DORA Anforderungen: Was Finanzunternehmen jetzt umsetzen müssen
Alle Beiträge
Informationssicherheit

DORA Anforderungen: Was Finanzunternehmen jetzt umsetzen müssen

Veröffentlicht am 31.03.2026·9 min. Lesedauer

Inhaltsverzeichnis

Das Wichtigste in Kürze

  • Der Digital Operational Resilience Act (DORA) gilt seit dem 17. Januar 2025 verbindlich für Finanzunternehmen und deren IKT-Dienstleister in der EU.
  • Die zentralen DORA Anforderungen umfassen fünf Säulen: IKT-Risikomanagement, Incident-Meldepflichten, Resilienztests, Drittanbieter-Überwachung und Informationsaustausch.
  • Betroffen sind Banken, Versicherungen, Wertpapierfirmen, Zahlungsinstitute und kritische IKT-Drittdienstleister.
  • Verstöße können zu aufsichtsrechtlichen Maßnahmen, Bußgeldern und Reputationsschäden führen.
  • Eine strukturierte Umsetzung mit geeigneten Plattformlösungen reduziert Komplexität und schafft Nachweissicherheit.

 

Was ist DORA und warum gibt es diese Verordnung?

Die zunehmende Digitalisierung des Finanzsektors hat die Abhängigkeit von Informations- und Kommunikationstechnologie (IKT) massiv erhöht. Cyberangriffe, Systemausfälle und Schwachstellen bei IT-Dienstleistern können die Stabilität einzelner Institute und ganzer Finanzmärkte gefährden. Genau hier setzt der Digital Operational Resilience Act (DORA) an.

DORA ist eine EU-Verordnung (Verordnung (EU) 2022/2554), die einen einheitlichen Rahmen für die digitale operationale Resilienz im Finanzsektor schafft. Im Gegensatz zu einer Richtlinie gilt DORA unmittelbar in allen EU-Mitgliedstaaten – ohne nationale Umsetzungsgesetze. Seit dem 17. Januar 2025 müssen alle betroffenen Unternehmen die Anforderungen vollständig erfüllen.

Das übergeordnete Ziel: Finanzunternehmen sollen IKT-bezogene Störungen und Cyberbedrohungen widerstehen, darauf reagieren und sich davon erholen können – ohne dass kritische Funktionen beeinträchtigt werden.

 

Wer ist von den DORA Anforderungen betroffen?

Der Anwendungsbereich von DORA ist bewusst breit gefasst. Die Verordnung richtet sich an über 20 Kategorien von Finanzunternehmen, darunter:

  • Kreditinstitute (Banken, Sparkassen, Genossenschaftsbanken)
  • Versicherungs- und Rückversicherungsunternehmen
  • Wertpapierfirmen und Handelsplätze
  • Zahlungsinstitute und E-Geld-Institute
  • Kapitalverwaltungsgesellschaften (OGAW und AIFM)
  • Kryptodienstleister nach MiCAR
  • Einrichtungen der betrieblichen Altersversorgung
  • Ratingagenturen und Transaktionsregister

Besonders relevant: Auch kritische IKT-Drittdienstleister – etwa Cloud-Provider, Rechenzentren oder Softwareanbieter – fallen unter ein eigenes Überwachungsrahmenwerk. Sie werden von den europäischen Aufsichtsbehörden (ESAs) direkt beaufsichtigt.

Für kleinere Finanzunternehmen (sogenannte Kleinstunternehmen) sieht DORA vereinfachte Anforderungen vor, die dem Proportionalitätsprinzip folgen. Dennoch sind auch diese Institute verpflichtet, ein Mindestmaß an digitaler Resilienz sicherzustellen.

 

Die fünf Säulen der DORA Anforderungen im Detail

DORA strukturiert die DORA Compliance Anforderungen in fünf zentrale Bereiche, die zusammen ein umfassendes Rahmenwerk bilden. Jede Säule adressiert einen spezifischen Aspekt der digitalen operationalen Resilienz.

 

Säule 1: IKT-Risikomanagement (Artikel 5–16)

Das IKT-Risikomanagement bildet das Fundament aller DORA Anforderungen. Finanzunternehmen müssen ein umfassendes, dokumentiertes IKT-Risikomanagement-Rahmenwerk implementieren, das mindestens folgende Elemente umfasst:

Governance und Organisation:

  • Das Leitungsorgan (Vorstand, Geschäftsführung) trägt die Gesamtverantwortung für das IKT-Risikomanagement und muss eine klare IKT-Strategie genehmigen und überwachen.
  • Es muss eine dedizierte IKT-Risikomanagement-Funktion eingerichtet werden, die von operativen IKT-Funktionen unabhängig ist.
  • Mindestens einmal jährlich ist eine Überprüfung des gesamten Rahmenwerks erforderlich, bei wesentlichen Vorfällen auch anlassbezogen.

Identifikation und Schutz:

  • Vollständige Inventarisierung aller IKT-Assets, Informationswerte und deren Abhängigkeiten.
  • Durchführung regelmäßiger Risikobewertungen und Klassifizierung nach Kritikalität.
  • Implementierung angemessener Schutzmaßnahmen: Zugriffskontrollen, Verschlüsselung, Netzwerksicherheit, Patch-Management.

Erkennung, Reaktion und Wiederherstellung:

  • Mechanismen zur zeitnahen Erkennung anomaler Aktivitäten und IKT-bezogener Vorfälle.
  • Dokumentierte Reaktionspläne (Incident Response) mit klaren Eskalationswegen.
  • Business-Continuity-Pläne und Wiederherstellungsverfahren mit definierten Recovery Time Objectives (RTO) und Recovery Point Objectives (RPO).
  • Regelmäßige Durchführung von Backup-Tests und Wiederherstellungsübungen.

Plattformen wie TrustSpace unterstützen Unternehmen dabei, das IKT-Risikomanagement strukturiert aufzubauen, Assets zu inventarisieren und Risikobewertungen effizient durchzuführen – mit durchgängiger Dokumentation für Audit-Nachweise.

 

Säule 2: IKT-bezogenes Vorfallmanagement und Meldepflichten (Artikel 17–23)

DORA standardisiert erstmals EU-weit das Meldewesen für IKT-bezogene Vorfälle im Finanzsektor. Die Anforderungen umfassen:

Klassifizierung von Vorfällen:

  • Finanzunternehmen müssen IKT-bezogene Vorfälle anhand festgelegter Kriterien klassifizieren, darunter: Anzahl betroffener Kunden, Dauer der Dienstunterbrechung, geografische Ausbreitung, Datenverluste, Kritikalität der betroffenen Dienste und wirtschaftliche Auswirkungen.
  • Vorfälle werden als schwerwiegend eingestuft, wenn bestimmte Schwellenwerte überschritten werden.

Meldepflichten bei schwerwiegenden Vorfällen:

  • Erstmeldung: Unverzüglich, spätestens innerhalb von 4 Stunden nach Klassifizierung als schwerwiegend (maximal 24 Stunden nach Erkennung).
  • Zwischenmeldung: Innerhalb von 72 Stunden nach der Erstmeldung mit aktualisierten Informationen.
  • Abschlussmeldung: Spätestens einen Monat nach der Erstmeldung mit Ursachenanalyse und ergriffenen Maßnahmen.

Freiwillige Meldung: Finanzunternehmen können auch erhebliche Cyberbedrohungen freiwillig an die zuständige Behörde melden, um den sektorweiten Informationsaustausch zu fördern.

Entscheidend ist, dass Unternehmen bereits im Vorfeld Prozesse, Templates und Zuständigkeiten für das Vorfallmanagement definieren. Wer erst im Ernstfall beginnt, die Meldekette aufzubauen, verliert wertvolle Zeit.

 

Säule 3: Tests der digitalen operationalen Resilienz (Artikel 24–27)

DORA verlangt ein umfassendes Testprogramm, das die Widerstandsfähigkeit der IKT-Systeme regelmäßig überprüft. Die Anforderungen sind abgestuft:

Basis-Tests (für alle betroffenen Unternehmen):

  • Schwachstellenscans und -bewertungen
  • Open-Source-Analysen
  • Netzwerksicherheitsbewertungen
  • Gap-Analysen
  • Überprüfung der physischen Sicherheit
  • Überprüfung von Softwarecode (Source Code Reviews)
  • Kompatibilitätstests und Leistungstests
  • End-to-End-Tests und Penetrationstests

Diese Tests müssen mindestens jährlich durchgeführt werden. Kritische IKT-Systeme sind mindestens einmal jährlich zu testen.

Erweiterte Tests – Threat-Led Penetration Testing (TLPT):

  • Systemrelevante Finanzunternehmen müssen alle drei Jahre bedrohungsgeleitete Penetrationstests (TLPT) nach dem TIBER-EU-Rahmenwerk durchführen.
  • TLPTs simulieren reale Angriffsszenarien auf Basis aktueller Bedrohungsinformationen (Threat Intelligence).
  • Die Tests müssen von qualifizierten externen Testern durchgeführt werden, wobei interne Tester unter bestimmten Bedingungen mitwirken können.
  • Die zuständige Aufsichtsbehörde muss in den TLPT-Prozess eingebunden werden.

Alle Testergebnisse, identifizierten Schwachstellen und Abhilfemaßnahmen sind zu dokumentieren und dem Leitungsorgan vorzulegen.

 

Säule 4: Management des IKT-Drittparteienrisikos (Artikel 28–44)

Die Überwachung von IKT-Drittanbietern ist eine der anspruchsvollsten DORA Anforderungen. Finanzunternehmen lagern zunehmend kritische IT-Funktionen aus – von Cloud-Infrastruktur über Kernbankensysteme bis hin zu Cybersecurity-Services. DORA adressiert die damit verbundenen Risiken umfassend:

Vertragliche Anforderungen:

  • Alle Vereinbarungen mit IKT-Drittdienstleistern müssen schriftlich geschlossen werden und bestimmte Mindestinhalte enthalten.
  • Dazu gehören: vollständige Leistungsbeschreibungen, Service Level Agreements (SLAs), Datenschutzbestimmungen, Kündigungsrechte, Auditrechte, Unterstützungspflichten bei Vorfällen und Exit-Strategien.
  • Für kritische oder wichtige Funktionen gelten verschärfte vertragliche Anforderungen, etwa in Bezug auf Datenlokalisierung, Zugangsrechte der Aufsichtsbehörden und Subunternehmer-Management.

Due Diligence und laufende Überwachung:

  • Vor Vertragsabschluss ist eine gründliche Risikoanalyse des IKT-Drittdienstleisters durchzuführen.
  • Finanzunternehmen müssen ein Informationsregister über alle vertraglichen Vereinbarungen mit IKT-Drittdienstleistern führen und dieses der Aufsichtsbehörde auf Anfrage vorlegen.
  • Konzentrationsrisiken sind zu identifizieren und zu bewerten – insbesondere wenn kritische Funktionen bei wenigen Anbietern gebündelt sind.

Überwachungsrahmenwerk für kritische IKT-Drittdienstleister:

  • Die ESAs (EBA, EIOPA, ESMA) benennen kritische IKT-Drittdienstleister nach festgelegten Kriterien.
  • Diese unterliegen einer direkten Aufsicht durch einen federführenden Aufseher (Lead Overseer), der Empfehlungen aussprechen und bei Nichteinhaltung Maßnahmen einleiten kann.

Das strukturierte Vendor Risk Management von TrustSpace ermöglicht Finanzunternehmen, ihre IKT-Dienstleister systematisch zu erfassen, zu bewerten und fortlaufend zu überwachen – inklusive automatisierter Risikobewertung und lückenloser Dokumentation.

 

Säule 5: Vereinbarungen zum Informationsaustausch (Artikel 45)

DORA ermutigt Finanzunternehmen zum freiwilligen Austausch von Informationen und Erkenntnissen über Cyberbedrohungen. Dieser Informationsaustausch soll:

  • Das Bewusstsein für Cyberbedrohungen im Finanzsektor schärfen
  • Die kollektive Fähigkeit zur Erkennung und Abwehr von Angriffen verbessern
  • Frühwarnsysteme stärken

Voraussetzung ist, dass der Austausch innerhalb vertrauenswürdiger Gemeinschaften erfolgt und die geltenden Datenschutzbestimmungen eingehalten werden. Finanzunternehmen müssen die zuständige Aufsichtsbehörde über ihre Teilnahme an solchen Vereinbarungen informieren.

 

DORA Compliance Anforderungen: Umsetzung in der Praxis

Die regulatorischen Anforderungen sind umfangreich. Die folgende Übersicht zeigt die zentralen Handlungsfelder für eine erfolgreiche DORA-Umsetzung:

Gap-Analyse und Ist-Aufnahme

Der erste Schritt besteht in einer systematischen Gap-Analyse, die den aktuellen Reifegrad der Organisation mit den DORA-Anforderungen abgleicht. Dabei sollten folgende Bereiche bewertet werden:

  • Vorhandene IKT-Risikomanagement-Strukturen und -Prozesse
  • Bestehende Incident-Response-Prozesse und deren DORA-Konformität
  • Aktueller Stand des Testprogramms (Umfang, Frequenz, Methodik)
  • Vertragliche Regelungen mit IKT-Drittdienstleistern
  • Dokumentationsqualität und Nachweisfähigkeit

Governance-Struktur aufbauen

DORA legt großen Wert auf die Verantwortung des Leitungsorgans. Folgende Governance-Elemente sind zu etablieren:

  • Klare Zuordnung der IKT-Risikoverantwortung auf Vorstands-/Geschäftsführungsebene
  • Einrichtung einer unabhängigen IKT-Risikomanagement-Funktion
  • Definition von Berichtslinien und Eskalationswegen
  • Regelmäßige Schulungen des Leitungsorgans zu IKT-Risiken
  • Integration von IKT-Risiken in die Gesamtrisikostrategie

Technische Maßnahmen implementieren

Auf technischer Ebene erfordern die DORA Anforderungen unter anderem:

  • Implementierung von Security Information and Event Management (SIEM)
  • Aufbau oder Optimierung eines Security Operations Center (SOC)
  • Einführung automatisierter Schwachstellenscans
  • Verschlüsselung von Daten in Transit und at Rest
  • Multi-Faktor-Authentifizierung für kritische Systeme
  • Netzwerksegmentierung und Zero-Trust-Architekturen
  • Regelmäßige Backup-Verfahren mit getesteter Wiederherstellung

Drittanbieter-Register aufbauen

Das von DORA geforderte Informationsregister muss alle vertraglichen Vereinbarungen mit IKT-Drittdienstleistern erfassen. Für jeden Anbieter sind mindestens zu dokumentieren:

  • Art und Umfang der erbrachten IKT-Dienstleistungen
  • Klassifizierung (kritisch/wichtig vs. nicht-kritisch)
  • Vertragliche Regelungen und SLAs
  • Standorte der Datenverarbeitung
  • Subunternehmer-Ketten
  • Ergebnisse von Risikobewertungen und Audits

 

Zusammenspiel von DORA mit anderen Regulierungen

DORA steht nicht isoliert, sondern ergänzt bestehende Regulierungen und schafft sektorspezifische Konkretisierungen:

  • NIS-2-Richtlinie: DORA gilt als lex specialis gegenüber NIS 2 für den Finanzsektor. Finanzunternehmen, die DORA erfüllen, erfüllen grundsätzlich auch die IKT-bezogenen Anforderungen von NIS 2.
  • DSGVO: Die Datenschutz-Grundverordnung bleibt parallel anwendbar. DORA ergänzt die DSGVO um spezifische Anforderungen an die IKT-Sicherheit und das Vorfallmanagement.
  • EBA-/EIOPA-Guidelines: Bestehende aufsichtliche Leitlinien (z.B. EBA Guidelines on ICT and Security Risk Management) werden durch DORA teilweise ersetzt oder ergänzt.
  • ISO 27001: Eine bestehende ISO-27001-Zertifizierung bildet eine solide Grundlage, deckt aber nicht alle DORA-spezifischen Anforderungen ab – insbesondere bei Resilienztests und Drittanbieter-Überwachung.

 

Typische Herausforderungen bei der DORA-Umsetzung

In der Praxis stehen Finanzunternehmen vor wiederkehrenden Herausforderungen:

Komplexität des Drittanbieter-Managements

Viele Finanzunternehmen haben hunderte IKT-Dienstleister. Die vollständige Erfassung, Klassifizierung und vertragliche Anpassung erfordert erhebliche Ressourcen. Besonders die Identifikation von Subunternehmer-Ketten und Konzentrationsrisiken ist aufwendig.

Fehlende Automatisierung

Manuelle Prozesse – etwa Excel-basiertes Risikomanagement oder E-Mail-gestütztes Vorfallmanagement – skalieren nicht. Wer die Anforderungen effizient und nachweissicher umsetzen will, benötigt geeignete Softwarelösungen.

Qualifikationslücken

DORA verlangt Expertise in IKT-Risikomanagement, Cybersecurity, Vertragsrecht und regulatorischer Compliance. Nicht jedes Unternehmen verfügt intern über alle erforderlichen Kompetenzen, insbesondere im Bereich TLPT.

Integration in bestehende Strukturen

DORA-Anforderungen müssen in bestehende Risikomanagement-, Compliance- und IT-Strukturen integriert werden. Eine isolierte DORA-Umsetzung führt zu Redundanzen und ineffizienten Prozessen.

 

Wie TrustSpace bei der DORA-Umsetzung unterstützt

TrustSpace bietet als integrierte Compliance-Plattform wesentliche Funktionen für die Erfüllung der DORA Anforderungen:

  • IKT-Risikomanagement: Strukturierte Erfassung und Bewertung von IKT-Risiken mit automatisierten Workflows und durchgängiger Dokumentation.
  • Asset-Management: Zentrale Inventarisierung aller IKT-Assets und deren Abhängigkeiten.
  • Vendor Risk Management: Systematische Erfassung, Bewertung und Überwachung aller IKT-Drittdienstleister inklusive Informationsregister.
  • Audit-Readiness: Lückenlose Nachweisdokumentation für interne Audits und aufsichtliche Prüfungen.
  • Integriertes Managementsystem: Verknüpfung von DORA mit bestehenden Rahmenwerken wie ISO 27001, NIS 2 und DSGVO.

 

Fazit: DORA Anforderungen systematisch umsetzen

Der Digital Operational Resilience Act stellt Finanzunternehmen vor anspruchsvolle, aber notwendige Anforderungen. Die Verordnung schafft einen überfälligen einheitlichen Rahmen für die digitale Widerstandsfähigkeit des europäischen Finanzsektors.

Entscheidend für eine erfolgreiche Umsetzung ist ein strukturierter, priorisierter Ansatz: Beginnen Sie mit einer Gap-Analyse, etablieren Sie die erforderlichen Governance-Strukturen und setzen Sie auf Automatisierung und geeignete Plattformlösungen, um die Anforderungen nachhaltig und nachweissicher zu erfüllen.

Unternehmen, die DORA nicht nur als regulatorische Pflicht, sondern als Chance zur Stärkung ihrer digitalen Resilienz begreifen, schaffen einen echten Wettbewerbsvorteil – und erhöhen gleichzeitig das Vertrauen von Kunden, Partnern und Aufsichtsbehörden.

Autor

Stefania Vetere
Stefania Vetere

Informationssicherheitsberaterin

Das könnte Sie auch interessieren...

Mit TrustSpace automatisieren Sie das Management Ihrer Informationssicherheit. Ihre All-in-One Lösung für IT Compliance.

NIS-2-Meldepflicht: Fristen, Abläufe und praktische Anleitung für den Ernstfall - Blog Artikel Bild
NIS-2

NIS-2-Meldepflicht: Fristen, Abläufe und praktische Anleitung für den Ernstfall

Stefania Vetere
NIS 2 Lieferkette: Anforderungen an die Supply Chain Security und wie Unternehmen sich absichern - Blog Artikel Bild
NIS-2

NIS 2 Lieferkette: Anforderungen an die Supply Chain Security und wie Unternehmen sich absichern

Felix Mosler
NIS 2 Bußgeld und Haftung: Welche Strafen drohen und warum Geschäftsführer persönlich haften - Blog Artikel Bild
NIS-2

NIS 2 Bußgeld und Haftung: Welche Strafen drohen und warum Geschäftsführer persönlich haften

Stefania Vetere

Ihre Sicherheit beginnt hier

Automatisieren Sie Ihre IT-Compliance