Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Gesetz · EU

DORA — Digital Operational Resilience Act

Aktualisiert am 4 Min. Geprüft von: Cenedril-Redaktion
A.5.7A.5.19A.5.20A.5.21A.5.22A.5.23A.5.24A.5.25A.5.26A.5.27A.5.29A.5.30A.8.6A.8.8A.8.14A.8.15A.8.16 EU

Eine mittelgroße Vermögensverwaltung verlässt sich für Portfoliodaten auf einen einzigen Cloud-Anbieter, ohne dessen Subdienstleisterkette dokumentiert zu haben. Bei einem Ausfall des Anbieters fällt das Reporting für 48 Stunden aus. Die Aufsicht fragt das Drittparteien-Register, die Ausstiegsstrategie und das Resilienztest-Protokoll an. Wer DORA erst dann ernst nimmt, wenn die Aufsicht klingelt, kommt strukturell zu spät.

Der Digital Operational Resilience Act (DORA) ist die zentrale EU-Verordnung zur digitalen Betriebsstabilität im Finanzsektor. Sie bündelt Anforderungen an IKT-Risikomanagement, Vorfallmeldung, Resilienztestung, Drittparteien-Steuerung und Informationsaustausch in einem einheitlichen Rahmen — und löst damit einen Großteil der bisher fragmentierten nationalen Aufsichtsmitteilungen ab.

Wer ist betroffen?

DORA hat einen ungewöhnlich breiten Adressatenkreis. Erfasst sind 21 Kategorien von Finanzunternehmen und erstmals auch IKT-Drittdienstleister direkt:

  • Finanzunternehmen — Banken, Versicherungen, Rückversicherungen, Wertpapierfirmen, Zahlungs- und E-Geld-Institute, Krypto-Asset-Dienstleister, zentrale Gegenparteien, Handelsplätze, Datenbereitstellungsdienste, Verwalter alternativer Investmentfonds, OGAW-Verwaltungsgesellschaften, Versicherungsvermittler u. a.
  • IKT-Drittdienstleister — alle Anbieter digitaler Dienste an Finanzunternehmen, von Cloud-Plattformen über Software-Anbieter bis zu Managed-Security-Diensten.
  • Kritische IKT-Drittdienstleister (CTPP) — von den ESAs benannte Anbieter, die ein Konzentrationsrisiko für den Finanzsektor darstellen. Sie unterliegen einem direkten europäischen Aufsichtsrahmen mit jährlichen Aufsichtsplänen und Sanktionsbefugnissen.

Die Proportionalität (Art. 4) erlaubt vereinfachte Anforderungen für Kleinstunternehmen und kleine Wertpapierfirmen. Die Kernpflichten zu Vorfallmeldung und Drittparteien-Register bleiben universell.

Was verlangt das Gesetz?

DORA ist in fünf Säulen strukturiert. Jede Säule enthält detaillierte Anforderungen, die über delegierte Rechtsakte (RTS/ITS) weiter konkretisiert werden:

  • IKT-Risikomanagement (Kap. II, Art. 5–16) — dokumentiertes Rahmenwerk, jährlich überprüft, vom Leitungsorgan verabschiedet. Inventarisierung aller IKT-Assets, kontinuierliche Risikobewertung, Schutz- und Erkennungsmaßnahmen, Backup- und Wiederherstellungsstrategien.
  • IKT-Vorfälle (Kap. III, Art. 17–23) — Klassifizierungssystem, Meldepflicht für schwerwiegende Vorfälle nach festen Schwellwerten, Erst-, Zwischen- und Abschlussmeldung an die Aufsicht. Cyberangriffe sind mit erfasst.
  • Resilienztests (Kap. IV, Art. 24–27) — risikobasiertes Testprogramm, mindestens jährlich; für signifikante Unternehmen alle drei Jahre erweiterte Threat-Led Penetration Tests (TLPT) nach TIBER-EU-Methodik.
  • IKT-Drittparteienrisiko (Kap. V, Art. 28–44) — Vertragsregister mit Pflichtangaben, Konzentrationsrisikoanalyse, vertragliche Mindestklauseln (Audit-Rechte, Subdienstleister-Kontrolle, Ausstiegsstrategie), direkter Aufsichtsrahmen für kritische Drittdienstleister.
  • Informationsaustausch (Kap. VI, Art. 45) — freiwilliger Austausch von Cyber-Bedrohungsinformationen zwischen Finanzunternehmen.

In der Praxis

Vertragsregister vor Auditstart vollständig haben. Die häufigste Lücke nach Inkrafttreten: Das Register wurde aus alten Auslagerungslisten zusammengezogen, ohne die DORA-Pflichtfelder (Funktion, Datenkategorie, Subdienstleister, Land der Verarbeitung, Wesentlichkeitseinstufung) konsequent zu pflegen. Die Aufsicht kann das Register jederzeit anfordern.

Schwellwerte für die Vorfallklassifikation operationalisieren. Die delegierte Verordnung definiert harte Kriterien (betroffene Kunden, Dauer, geografische Reichweite, Datenverlust, wirtschaftliche Auswirkung, Reputation). Wer die Schwellwerte nicht in den Incident-Response-Prozess eingebaut hat, läuft Gefahr, die initialen 4-Stunden-Frist und die nachfolgenden Meldetermine zu verfehlen.

Ausstiegsstrategien testen, nicht nur dokumentieren. Für jede wesentliche IKT-Funktion verlangt DORA eine dokumentierte Exit-Strategie inklusive Übergangszeitraum. Eine Strategie, die nie geprüft wurde, hält keiner Krise stand. Tabletop-Übungen mit dem Anbieter sind die praktikabelste Form der Validierung.

Mapping zu ISO 27001

DORA überlappt strukturell stark mit ISO 27001 und ISO 22301. Wer ein zertifiziertes ISMS und BCMS betreibt, hat einen Großteil der DORA-Anforderungen technisch bereits abgedeckt — die DORA-spezifische Dokumentationsstruktur und die Meldepflichten bleiben aber separat zu erfüllen.

Direkt relevante Kontrollen:

Typische Audit-Befunde

  • Drittparteienregister unvollständig — Subdienstleister fehlen, Wesentlichkeitseinstufung wurde nie systematisch vergeben, Konzentrationsrisiko ist nicht analysiert.
  • Vorfallklassifikation nicht operationalisiert — der Incident-Response-Prozess kennt die DORA-Schwellwerte nicht, die initiale 4-Stunden-Meldung wird nur theoretisch beherrscht.
  • Resilienztest-Programm zu schmal — Tests konzentrieren sich auf Penetrationstests einzelner Anwendungen, ohne die DORA-geforderte Bandbreite (Szenarioanalysen, Open-Source-Komponententests, Performance-Tests).
  • Ausstiegsstrategien sind reine Textbausteine — keine Migrationsabschätzung, keine Übergangsfrist, keine geprüfte Datenportabilität.
  • Leitungsorgan nicht aktiv eingebunden — der IKT-Risikorahmen wurde formal verabschiedet, die jährliche Überprüfung ist aber Kosmetik.
  • TLPT-Vorbereitung zu spät begonnen — die Auswahl des Threat-Intelligence- und Red-Team-Anbieters, die Scope-Definition und die TIBER-EU-konforme Durchführung brauchen mehr Vorlauf als oft eingeplant.

Quellen

Abgedeckte ISO-27001-Kontrollen

A.5.7 Bedrohungsintelligenz A.5.19 Informationssicherheit in Lieferantenbeziehungen A.5.20 Informationssicherheit in Lieferantenvereinbarungen A.5.21 Management der IKT-Lieferkette A.5.22 Überwachung und Überprüfung von Lieferanten A.5.23 Informationssicherheit bei Cloud-Diensten A.5.24 Planung des Vorfallmanagements A.5.25 Bewertung von Sicherheitsereignissen A.5.26 Reaktion auf Sicherheitsvorfälle A.5.27 Erkenntnisse aus Sicherheitsvorfällen A.5.29 Informationssicherheit bei Störungen A.5.30 IKT-Bereitschaft für Geschäftskontinuität A.8.6 Kapazitätsmanagement A.8.8 Management technischer Schwachstellen A.8.14 Redundanz von informationsverarbeitenden Einrichtungen A.8.15 Protokollierung A.8.16 Überwachung von Aktivitäten

Häufig gestellte Fragen

Wer fällt unter DORA?

Praktisch alle regulierten Finanzunternehmen in der EU: Banken, Versicherungen, Wertpapierfirmen, Zahlungsinstitute, E-Geld-Institute, Krypto-Dienstleister, Handelsplätze, zentrale Gegenparteien, Fondsverwalter und einige weitere Kategorien. Zusätzlich erfasst die Verordnung kritische IKT-Drittdienstleister, die im Aufsichtsrahmen direkt durch die ESAs überwacht werden können.

Müssen kleine Finanzunternehmen den vollen Pflichtenkatalog umsetzen?

DORA enthält ein Proportionalitätsprinzip (Art. 4). Kleinstunternehmen und kleine Wertpapierfirmen können vereinfachte IKT-Risikorahmen anwenden. Die Pflicht zur Meldung schwerwiegender IKT-Vorfälle, zum Vertragsregister mit Drittdienstleistern und zur Resilienztestung bleibt aber für alle bestehen.

Wie verhält sich DORA zu BAIT, VAIT, KAIT und MaRisk?

DORA hat als EU-Verordnung Anwendungsvorrang vor nationalen Aufsichtsmitteilungen. BaFin hat angekündigt, BAIT/VAIT/KAIT in Teilen zurückzunehmen oder anzupassen. MaRisk-Themen, die über IKT hinausgehen (z. B. Auslagerungs-Governance auf nicht-IKT-Dienstleister), bleiben relevant. Die praktische Umsetzung läuft auf ein konsolidiertes IKT-Rahmenwerk hinaus, das DORA als Fundament nimmt.