DORA: Mehr IT- und Rechtssicherheit im Finanzsektor ab 2025

30 Januar 2025

6 Min. Lesezeit

Mit dem seit Januar 2023 in Kraft getretenen und zwei Jahre später rechtsgültigen Digital Operational Resilience Act, kurz DORA, hat die EU eine Verordnung geschaffen, die die digitale Widerstandsfähigkeit von Finanz- und Versicherungsunternehmen stärken soll.

Das Wichtigste in Kürze

  • DORA ist seit dem 17. Januar 2025 in der EU rechtsgültig und verpflichtet Finanzunternehmen und deren IT-Dienstleister zu umfassender digitaler Widerstandsfähigkeit.
  • Betroffen sind Banken, Versicherungen, Handelsplätze, Ratingagenturen, ITK-Dienstleister und Krypto-Service-Anbieter, in Deutschland rund 22.000 Unternehmen.
  • Die Verordnung umfasst fünf Themenfelder: ITK-Risikomanagement, Vorfallsmeldung, Resilienz-Tests, Drittanbieter-Steuerung und Überwachungsrahmen für KRITIS-Dienstleister.
  • Die Gesamtverantwortung liegt bei der Geschäftsleitung der Finanzunternehmen, nicht delegierbar an IT-Abteilungen oder Dienstleister.
  • Verstöße können durch BaFin und BSI mit empfindlichen Bußgeldern geahndet werden.

Was ist It- und rechtssicherheit?

It- und rechtssicherheit ist 2025 ein konkreter Hebel für Unternehmen, weil das Thema direkt über skalierbare Rechenzentrumsleistung, Energieeffizienz und Compliance entscheidet. Der Beitrag zeigt am Beispiel von synaforce, welche Anforderungen, Kennzahlen und operativen Schritte in der Praxis zählen.

DORA, der Digital Operational Resilience Act, ist ein entscheidender Schritt für mehr IT- und Rechtssicherheit im Finanz- und Versicherungswesen, auf Handelsplätzen und bei Ratingagenturen sowie bei ITK-Dienstleistern und Anbietern von Services rund um Kryptowährungen.

Die EU-Kommission, die die Verordnung auf den Weg gebracht hat, will damit vor allem die digitale Resilienz in den Unternehmen stärken und hat einen einheitlichen Rahmen geschaffen, wie diese auf Cyberbedrohungen und IT-Störungen zu reagieren haben. Betroffene Organisationen müssen technische, organisatorische und prozessuale Maßnahmen nachweisen, die über bisherige Empfehlungen deutlich hinausgehen.

GELTUNGSBEREICH
22.000
betroffene Unternehmen in Deutschland laut BaFin-Schätzung
STICHTAG
17.01.2025
Ende der Umsetzungsfrist für alle EU-Mitgliedstaaten
UMFANG
79 Seiten
EU-Verordnungstext mit fünf Regelungsbereichen

Gut Ding will Weile haben

Wie andere EU-Verordnungen und Gesetze ist DORA als Teil des digitalen Finanzpakets der Kommission nach Veröffentlichung Ende 2022 bereits am 16. Januar 2023 offiziell in Kraft getreten. Die Mitgliedsländer hatten zwei Jahre Zeit für die nationale Umsetzung. Demnach sind die betroffenen Unternehmen sowie Finanzbehörden verpflichtet, bis zum 17. Januar 2025 die Anforderungen von DORA umzusetzen.

Die Langbezeichnung „Digital Operational Resilience for the Financial Sector and Amending Regulations“ verrät, dass es vorrangig darum geht, die digitale Widerstandsfähigkeit im Finanzsektor zu stärken. Aber mit in der Verantwortung sind auch ITK-Drittdienstleister. Der EU-Kommission kommt es darauf an, die Anfälligkeit für Cyberbedrohungen und Störungen über die gesamte Wertschöpfungskette des Finanzsektors hinweg zu reduzieren und die betroffenen Unternehmen anzuhalten, angemessen darauf reagieren zu können.

Was die Verordnung beinhaltet

Die 79 Seiten umfassende Verordnung greift laut Security Insider auch nationale Anforderungen wie die der BaFin und des BSI auf. Aber hinzu kommen noch neue Elemente. Grob enthält der Digital Operational Resilience Act fünf zentrale Themengebiete:

  • Etablieren eines Rahmenwerks für das ITK-Risikomanagement
  • Behandlung, Klassifizierung und Berichterstattung von ITK-Vorfällen
  • Testen der operativen Resilienz
  • Management der Risiken durch Drittanbieter
  • Schaffen eines Überwachungsrahmens für KRITIS-Dienstleister

Das ITK-Risikomanagement ist dabei auf rechtlicher Ebene verankert und nicht mehr nur Verwaltungsvorschrift. Die Gesamtverantwortung trägt grundsätzlich die Geschäftsleitung des Finanz- oder Versicherungsunternehmens. Dieses ist verpflichtet, die eigenen IT-Systeme kontinuierlich zu überwachen, zu kontrollieren und zu aktualisieren. Außerdem müssen die Unternehmen auch Strategien für Backup und Recovery definieren und einrichten sowie Risikodokumente zur internen und externen Prüfung bereithalten.

„Das ITK-Risikomanagement ist mit DORA auf rechtlicher Ebene verankert und nicht mehr nur Verwaltungsvorschrift. Die Gesamtverantwortung trägt grundsätzlich die Geschäftsleitung.“
– Kernprinzip des DORA-Regelwerks

Verantwortung bleibt bei den Finanzunternehmen

Ferner schreibt DORA auch Verfahren zur Klassifizierung von zum Teil meldepflichtigen ITK-Vorfällen und eine Überprüfung der IT-Systeme über geeignete Testverfahren vor. Für systemrelevante Organisationen gelten dahingehend höhere Anforderungen.

Ein wesentlicher Bestandteil der Verordnung ist, dass Finanzunternehmen verpflichtet sind, auch auf das Risikomanagement bei ihren ITK-Dienstleistern zu achten, wobei der Überwachungsrahmen für kritische ITK-Drittdienstleister mit weitgehenden Befugnissen einhergeht.

Was die eingangs genannten Geltungsbereiche der betroffenen Unternehmen angeht, lässt DORA für Förderbanken etwa auch nationale Ausnahmen zu. Ansonsten ist die Verordnung bindend für Unternehmen der Finanz- und Versicherungsbranche.

Konkrete Umsetzungsschritte für Finanzunternehmen

Für die operative Umsetzung stehen betroffene Organisationen vor mehreren Aufgabenblöcken. Erstens: Eine vollständige Bestandsaufnahme der eigenen IT-Landschaft inklusive aller externen Dienstleister, Cloud-Services und Software-Abhängigkeiten. Viele Unternehmen stellen im Zuge dieser Analyse fest, dass ihre Dienstleisterlandschaft deutlich komplexer ist als angenommen. Zweitens: Die Einführung oder Anpassung eines ITK-Risikomanagement-Systems, das DORA-konform dokumentiert und regelmäßig überprüft wird.

Drittens: Die Definition und Umsetzung von Incident-Response-Prozessen mit klaren Meldepflichten, Eskalationsstufen und Kommunikationswegen. Vierte Säule ist die regelmäßige Durchführung von Resilienz-Tests, deren Umfang und Häufigkeit sich nach Kritikalität der jeweiligen Organisation richtet. Fünftens: Die vertragliche Einbindung und Steuerung der ITK-Drittdienstleister, einschließlich Audit-Rechten, Exit-Strategien und definierten SLAs.

Jeder dieser Punkte bedeutet für die meisten Finanzunternehmen einen erheblichen Aufwand. Besonders mittelgroße Institute, die zwar in den Geltungsbereich fallen, aber nicht über eigene Security-Operations-Center oder große IT-Compliance-Teams verfügen, sind auf externe Unterstützung angewiesen. Genau hier setzt das Angebot spezialisierter IT-Sicherheits- und Datenschutzberatungen an.

Was droht bei Nichtbeachtung

Nationale Aufsichtsbehörden, in Deutschland vor allem die BaFin in Zusammenarbeit mit dem BSI, können bei Verstößen empfindliche Bußgelder verhängen. Darüber hinaus drohen Reputationsrisiken, Meldepflichten gegenüber Geschäftspartnern und im Extremfall der Entzug von Lizenzen oder Zulassungen. Für Geschäftsführer und Vorstände können sich zudem persönliche Haftungsrisiken ergeben, weil DORA die Gesamtverantwortung explizit der Unternehmensleitung zuweist.

Die Zeitfenster für Nachbesserungen sind dabei eng. Wer zum 17. Januar 2025 nicht DORA-konform aufgestellt ist, hat keine Übergangsfrist, sondern ist rechtlich im Verzug. Aufsichtsbehörden signalisieren zwar Augenmaß bei Unternehmen, die nachweisbar in der Umsetzung sind, aber grundsätzliches Fehlen der geforderten Strukturen wird nicht toleriert.

Wer bei der Umsetzung unterstützen kann

Angesichts der verpflichtenden Maßnahmen und des vergangenen Umsetzungsstichtags braucht es einen kompetenten Partner an der Seite, der die regulatorischen Anforderungen von DORA in konkrete technische und organisatorische Maßnahmen übersetzen kann. Spezialisierte IT-Sicherheits- und Datenschutzberatungen liefern hier Analysen der bestehenden Infrastruktur, Roadmaps für die Umsetzung und Unterstützung bei der Dokumentation gegenüber Aufsichtsbehörden.

Bei Fragen zur Umsetzung der DORA-Vorgaben stehen die IT-Security & Datenschutz Expert:innen von msecure gerne mit Rat und Tat zur Verfügung.

DORA im internationalen Kontext

DORA steht nicht isoliert, sondern fügt sich in ein Geflecht weiterer EU-Regulierungen ein. Die NIS2-Richtlinie adressiert Cybersicherheit in kritischen Sektoren, der Cyber Resilience Act regelt Anforderungen an digitale Produkte, die DSGVO den Datenschutz. Für Finanzunternehmen entstehen Überlappungen, die aktives Mapping erfordern: Welche Anforderungen sind durch welche Regulierung abgedeckt, wo gibt es Lücken oder Widersprüche, welche Maßnahmen zahlen auf mehrere Compliance-Pflichten gleichzeitig ein.

Im internationalen Vergleich zeigt DORA eine ähnliche Richtung wie regulatorische Initiativen in den USA, Großbritannien und Japan, setzt aber auf eine einheitliche EU-weite Regelung statt auf nationale Einzelgesetze. Für international tätige Finanzunternehmen vereinfacht das die Compliance innerhalb der EU, erhöht aber die Integrationsanforderung mit Standorten außerhalb. Gerade global agierende Banken und Versicherer müssen ihre Governance-Strukturen so aufstellen, dass DORA-Anforderungen mit vergleichbaren Regelwerken in anderen Jurisdiktionen harmoniert werden können.

Vorbereitung auf die ersten Audits

Nach dem Stichtag 17. Januar 2025 stehen für viele Finanzunternehmen die ersten DORA-Audits durch nationale Aufsichtsbehörden bevor. Die Aufsichten signalisieren, dass sie in einer Übergangsphase vor allem auf die Qualität der umgesetzten Strukturen schauen, nicht nur auf formale Checklisten. Geprüft wird die Wirksamkeit der Prozesse: Funktionieren Incident-Meldungen in der definierten Zeit? Sind Backup- und Recovery-Strategien dokumentiert und getestet? Werden Drittanbieter-Risiken tatsächlich überwacht?

Für die Vorbereitung auf Audits empfiehlt sich eine strukturierte Simulation der wichtigsten Szenarien. Dazu gehören Tabletop-Exercises mit dem Management, Red-Team-Tests der kritischen IT-Systeme und regelmäßige Überprüfungen der ITK-Dienstleister-Verträge. Die dabei entstehende Dokumentation ist gleichzeitig Nachweis der DORA-Konformität und Grundlage für kontinuierliche Verbesserungen. Unternehmen, die diese Übung nicht selbst stemmen können, profitieren von spezialisierten Beratungspartnern, die die Methodik aus vergleichbaren Regulierungen wie BAIT oder VAIT mitbringen.

Was 2025 und 2026 konkret zu erwarten ist

Die ersten Monate nach dem DORA-Stichtag zeigen bereits erste Konsolidierungstendenzen am Markt. Kleinere Finanzdienstleister, die die Anforderungen nicht wirtschaftlich umsetzen können, suchen Kooperationen mit größeren Instituten oder spezialisierten ITK-Dienstleistern. Gleichzeitig entstehen Plattform-Angebote, die DORA-konforme Compliance als Managed Service anbieten. Für mittelständische Banken, Versicherungen und regulierte Finanzdienstleister ist das eine relevante Option.

Mittelfristig wird die aufsichtsrechtliche Praxis wichtiger als der reine Gesetzestext. Wie streng BaFin und BSI auf welche Anforderungen achten, wird in den nächsten Monaten über die faktische Umsetzungslinie entscheiden. Für IT-Entscheider in betroffenen Organisationen empfiehlt sich daher, neben der formalen DORA-Compliance auch die Kommunikationskanäle mit den Aufsichten aktiv zu pflegen und an Industrie-Arbeitskreisen teilzunehmen, um Best Practices früh mitzubekommen.

DORA-Schnittstellen zu bestehenden Frameworks

Ein häufig unterschätzter Aspekt ist die Integration von DORA in bestehende Compliance-Frameworks. Wer bereits ISO 27001 betreibt, hat einen deutlichen Vorsprung: Viele der geforderten Kontrollen lassen sich aus dem ISMS heraus nachweisen. Auch BAIT (Bankaufsichtliche Anforderungen an die IT) und VAIT (Versicherungsaufsichtliche Anforderungen an die IT) haben große Überschneidungsflächen mit DORA. Eine saubere Mapping-Matrix zwischen den Frameworks verhindert Doppelarbeit und zeigt der Aufsicht, dass Compliance-Strukturen durchdacht sind.

Für Unternehmen ohne vorhandenes ISMS ist der DORA-Stichtag dagegen besonders hart. Sie müssen praktisch gleichzeitig grundlegende Risikomanagement-Prozesse aufbauen und die spezifischen DORA-Anforderungen umsetzen. In solchen Fällen empfiehlt sich ein pragmatischer Stufenplan, der zuerst die kritischsten Lücken schließt und anschließend in Iterationen die volle DORA-Reife erreicht. Externe Beratung kann den Aufbau um Monate verkürzen, wenn sie methodisch sauber arbeitet und nicht nur Standarddokumente ablegt.

Fazit

DORA markiert einen regulatorischen Wendepunkt für den Finanzsektor in Europa. Die Verordnung hebt IT-Sicherheit und operative Resilienz auf eine rechtlich verbindliche Ebene und zwingt Organisationen, bisherige Strukturen kritisch zu prüfen. Wer DORA ernst nimmt und konsequent umsetzt, stärkt nicht nur die eigene formale Compliance, sondern auch die tatsächliche Widerstandsfähigkeit gegenüber Cyberangriffen und Betriebsstörungen. Die kommenden Monate werden zeigen, wie die aufsichtsrechtliche Praxis und die konkrete unternehmerische Umsetzung in der betrieblichen Realität zusammenfinden.

Häufige Fragen

Für wen gilt DORA konkret?

DORA gilt für Banken, Versicherungen, Handelsplätze, Ratingagenturen, zentrale Gegenparteien, Transaktionsregister, Kryptowährungs-Service-Anbieter und kritische ITK-Drittdienstleister. In Deutschland sind das laut BaFin-Schätzung rund 22.000 Unternehmen.

Seit wann ist DORA rechtsgültig?

DORA ist am 16. Januar 2023 in Kraft getreten, nach einer zweijährigen Übergangsfrist rechtsgültig seit dem 17. Januar 2025. Ab diesem Datum müssen alle betroffenen Unternehmen die Anforderungen vollständig umgesetzt haben.

Wer haftet bei Verstößen gegen DORA?

Die Gesamtverantwortung liegt explizit bei der Geschäftsleitung der betroffenen Unternehmen. Das schließt persönliche Haftungsrisiken für Vorstände und Geschäftsführer ein und lässt sich nicht an IT-Abteilungen oder externe Dienstleister delegieren.

Welche Sanktionen drohen bei Nichteinhaltung?

Nationale Aufsichtsbehörden wie BaFin und BSI können Bußgelder verhängen. Darüber hinaus sind Meldepflichten gegenüber Geschäftspartnern, Reputationsschäden und im Extremfall der Entzug von Lizenzen möglich.

Was müssen Finanzunternehmen bei ihren IT-Dienstleistern beachten?

DORA verlangt ein dokumentiertes Management der Risiken durch Drittanbieter. Dazu gehören Audit-Rechte, Exit-Strategien, definierte SLAs und die Berücksichtigung von Cyber-Risiken entlang der gesamten Dienstleisterkette. Kritische ITK-Drittdienstleister unterliegen einem eigenen Überwachungsrahmen auf EU-Ebene.

Quelle Titelbild: Pexels / weCare Media (px:10020090)

Lesetipps der Redaktion

Cybersicherheit 2024: synaforce blickt zurück

synaforce erweitert Portfolio durch Übernahme der Herbst Datentechnik GmbH

Wie synaforce nachhaltige Rechenzentrumsleistung bündelt

Mehr aus dem MBF Media Netzwerk

SecurityToday: DORA-Analyse und Compliance-Details

synaforce Trusted Voice auf MyBusinessFuture

Mehr zu diesem synaforce-Thema

Weiterführende Einordnungen, Services und Praxisbeispiele bündelt synaforce bei Rechenzentrums- und Infrastrukturleistungen.

Auch verfügbar in

Cyberresilienz DORA EU-Verordnung it-sicherheit ITK-Dienstleister Risikomanagement
pArtikel drucken
Ein Magazin der Evernine Media GmbH