Anwendungsbereich
Betroffene Unternehmen (Art. 2 DORA)
DORA gilt für nahezu alle beaufsichtigten Finanzunternehmen des europäischen Finanzsektors:
| Buchstabe | Sektor | Beispiele |
|---|---|---|
| a) | Kreditinstitute | Banken, Sparkassen |
| b) | Zahlungsinstitute | Payment-Provider |
| c) | E-Geld-Institute | E-Money-Issuer |
| d) | Wertpapierfirmen | Broker, Vermögensverwalter |
| e) | Krypto-Dienstleister | Krypto-Börsen, Token-Emittenten |
| f) | Zentralverwahrer | CSDs |
| g) | Zentrale Gegenparteien | CCPs |
| h) | Handelsplätze | Börsen, MTFs, OTFs |
| i) | Transaktionsregister | Trade Repositories |
| j) | Verwalter alt. Investmentfonds | AIFMs |
| k) | Verwaltungsgesellschaften | UCITS ManCos |
| l) | Datenbereitstellungsdienste | APAs, CTPs, ARMs |
| m) | Versicherer & Rückversicherer | Alle nach Solvency II |
| n) | Versicherungsvermittler | Makler, Agenten |
| o) | Betriebliche Altersversorgung | EbAV/IORPs |
| p) | Ratingagenturen | CRAs |
| q) | Abschlussprüfer | WP-Gesellschaften |
| r) | Benchmark-Administratoren | z.B. EURIBOR-Admin |
| s) | Crowdfunding-Dienstleister | ECF-Plattformen |
| t) | Verbriefungsregister | Securitisation Repositories |
| u) | IKT-Drittanbieter | IT-Dienstleister, Cloud-Provider, MSPs |
BAUER GROUP-Relevanz
BAUER GROUP fällt unter Buchstabe u) – IKT-Drittanbieter. Auch ohne eigene BaFin-Lizenz ist BAUER GROUP betroffen, sobald Kunden im Finanzsektor bedient werden. Die Pflichten ergeben sich primär aus den Vertragsanforderungen (Art. 28–30) und potenziell aus der CTPP-Einstufung (Art. 31 ff.).
Ausnahmen (Art. 2 Abs. 3 & 4 DORA)
Ausgenommen sind unter anderem:
- Verwalter alternativer Investmentfonds nach Art. 3 Abs. 2 AIFMD
- Versicherungs- und Rückversicherungsunternehmen nach Art. 4 der Solvency-II-RL (Ausnahme nach Größe)
- Bestimmte Versicherungsvermittler (Kleinstunternehmen, kleine und mittlere)
- Post-Trade-Infrastrukturen aus Drittstaaten (unter Bedingungen)
Unternehmenskategorisierung (Proportionalitätsprinzip)
| Kategorie | Mitarbeiter | Umsatz / Bilanzsumme | DORA-Implikation |
|---|---|---|---|
| Kleinstunternehmen | ≤ 10 | ≤ 2 Mio. EUR | Vereinfachter IKT-Risikomanagementrahmen (Art. 16), keine TLPT; Drittparteienrisiko (Kap. V, Art. 28–44) gilt weiterhin |
| Kleinunternehmen | ≤ 50 | ≤ 10 Mio. EUR | Art. 16 gilt nur für namentlich in Art. 16 Abs. 1 genannte Unternehmensarten, nicht pauschal nach Größe |
| Mittleres Unternehmen | ≤ 250 | Umsatz ≤ 50 Mio. / Bilanz ≤ 43 Mio. EUR | Voller Umfang |
| Großunternehmen | > 250 | Darüber | Voller Umfang + ggf. TLPT-Pflicht |
FinmadiG-Erweiterung (ab 01.01.2027)
Das Finanzmarktdigitalisierungsgesetz erweitert in Deutschland den DORA-Anwendungsbereich auf:
- Finanzdienstleistungsinstitute (Leasing, Factoring)
- Kryptowertpapierregisterführer
- Zweigstellen nach § 53 KWG
- Versicherungsholdings (§ 7 Nr. 31, § 294 Abs. 4 VAG)
- Alle KWG-Institute, die nicht bereits nach Art. 2 DORA erfasst sind
Übergangsregelung: Meldepflichten (Kapitel III) gelten bereits seit 17.01.2025, voller IKT-Risikomanagementrahmen ab 01.01.2027. BAIT gelten übergangsweise bis 31.12.2026.