EU-Verordnung · Finanzsektor

DORA – Digital Operational
Resilience Act

DORA verpflichtet Finanzunternehmen in der EU ab Januar 2025 zu umfassendem Management digitaler Betriebsrisiken. Compliance Online unterstützt Sie bei Risikoanalysen, Vorfallsmanagement und der Dokumentation Ihrer IKT-Landschaft.

Gilt seit Januar 2025 Finanzsektor & IKT-Dienstleister Fokus: IKT-Risikomanagement

Was ist DORA?

Digitale Resilienz für den Finanzsektor

Der Digital Operational Resilience Act (DORA) gilt seit Januar 2025 für Banken, Versicherungen, Wertpapierfirmen, Zahlungsdienstleister und viele weitere Finanzunternehmen. Ziel ist die Sicherstellung der digitalen Betriebsstabilität.

Im Mittelpunkt steht das IKT-Risikomanagement: Alle Informations- und Kommunikationstechnologien müssen erfasst, Risiken bewertet, Vorfälle gemanagt und regelmäßige Tests durchgeführt werden.

Auch IKT-Drittanbieter: DORA erfasst auch kritische IKT-Dienstleister direkt. Finanzunternehmen müssen ihre Abhängigkeiten von IKT-Anbietern lückenlos dokumentieren.

Kreditinstitute & Banken

Vollumfänglich betroffen — alle fünf DORA-Säulen gelten.

Versicherungen & Rückversicherer

Einschließlich Versicherungsvermittler ab bestimmter Größe.

Zahlungsdienstleister & Fintechs

Zahlungsinstitute, E-Geld-Institute, Krypto-Dienstleister und weitere.

Kritische IKT-Drittanbieter

Cloud-Anbieter und Softwareanbieter, die als kritisch eingestuft werden.

Die 5 DORA-Säulen

Was DORA konkret fordert

IKT-Risikomanagement

Rahmenwerk für Identifikation, Bewertung, Behandlung und Überwachung von IKT-Risiken mit klaren Verantwortlichkeiten.

IKT-Vorfallsmanagement

4 h Erstmeldung, 72 h Zwischenmeldung, 1 Monat Abschlussbericht bei schwerwiegenden Vorfällen.

Resilienztests

Regelmäßige Tests der digitalen Betriebsstabilität, für bedeutende Institute auch bedrohungsgeleitete Penetrationstests.

IKT-Drittanbieterrisiko

Vollständige Erfassung aller IKT-Drittanbieter, Risikoklassifizierung und vertragliche Mindestanforderungen.

Informationsaustausch

Freiwilliger Austausch von Informationen über Cyberbedrohungen mit anderen Finanzunternehmen und Behörden.

IKT-Asset-Management

Vollständiges Inventar aller IKT-Assets und Abhängigkeiten — die Grundlage für alle anderen DORA-Maßnahmen.

So hilft Compliance Online

DORA-Anforderungen strukturiert erfüllen

Die Informationssicherheits-Module von Compliance Online decken die zentralen DORA-Anforderungen ab: Systemlandschaft und Asset-Register für das IKT-Inventar, Risikoanalysen für das Risikomanagement, Dienstleister-Modul für die Lieferkettenüberwachung.

Relevante Module

Systemlandschaft Asset-Register Risikoanalysen Dienstleister & AV Checklisten Managementsysteme Interne Audits

FAQ

Häufige Fragen zu DORA

DORA gilt grundsätzlich für alle in Art. 2 DORA genannten Unternehmen. Für Kleinstunternehmen (unter 10 Mitarbeiter, unter 2 Mio. € Jahresumsatz) gelten vereinfachte Anforderungen beim IKT-Risikomanagementrahmen.

NIS2 ist eine branchenübergreifende Richtlinie für kritische Infrastrukturen, DORA eine sektoreigene Verordnung für den Finanzsektor. Finanzunternehmen müssen beide beachten — DORA geht als speziellere Regelung vor. Compliance Online unterstützt beide parallel.

Schwerwiegende Vorfälle: 4 Stunden Erstmeldung nach Einstufung als schwerwiegend, 72 Stunden Zwischenmeldung und 1 Monat Abschlussbericht an die zuständige Behörde.