Operational Resilience Testing (Art. 24-27)
Regelmäßige Tests der digitalen operationellen Resilienz, einschließlich Threat-Led Penetration Testing (TLPT) für größere Institute.
4. ICT-Drittparteirisiko (Art. 28-30)
Das Herzstück für die meisten Institute: Systematisches Management aller ICT-Dienstleister, vertragliche Absicherung und laufende Überwachung.
5. Informationsaustausch (Art. 45)
Freiwilliger Austausch von Informationen über Cyber-Bedrohungen zwischen Finanzunternehmen.
Warum DORA besonders kleine Institute trifft
Als ich DORA-Compliance für eine regulierte Bank von Null aufgebaut habe, wurde mir eines schnell klar: Die Verordnung macht keinen Unterschied zwischen einer Großbank und einem Institut mit 30 Mitarbeitern.
Die Anforderungen sind identisch. Aber die Ressourcen nicht.
Große Institute haben ganze Abteilungen für ICT Risk Management. Kleine Institute haben oft eine Person, die Compliance, IT-Sicherheit und DORA gleichzeitig stemmt — neben dem Tagesgeschäft.
Das bedeutet nicht, dass es unmöglich ist. Es bedeutet, dass kleine Institute klüger arbeiten müssen — mit den richtigen Werkzeugen und einem pragmatischen Ansatz.
Die drei Artikel, die Sie kennen müssen
Für das Tagesgeschäft der meisten kleinen Institute sind drei Artikel besonders relevant:
| Artikel | Thema | Was Sie tun müssen |
|---|---|---|
| Art. 28 | Register of Information | Alle ICT-Dienstleister in einem strukturierten Register erfassen |
| Art. 29 | Bewertung & Überwachung | Dienstleister laufend bewerten, Risiken quantifizieren |
| Art. 30 | Vertragliche Anforderungen | Pflichtklauseln in jedem ICT-Vertrag sicherstellen |
Nächste Schritte
Wenn Sie wissen möchten, wo Ihr Institut steht, starten Sie mit unserer DORA Readiness Checkliste — 10 Fragen, die in 5 Minuten zeigen, wo die größten Lücken liegen.
Weitere Vertiefungen:
- Register of Information — Aufbau und Anforderungen des RoI nach Art. 28
- BaFin-Prüfung vorbereiten — was die Aufsicht konkret sehen will
- DORA vs. NIS2 — wie sich DORA von der NIS2-Richtlinie unterscheidet
- Was ist Third-Party Risk Management? — Grundlagen des Drittparteienmanagements