Seit dem 17. Januar 2025 gilt der Digital Operational Resilience Act (DORA) [pdf] verbindlich für den gesamten Finanzsektor in der EU. Die Verordnung stärkt die Cybersicherheit und digitale Resilienz, schafft einheitliche Standards und fordert von Instituten ein neues Risikomanagement. Ziel ist es, Non-Financial Risks stärker in den Blick zu nehmen und Finanzunternehmen besser auf IT-Störungen und Cyberangriffe vorzubereiten. Zur Durchführung wurden mit dem Finanzmarktdigitalisierungsgesetz (FinmadiG) und den BaFin-Umsetzungshinweisen zahlreiche Details präzisiert und konkretisiert.
Inhaltsverzeichnis
Wer ist von DORA betroffen?
DORA gilt seit dem 17. Januar 2025 verbindlich für über 22.000 Finanzunternehmen in der EU, darunter ca. 3.600 in Deutschland. Betroffen sind u.a.:
- Banken, Versicherer, Wertpapierfirmen
- Zahlungsdienstleister und Krypto-Asset-Dienstleister
- IKT-Drittdienstleister wie Cloud- und Outsourcing-Anbieter
Für bestimmte Institutsgruppen gelten Übergangsfristen bis 1. Januar 2027 bzw. greifen nach Art. 16 und Art. 28-30 DORA vereinfachte Vorgaben für das IKT-Risikomanagement und das IKT-Drittparteienrisikomanagement.
Nationale Umsetzung in Deutschland
Mit DORA wurden die bisherigen Rundschreiben BAIT, VAIT, KAIT und ZAIT abgelöst. Das Finanzmarkt-Digitalisierungsgesetz (FinMadiG) regelt Übergangsfristen bis 2027 für erweiterte Institute. Die BaFin übernimmt die Aufsicht und nutzt dazu u.a. das MVP-Portal, welches im Rahmen von DORA als zentrale digitale Plattform dient. Über das Portal übermitteln die Institute ihre ICT-Vorfälle und künftig auch Drittparteienrisiken.
DORA und andere Regelungen
Die Anforderungen von DORA decken sich in weiten Teilen mit der neuen EU-Verordnung zur Cybersicherheit NIS2. Diese definiert einheitliche Mindeststandards für die Cybersicherheit kritischer Infrastrukturen in der EU. Für Finanzunternehmen gilt DORA als gleichwertig, doppelte Meldepflichten entfallen.
Die Handlungsfelder von DORA
DORA adressiert fünf zentrale Kernthemen, die durch technische Standards (RTS/IST) präzisiert wurden:
- Vereinheitlichung und Verbesserung des IKT-Risikomanagements
- Einrichtung und Pflege belastbarer Systeme und Werkzeuge
- Identifizierung, Klassifizierung und Dokumentation kritischer Funktionen
- Erweiterte und vereinheitlichte Meldepflichten
- Test sind zu protokollieren
- Vorfälle/Störungen müssen klassifiziert und geclustert werden
- Jährliche Tests von Werkzeugen und Systemen
- Durchführung bedrohungsgesteuerter Penetrationstests
- Spezifizierung institutsindividueller Präventionsmaßnahmen
- Risikomanagement von Dienstleistungspartnern
- Kritische IKT-Drittdienstleister unterliegen zukünftig EU-Aufsichtsrahmen
- Vollständiges Auslagerungsverzeichnis
- Regelungen zum Informationsaustausch über Cyberbedrohungen zwischen Finanzunternehmen
- Aufsichtsbehörde stellt anonymisierte Erkenntnisse über Cyberbedrohung zur Verfügung
Wie ist der aktuelle Status nach Inkrafttreten von DORA?
Viele Institute haben bereits erhebliche Investitionen getätigt, um die DORA-Anforderungen umzusetzen. Im Mittelpunkt stehen dabei vor allem das Drittparteienrisikomanagement und die Resilienztests.
1. Drittparteienrisikomanagement
IKT-Drittdienstleister, die im Sinne der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung) kritische Infrastrukturleistungen erbringen, rücken mit DORA in den Fokus. Als kritisch oder wichtig werden dabei Funktionen definiert, deren Ausfall eine erhebliche Beeinträchtigung der finanziellen Leistungsfähigkeit, der Geschäftsfortführung oder regulatorischer Art darstellen würde.
Sie sind zu identifizieren, in einem Auslagerungsverzeichnis bzw. Informationsregister zu erfassen und speziell zu beaufsichtigen. In diesem Kontext sind Finanzunternehmen auch explizit dazu aufgefordert, das Konzentrationsrisiko bei Drittanbietern zu berücksichtigen. Zudem wird mit DORA erstmals eine direkte Aufsicht für kritische IKT-Drittdienstleister durch eine europäische Aufsichtsbehörde eingeführt. Deren Durchgriffsrechte wachsen damit erheblich – bis hin zur Befugnis, die Kündigung von Verträgen anzuordnen.
- Am 15. Juli 2025 veröffentlichten die Europäischen Aufsichtsbehörden (ESAs) einen Guide [pdf], der erklärt, wie die Aufsicht über kritische IKT-Drittdienstleister praktisch ausgestaltet wird. Im Fokus steht u.a. der Aufbau sogenannter Joint Examination Teams, welche die europaweite Kontrolle von Cloud-Anbietern, Softwarelieferanten und anderen wichtigen Drittparteien sicherstellen sollen.
- Am 22. Juli 2025 ist die Delegierte Verordnung (EU) 2025/532 der Europäischen Kommission in Kraft getreten. Sie ergänzt DORA durch technische Regulierungsstandards und präzisiert die Anforderungen an Finanzunternehmen bei der Untervergabe von IKT-Dienstleistungen im Zusammenhang mit kritischen oder wichtigen Funktionen. Zentrale Themen sind: Sorgfaltspflichten, Risikobewertung, Vertragsgestaltung, Überwachung, Kündigungsrechte und Meldepflichten bei wesentlichen Änderungen.
- Die Europäischen Aufsichtsbehörden (ESA) haben angekündigt, in der zweiten Jahreshälfte 2025 erstmals eine Liste kritischer IKT-Drittdienstleister zu veröffentlichen. Grundlage dafür sind die Informationsregister, die Finanzunternehmen bis zum 11. April 2025 einreichen mussten. Die Liste soll Transparenz über zentrale Abhängigkeiten schaffen und helfen, Risiken im Umgang mit externen IT-Dienstleistern gezielt zu steuern.
IT-Governance, IT-Risikomanagement und IT-Compliance
2. Resilienztests
DORA bringt eine Steigerung der Frequenz bei Penetrations- und Belastungstests der digitalen Resilienz mit sich. Systeme und Werkzeuge müssen jährlich getestet werden. Finanzunternehmen, die von gewisser systemischer Relevanz sind, müssen zudem alle drei Jahre durch eine entsprechend qualifizierte und unabhängige Stelle bedrohungsorientierte Penetrationstests (TLPT) durchführen lassen. Am 18. Juni 2025 hat die EU-Kommission die Regulatory Technical Standards (RTS) für Threat-Led Penetration Testing (TLPT) offiziell veröffentlicht.
So hat PASS die Anforderungen von DORA umgesetzt
Das Serviceportfolio wurde um Leistungen erweitert, die zur Erfüllung der DORA-Anforderungen notwendig sind. Hierzu gehören z.B. Testverfahren im Bereich der digitalen operationalen Resilienz, erweitertes Log- und Eventmanagement sowie Privileged Access Management. Da Umfang und Häufigkeit dieser Maßnahmen stark von der Risikoeinschätzung und Einstufung als kritische und wichtige Funktion durch die Finanzunternehmen selbst abhängen, haben wir die Servicevereinbarungen (SLAs) so modular gestaltet, dass viele Leistungen an- und abgewählt bzw. skaliert werden können.
Korrespondierend mit dem Leistungsangebot haben wir unsere Policies sowie die Management- und Kontrollsysteme überarbeitet. In der Konsequenz hat sich dadurch der Umfang unserer jährlichen Prüfung nach IDW PS 951 Typ 2 auf 146 Kontrollen (gegenüber 114 Kontrollen in 2024) vergrößert. Durch die Verknüpfung der zu prüfenden Kontrollen mit den Anforderungen aus DORA sowie den zahlreichen technischen Regulierungs- (RTS) und Durchführungsstandards (ITS) erhalten unsere Kunden im Prüfbericht ein hohes Maß an Transparenz über die Einhaltung dieser Vorgaben.
Stefan Luckhaus, Leiter der PASS Innenrevision
Welche Institute fallen unter den vereinfachten IKT-Risikomanagementrahmen?
Die DORA-Anforderungen sind proportional – kleinere Institute können vereinfachte Regeln anwenden. Im August 2025 hat die BaFin Hinweise veröffentlicht, wie Institute von diesen profitieren können. Adressiert werden hier z.B.
- kleine, nicht verflochtene Wertpapierinstitute,
- kleine Einrichtungen der betrieblichen Altersversorgung (EbAV),
- Versicherungsholdings, die durch nationale Regelungen dem Anwendungsbereich von DORA unterstellt werden, sowie
- Nicht-CRR-Kreditinstitute (ab 1. Januar 2027; bis dahin gelte noch die BAIT)
Die Hinweise sind nicht rechtsverbindlich, bieten aber Orientierung. Insgesamt können rund 1.100 Unternehmen in Deutschland diese Erleichterungen nutzen:
- Anwendung des vereinfachten IKT-Risikomanagementrahmens (Art. 16 DORA).
- Anpassungen im IKT-Drittparteienrisikomanagement (Art. 28-30 DORA).
- Reduzierung formaler Anforderungen, aber stärkere Fokussierung auf Governance und Dokumentation.
Welche Erleichterungen gelten bei der Erstprüfung von DORA-Anforderungen?
In einem Schreiben [pdf] vom 11. August 2025 hat die BaFin mit dem Institut der Wirtschaftsprüfer (IDW) zwei praxisrelevante Erleichterungen für die erstmalige Prüfung der DORA-Anforderungen bei direkt beaufsichtigten Finanzunternehmen vereinbart:
1. Ausnahme von der Berichtspflicht für vollständig behobene Mängel
- Mängel, die im ersten Prüfungsjahr identifiziert, aber im gleichen Zeitraum vollständig behoben werden, müssen nicht detailliert im Prüfungsbericht aufgeführt werden.
- Es genügt ein kurzer Hinweis auf diese Mängel, um Transparenz zu wahren – tiefergehende Dokumentation erfolgt lediglich in den internen Arbeitspapieren.
- Ab dem Folgejahr gilt wieder die vollständige Berichterstattungspflicht.
2. Übergangsregelung bei abweichenden Geschäftsjahren
- Um unnötige Doppelprüfungen zu vermeiden, sollen Finanzunternehmen mit nicht-kalenderjahrbasiertem Geschäftsjahr (z.B. Juli 2024 bis Juni 2025) im Prüfzeitraum nicht vollumfänglich nach DORA geprüft werden.
- Prüfungen dürfen für diesen Übergangszeitraum auf die Vorgaben aus BAIT, ZAIT bzw. KAIT beschränkt werden – sofern diese auch bereits in DORA enthalten sind.
Ausblick: Ein Jahr DORA
Dieser Artikel zum Thema DORA wurde am 3. April 2023 erstmalig veröffentlicht und am 29. Januar 2024 sowie am 29. September 2025 aktualisiert.
Bildquelle: Shutterstock
