DORA – Übersicht
Was ist DORA?
Der Digital Operational Resilience Act (Verordnung (EU) 2022/2554) schafft einen einheitlichen EU-weiten Rechtsrahmen für die digitale operationale Resilienz im Finanzsektor. Als EU-Verordnung gilt DORA unmittelbar in allen Mitgliedstaaten ohne nationale Umsetzung.
| Eigenschaft | Wert |
|---|---|
| Rechtsakt | Verordnung (EU) 2022/2554 |
| Typ | EU-Verordnung (direkt anwendbar) |
| In Kraft seit | 17.01.2023 |
| Anwendbar seit | 17.01.2025 |
| Zuständige ESAs | EBA, EIOPA, ESMA |
| DE-Aufsicht | BaFin (Melde-Hub), Deutsche Bundesbank |
| DE-Begleitgesetz | FinmadiG (seit 27.12.2024) |
| Lex specialis zu | NIS2-Richtlinie (Art. 1 Abs. 2 DORA) |
| Level-2-Rechtsakte | 12 RTS/ITS (vollständig veröffentlicht) |
Die 5 Säulen (Pillars)
DORA strukturiert sich in fünf zentrale Anforderungsbereiche:
| Pillar | Thema | DORA-Artikel | Kernpflicht |
|---|---|---|---|
| P1 | IKT-Risikomanagement | Art. 5–16 | Risikomanagementrahmen, Governance, BCP/DRP |
| P2 | Vorfallmanagement & Meldewesen | Art. 17–23 | Klassifikation, 4h/72h/1M Meldekette |
| P3 | Resilienztests | Art. 24–27 | Basistests + TLPT (systemrelevant) |
| P4 | Drittparteienrisiko | Art. 28–44 | Informationsregister, Vertragsanforderungen, CTPP-Überwachung |
| P5 | Informationsaustausch | Art. 45 | Freiwilliger Austausch über Cyberbedrohungen |
Relevanz für IKT-Dienstleister
BAUER GROUP als IKT-Dienstleister für Finanzunternehmen ist doppelt betroffen:
- Indirekt – Kunden im Finanzsektor fordern DORA-konforme Vertragsgestaltung (Art. 28–30), Audit-Rechte, Exit-Strategien und Subcontracting-Transparenz
- Potenziell direkt – Bei Einstufung als CTPP (Critical ICT Third-Party Provider) durch die ESAs greift das EU-Überwachungsrahmenwerk (Art. 31–44)
Die Strategie: Normkonformität nach außen demonstrieren (Vertragsklauseln, Zertifizierungen, Dokumentation) bei minimalem internem Aufwand (Automation, Templates, Compliance-as-Code).
Abgrenzung zu NIS2, CRA, AI Act
| Aspekt | DORA | NIS2 | CRA | AI Act |
|---|---|---|---|---|
| Sektor | Finanzsektor | Kritische Infrastrukturen breit | Produkte mit dig. Elementen | KI-Systeme |
| Typ | Verordnung | Richtlinie | Verordnung | Verordnung |
| Fokus | Operationale Resilienz | Cybersicherheit allg. | Produktsicherheit | KI-Risiko |
| Verhältnis | Lex specialis zu NIS2 | Generell | Komplementär | Komplementär |
Praxishinweis
DORA verdrängt NIS2 im Finanzsektor für IKT-Risikomanagement und Meldewesen (Art. 1 Abs. 2 DORA i.V.m. Art. 4 NIS2-RL). Für IKT-Dienstleister, die beide Sektoren bedienen, gilt: DORA-Compliance deckt weite Teile von NIS2 ab, nicht umgekehrt.
Schnellstart
- Anwendungsbereich prüfen – Bin ich betroffen? Als Finanzunternehmen oder IKT-Dienstleister?
- Proportionalität klären – Kleinstunternehmen, vereinfachter Rahmen?
- Gap-Analyse durchführen – BAIT/VAIT/ZAIT → DORA Mapping
- Roadmap erstellen – Priorisierung: P2 → P4 → P1 → P3 → P5
- Automatisierung planen – Compliance-as-Code Strategie