Mit DORA (Verordnung (EU) 2022/2554) hat die Europäische Union eine finanzsektorweite Regulierung für Cybersicherheit, IKT-Risiken und digitale operationale Resilienz geschaffen. Die Verordnung wird seit dem 17. Januar 2025 angewendet und stärkt den europäischen Finanzmarkt gegenüber Cyberrisiken und IKT-Vorfällen.
Hintergrund und Ziele
Finanzdienstleister sind stark von Informations- und Kommunikationstechnologien abhängig. DORA schafft erstmals einen europaweit einheitlichen Rechtsrahmen für IT-Sicherheit und Betriebsstabilität im Finanzwesen. Ziel ist es, bestehenden Risiken bei der Digitalisierung präventiv entgegenzuwirken und das Vertrauen in den Finanzsektor zu gewährleisten.
| Aspekt | Details |
| Inkrafttreten | 17. Januar 2023 (Anwendung seit 17.01.2025) |
| Rechtsform | EU-Verordnung (unmittelbar gültig) |
| Aufsichtsbehörde (DE) | BaFin (Melde-Hub für IKT-Vorfälle) |
| Informationsregister | Einreichung bei BaFin bis 11. April 2025 |
| Nat. Umsetzung (DE) | Finanzmarktdigitalisierungsgesetz (FinmadiG) |
Betroffene Unternehmen
DORA gilt für nahezu alle beaufsichtigten Finanzunternehmen des europäischen Finanzsektors:
- Kreditinstitute (Banken)
- Versicherungen und Rückversicherungen
- Wertpapierfirmen und Investmentgesellschaften
- Zahlungs- und E-Geld-Institute
- Krypto-Dienstleister und Token-Emittenten
- Pensionskassen und -fonds
- Betreiber von Handelsplätzen
- IKT-Drittdienstleister (Cloud-Provider, IT-Outsourcing, Rechenzentren)
Besonders wichtig: Auch IKT-Drittdienstleister, die für Finanzunternehmen arbeiten, fallen unter DORA. Je nach Kritikalität können sie als ‘kritische IKT-Dienstleister’ eingestuft werden.
Die 5 Säulen von DORA
| Säule | Anforderungen |
| 1. IKT-Risikomanagement | Robuste IT-Governance, Risikomanagement-Frameworks, Schutzmaßnahmen für IKT-Systeme |
| 2. Incident-Management | Klassifizierung und Meldung von IKT-Vorfällen an BaFin, Managementprozesse für Incidents |
| 3. Resilience-Testing | Regelmäßige Tests (Schwachstellenscans, Penetrationstests), TLPT für systemrelevante Institute |
| 4. Drittparteien-Management | Informationsregister aller IKT-Verträge, Exit-Strategien, Audit-Rechte, Subcontracting-Kontrolle |
| 5. Informationsaustausch | Freiwilliger Austausch von Cyberbedrohungs-Informationen innerhalb vertrauenswürdiger Gemeinschaften |
Informationsregister
Eine zentrale Pflicht unter DORA ist das Führen eines vollständigen Informationsregisters aller Verträge mit IKT-Drittanbietern. Deutsche Finanzunternehmen mussten dieses bis zum 11. April 2025 bei der BaFin einreichen. Das Register umfasst: Beschreibung der IKT-Dienste, Identifikation kritischer Funktionen, Vertragsbedingungen mit Exit-Strategien und Audit-Rechten, Standorte der Datenverarbeitung sowie Informationen über Subcontracting.
| Geschäftsleiter-Schulung Gemäß § 38 Abs. 3 BSIG n.F. müssen Geschäftsleitungen künftig regelmäßig (alle 3 Jahre) zu Cybersicherheit geschult werden. Die Schulung umfasst: Risikobewertung, Cyberangriffs-Szenarien, IKT-Risikomanagement und regulatorische Anforderungen. |