DORA - Digital Operational Resilience Act
Verordnung (EU) 2022/2554
Überblick
Die Verordnung (EU) 2022/2554 über die digitale operationelle Resilienz des Finanzsektors (Digital Operational Resilience Act - DORA) trat am 16. Januar 2023 in Kraft und ist ab dem 17. Januar 2025 vollständig anzuwenden. DORA zielt darauf ab, die digitale operationelle Resilienz des gesamten Finanzsektors in der EU zu stärken.
Zielsetzung von DORA
Digitale Resilienz
Stärkung der Fähigkeit von Finanzunternehmen, IT-Störungen und Cyber-Bedrohungen zu widerstehen
Harmonisierung
Einheitliche Anforderungen an die digitale operationelle Resilienz in der gesamten EU
Risikomanagement
Verpflichtung zu umfassendem IT-Risikomanagement und Governance
Überwachung
Kontinuierliche Überwachung und Bewertung der digitalen operationellen Resilienz
Fünf Säulen von DORA
IT-Risikomanagement
Umfassendes IT-Risikomanagement-Framework mit klaren Governance-Strukturen, Risikoidentifikation, -bewertung und -behandlung
Incident Management
Strukturierte Prozesse für die Erkennung, Meldung und Behandlung von IT-Vorfällen und Sicherheitsvorfällen
Digital Operational Resilience Testing
Risikobasiertes Programm für digitale operationelle Resilienztests; IKT-Systeme mit kritischen oder wichtigen Funktionen mindestens jährlich; TLPT mindestens alle drei Jahre für von Behörden identifizierte Finanzunternehmen
Management von IKT-Drittanbietern
Strenge Anforderungen an das Management von IKT-Drittanbietern und kritischen IKT-Drittanbietern
Informationsaustausch
Mechanismen für den Informationsaustausch über Cyber-Bedrohungen und bewährte Praktiken
Anwendungsbereich
DORA gilt unmittelbar für die in Art. 2 genannten Finanzunternehmen. IKT-Drittdienstleister werden über das IKT-Drittparteienrisikomanagement der Finanzunternehmen und – bei Einstufung als kritische IKT-Drittdienstleister – über ein EU-Aufsichtsrahmenwerk adressiert:
Finanzunternehmen (Art. 2 DORA)
- Kreditinstitute
- Versicherungsunternehmen
- Wertpapierfirmen
- Verwaltungsgesellschaften
- Zahlungsinstitute
IKT-Drittdienstleister (indirekt / Oversight)
- Vertragliche Anforderungen über Finanzunternehmen
- Kritische IKT-Drittdienstleister: besonderes EU-Oversight-Framework
- Cloud-, Software- und IT-Dienstleister sind nicht pauschal wie Finanzunternehmen vollständig DORA-pflichtig
DORA-Anforderungen im Detail
| Bereich | Anforderung | Frist |
|---|---|---|
| IT-Risikomanagement | Einführung eines umfassenden IT-Risikomanagement-Frameworks | 17.01.2025 |
| Incident Reporting | Bewertung, Erstmeldung, Zwischenbericht und Abschlussbericht zu schwerwiegenden IKT-Vorfällen (Art. 19/20 DORA, RTS) | 17.01.2025 |
| Resilience Testing | Risikobasiertes Resilienztest-Programm; jährliche Tests für IKT mit kritischen/wichtigen Funktionen; TLPT mindestens alle 3 Jahre für von Behörden identifizierte Finanzunternehmen | 17.01.2025 |
| IKT-Drittanbieter | Registrierung und Überwachung kritischer IKT-Drittanbieter | 17.01.2025 |
Incident Reporting – Fristen und Berichtspflichten (Art. 19/20 DORA, Delegierte Verordnung (EU) 2025/301)
Nur schwerwiegende IKT-bezogene Vorfälle lösen die vollständige Meldepflicht aus. Die Bewertung (Einstufung) muss zeitnah nach Erkennung erfolgen; die Fristen beziehen sich auf Klassifizierung, Erstmeldung, Zwischen- und Abschlussbericht.
| Phase | Inhalt / Anforderung | Frist |
|---|---|---|
| Bewertung | Prüfung, ob der Vorfall als „schwerwiegend“ einzustufen ist (Kriterien gemäß DORA/RTS) | Unverzüglich nach Erkennung |
| Erstmeldung | Meldung an die zuständige Aufsichtsbehörde mit Mindestangaben (z. B. Kontaktpunkt, Sofortmaßnahmen, Klassifizierung, betroffene Dienste) | So früh wie möglich, spätestens 4 Stunden nach Einstufung als schwerwiegend und spätestens 24 Stunden nach Kenntnis des IKT-Vorfalls |
| Zwischenbericht | Detaillierter Bericht (quantifizierter Schaden, vorläufige Fehleranalyse, Remediation, wirtschaftliche Schadensabschätzung) – auch wenn sich der Status nicht geändert hat | Spätestens 72 Stunden nach Einreichung der Erstmeldung |
| Abschlussbericht | Vollständiger Bericht (Ursachenanalyse, finale Schadensquantifizierung, ergriffene Maßnahmen, Remediationsplan, Lessons Learned) | Spätestens einen Monat nach Einreichung des Zwischenberichts bzw. des letzten aktualisierten Zwischenberichts |
Die konkreten Meldeinhalte und -formate ergeben sich aus der Delegierten Verordnung (EU) 2025/301 und weiteren technischen Regulierungsstandards. Wird ein Vorfall erst später als schwerwiegend klassifiziert, ist die Erstmeldung innerhalb von vier Stunden nach dieser Klassifizierung einzureichen.
Zusammenhang mit ISMS
- ISMS: DORA verlangt ein Governance- und Kontrollrahmenwerk sowie ein IKT-Risikomanagementrahmenwerk. Ein ISMS kann diese Anforderungen unterstützen, ersetzt aber nicht die DORA-spezifischen Pflichten zu Resilience Testing, Vorfallmeldungen und IKT-Drittparteienrisiko
- Risikomanagement: DORA verlangt umfassendes IT-Risikomanagement mit kontinuierlicher Überwachung
- Assetmanagement: DORA verlangt Inventarisierung und Klassifizierung von IKT-Assets
- BCM: DORA erfordert Business Continuity Pläne für kritische IKT-Services
- Incident Management: DORA definiert spezifische Anforderungen an Incident-Erkennung und -Meldung
- Testmanagement: DORA verlangt regelmäßige Tests der digitalen operationellen Resilienz (Penetrationstests, TLPT)
- Meldepflichten: DORA etabliert verbindliche Meldepflichten für schwerwiegende IKT-Vorfälle
Umsetzungshinweise
Governance
Etablierung klarer Verantwortlichkeiten und Eskalationswege für IT-Risiken
Dokumentation
Umfassende Dokumentation aller IT-Risikomanagement-Prozesse und -Maßnahmen
Überwachung
Kontinuierliche Überwachung und regelmäßige Überprüfung der Wirksamkeit