Was ist DORA?
Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung, die seit dem 17. Januar 2025 unmittelbar in allen Mitgliedstaaten gilt. Sie richtet sich ausschließlich an Unternehmen des Finanzsektors und deren IKT-Dienstleister. Ziel ist es, die digitale Betriebsstabilität des europäischen Finanzsystems zu stärken.
DORA gilt anders als NIS2 nicht nach Unternehmensgröße, sondern nach dem Unternehmenstyp. Nahezu alle regulierten Finanzunternehmen sind betroffen. Lediglich Kleinstunternehmen profitieren von vereinfachten Anforderungen.
DORA-Betroffenheitsprüfung
Welchem Unternehmenstyp entspricht Ihr Unternehmen?
Wählen Sie den Bereich aus, der Ihr Hauptgeschäftsfeld beschreibt.
Kreditinstitute & Zahlungsdienste
Banken, Zahlungsinstitute, E-Geld-Institute, Kontoinformationsdienstleister
Kapitalmärkte & Infrastruktur
Wertpapierfirmen, Zentralverwahrer, Zentrale Gegenparteien, Handelsplätze, Transaktionsregister
Fonds & Asset Management
AIFM, OGAW-Verwaltungsgesellschaften, Datenbereitstellungsdienstleister
Versicherungen & Altersvorsorge
Versicherungsunternehmen, Rückversicherer, Versicherungsvermittler, Einrichtungen der betrieblichen Altersversorgung
Krypto & Neue Finanzdienste
Krypto-Dienstleister (MiCA), Crowdfunding-Dienstleister
Ratingagenturen & Abschlussprüfer
Kreditratingagenturen, gesetzliche Abschlussprüfer und Prüfungsgesellschaften
Verbriefungs- & Benchmark-Register
Verbriefungsregister, Administratoren kritischer Benchmarks
IKT-Dienstleister für Finanzunternehmen
IT-Dienstleister, Softwareanbieter oder Cloud-Provider, die Finanzunternehmen als Kunden haben
Sonstige Finanzmarktinfrastruktur
Beaufsichtigte Finanzmarktakteure, die keiner der obigen Kategorien entsprechen
Wie groß ist Ihr Unternehmen?
Kleinstunternehmen gelten nach Art. 16 DORA als vereinfachte Einrichtungen mit erleichterten Anforderungen.
und unter 2 Mio. € Umsatz
oder 2 bis 10 Mio. € Umsatz
oder über 10 Mio. € Umsatz
Die wichtigsten DORA-Anforderungen im Überblick
| Anforderung | Volle Anforderungen | Kleinstunternehmen (Art. 16) |
|---|---|---|
| IKT-Risikomanagement | Vollständiges Rahmenwerk | Vereinfachtes Rahmenwerk |
| Vorfallsmanagement & Meldepflichten | Pflicht (schwerwiegende Vorfälle) | Pflicht |
| Resilienztests (TLPT) | Für bedeutende Institute | Nicht erforderlich |
| Drittpartei-Risikomanagement | Vollständig | Vereinfacht |
| Informationsaustausch | Freiwillig empfohlen | Freiwillig empfohlen |
Besonderheit: IKT-Drittdienstleister
DORA erfasst auch IKT-Dienstleister, die für Finanzunternehmen tätig sind. Kritische IKT-Drittdienstleister werden von den europäischen Aufsichtsbehörden direkt beaufsichtigt. Ob Ihr Unternehmen als kritischer Dienstleister eingestuft wird, hängt von Ihrer Marktbedeutung und systemischen Relevanz ab.
Was sind die nächsten Schritte?
- Betroffenheit im Einzelfall klären: Mehrere Unternehmenstypen aus Artikel 2 DORA können gleichzeitig zutreffen. Eine individuelle Prüfung ist empfehlenswert.
- IKT-Risikomanagement aufbauen: Ausgangspunkt ist ein vollständiges Inventar aller IKT-Systeme und -Abhängigkeiten.
- Vertragsanpassungen bei IKT-Dienstleistern: DORA schreibt Mindestklauseln in IKT-Verträgen vor. Bestehende Verträge müssen geprüft und ggf. angepasst werden.
- Meldewege einrichten: Prozesse für die Meldung schwerwiegender IKT-Vorfälle an die zuständige Aufsichtsbehörde müssen etabliert werden.