DORA — die EU-Verordnung 2022/2554 über die digitale operationelle Resilienz im Finanzsektor — ist seit dem 17. Januar 2025 unmittelbar anwendbares Recht in allen EU-Mitgliedstaaten. Sie richtet sich an über 22 000 Finanzunternehmen und deren IKT-Drittdienstleister. Wer betroffen ist, hat konkrete Pflichten — und im Ernstfall haftet die Geschäftsführung persönlich.
DORA ergänzt NIS2 für den Finanzsektor: Während NIS2 allgemeine Cybersicherheitspflichten aufstellt, geht DORA tiefer — mit sektorspezifischen Anforderungen an IKT-Risikomanagement, Vorfallsmeldung, Resilienzprüfungen und die Kontrolle von IKT-Drittdienstleistern wie Cloud-Anbietern.
Wer ist betroffen?
DORA gilt für alle Finanzunternehmen im Sinne der EU-Finanzmarktregulierung: Kreditinstitute (Banken), Zahlungsinstitute, E-Geld-Institute, Versicherungsunternehmen, Wertpapierfirmen, Investmentfonds (AIFM, UCITS), Krypto-Assetdienstleister und Datenbereitstellungsdienstleister.
Besonders wichtig: DORA gilt auch für IKT-Drittdienstleister, die kritische oder wichtige Funktionen für Finanzunternehmen erbringen — also für Cloud-Anbieter, Rechenzentren und IT-Outsourcing-Dienstleister, die für Banken oder Versicherungen tätig sind. Für kritische IKT-Drittdienstleister wurde sogar ein eigenes EU-weites Aufsichtsrahmen eingeführt.
Verhältnismäßigkeitsprinzip für kleine Unternehmen: DORA sieht für Kleinstunternehmen (unter 10 Mitarbeiter, Bilanzsumme unter 2 Mio. €) vereinfachte Anforderungen vor. Allerdings gilt das Verhältnismäßigkeitsprinzip nicht für die grundlegenden Meldepflichten — diese treffen alle betroffenen Unternehmen unabhängig von der Größe.
Säule 01 · IKT-Risikomanagement
IKT-Risikomanagementrahmen einrichten
Art. 5–16 DORA verpflichten Finanzunternehmen, einen umfassenden IKT-Risikomanagementrahmen zu etablieren. Er muss die Identifikation, Klassifizierung und Dokumentation aller IKT-Assets umfassen, eine kontinuierliche Risikoüberwachung gewährleisten und Schutz- sowie Wiederherstellungsmaßnahmen für kritische Funktionen definieren.
Kernbestandteil: eine Business-Continuity-Richtlinie (BCP) und ein Disaster-Recovery-Plan (DRP), die regelmäßig getestet werden — mindestens jährlich, für wesentliche Einrichtungen häufiger.
Säule 02 · Vorfallsmeldung
IKT-Vorfallsmanagement und Meldepflichten
Art. 17–23 DORA verlangen ein strukturiertes IKT-Vorfallsmanagement. Unternehmen müssen Vorfälle klassifizieren — nach Kriterien wie Anzahl betroffener Nutzer, Dauer des Ausfalls, Reichweite der geografischen Beeinträchtigung und wirtschaftlicher Schaden.
Meldefristen für schwerwiegende Vorfälle: Erstmeldung innerhalb von 4 Stunden nach Erkennung (bei unmittelbarer Bedrohung), Zwischenmeldung innerhalb von 72 Stunden, Abschlussbericht innerhalb eines Monats. Diese Fristen sind strenger als NIS2.
Die Meldungen gehen an die zuständige nationale Aufsichtsbehörde — in Österreich an die FMA (Finanzmarktaufsicht).
Säule 03 · Resilienzprüfung
DORA-Resilienzprüfungen durchführen
Art. 24–27 DORA fordern regelmäßige Tests der digitalen Betriebsstabilität. Für die meisten Finanzunternehmen gilt: jährliche Basisprüfungen (Schwachstellenscans, Penetrationstests, Netzwerksicherheitsprüfungen). Für bedeutende Finanzunternehmen kommt alle drei Jahre ein TLPT (Threat-Led Penetration Testing) hinzu — ein erweiterter Penetrationstest auf Basis aktueller Bedrohungsszenarien.
TLPT-Tests müssen von akkreditierten externen Prüfern durchgeführt werden und beziehen auch IKT-Drittdienstleister ein, die kritische Funktionen erbringen.
Säule 04 · IKT-Drittparteienrisiko
IKT-Dienstleister vertraglich einbinden und überwachen
Art. 28–44 DORA sind der umfangreichste Abschnitt der Verordnung. Finanzunternehmen müssen alle IKT-Drittdienstleister — insbesondere Cloud-Anbieter — in einem Register der IKT-Drittdienstleister erfassen und regelmäßig auf Risiken prüfen.
Verträge mit IKT-Dienstleistern müssen DORA-konforme Mindestklauseln enthalten: klare Beschreibung der Leistungen, Auditrechte, Kündigungsrechte bei DORA-Verstößen, Regelungen für Subunternehmer, Datenspeicherort und Meldepflicht bei Sicherheitsvorfällen des Dienstleisters.
Kritische IKT-Drittdienstleister (typischerweise große Cloud-Anbieter wie AWS, Azure, Google Cloud) stehen unter direkter EU-Aufsicht durch die Europäischen Aufsichtsbehörden (ESAs).
Sanktionen bei DORA-Verstößen: Die Aufsichtsbehörden können bei Verstößen Sanktionen verhängen, Tätigkeiten untersagen und — bei schwerwiegenden Verstößen — die verantwortlichen Führungskräfte persönlich haftbar machen. Für kritische IKT-Drittdienstleister können die ESAs Bußgelder von bis zu 1 % des weltweiten Tagesumsatzes verhängen.
DORA und NIS2: Wo überschneiden sie sich?
NIS2 und DORA überlappen erheblich — aber DORA ist lex specialis für den Finanzsektor: Finanzunternehmen, die unter DORA fallen, erfüllen mit DORA-Compliance in der Regel auch ihre NIS2-Pflichten. Sie müssen jedoch darauf achten, dass die nationalen NIS2-Umsetzungsgesetze (z. B. das österreichische NISG 2024) nicht zusätzliche Anforderungen stellen, die über DORA hinausgehen.
Wer bereits ein ISMS nach ISO 27001 aufgebaut hat, deckt einen erheblichen Teil der DORA-Anforderungen ab — insbesondere im Bereich IKT-Risikomanagement und Vorfallsmanagement.
DORA ist kein IT-Projekt. Es ist eine regulatorische Verpflichtung, die direkt auf dem Schreibtisch des Vorstands landet. Aus der Beratungspraxis
Was konkret zu tun ist
Für Finanzunternehmen, die noch kein vollständiges DORA-Compliance-Programm haben, gilt: Zuerst Betroffenheitsanalyse, dann Gap-Assessment gegen die fünf DORA-Säulen, dann priorisierter Umsetzungsplan. Der größte Handlungsbedarf liegt erfahrungsgemäß bei der Vertragsdokumentation mit IKT-Drittdienstleistern und beim Aufbau des Vorfallsmanagements.
Im kostenlosen Erstgespräch klären wir, ob DORA für Ihr Unternehmen gilt, wo die größten Compliance-Lücken liegen und wie ein pragmatischer Umsetzungsplan aussehen kann.
