Dora-Verordnung im Überblick:

Anforderungen, Ziele und Umsetzung
des "Digital Operational Resilience Act"

Was ist die DORA-Verordnung? Warum wurde DORA eingeführt? Wer ist von der neuen Verordnung betroffen? Inklusive Best Practices & Quick Wins für Unternehmen.

7 Min. Lesezeit
Alle Infos im Überblick!

Was ist die DORA-Verordnung?

Mit der Einführung des Digital Operational Resilience Act (kurz DORA)1, im Deutschen wird häufig auch von der „Verordnung über digitale operationale Resilienz im Finanzsektor“ gesprochen, stehen Finanzunternehmen und deren Dienstleister vor komplexen Anforderungen. Diese betreffen nahezu alle Bereiche der IT und müssen kurzfristig umgesetzt werden. Gleichzeitig fehlt es vielen Organisationen an klaren Strukturen, Ressourcen und einem ganzheitlichen Verständnis der regulatorischen Erwartungen.

Management digitaler Risiken

Die DORA-Verordnung ist eine europäische Verordnung zur Stärkung der digitalen operationalen Resilienz im Finanzsektor. Ziel ist es, sicherzustellen, dass Finanzunternehmen auch bei schwerwiegenden Störungen in der Informations- und Kommunikationstechnik (IKT-Störungen), Cyberangriffen oder IT-Ausfällen handlungs- und widerstandsfähig bleiben. DORA schafft erstmals einen einheitlichen europäischen Rechtsrahmen für das Management digitaler Risiken im Finanzsektor.

    Welche Ziele verfolgt die Einführung von DORA?

    Die wesentlichen Ziele der DORA-Regulierung sind:

    • Stärkung der digitalen operativen Resilienz von Finanzunternehmen
    • Vereinheitlichung der regulatorischen Anforderungen innerhalb der EU
    • Verbesserung des Umgangs mit IKT-Vorfällen und Cyberangriffen
    • Reduzierung von Risiken durch IT-Drittanbieter und Cloud-Dienstleister
    • Förderung eines einheitlichen Sicherheitsniveaus im europäischen Finanzsektor

    Welche Unternehmen sind von der DORA-Verordnung betroffen?

    Direkt betroffene Finanzunternehmen

    Die DORA-Verordnung gilt für eine Vielzahl regulierter Finanzunternehmen2 innerhalb der Europäischen Union. Dazu zählen insbesondere:

    Dora-Regulierung
    • Banken und Kreditinstitute
    • Versicherungsunternehmen und Rückversicherer
    • Wertpapierfirmen
    • Kapitalverwaltungsgesellschaften
    • Zahlungsinstitute und E-Geld-Institute
    • Krypto-Dienstleister
    • Finanzholdinggesellschaften
    • Einrichtungen der betrieblichen Altersversorgung
    • Ratingagenturen und weitere regulierte Finanzmarktteilnehmer
    Dora-Regulierung


    Indirekt betroffene Unternehmen: IKT-Dienstleister & Drittparteien

    Neben den unmittelbar regulierten Finanzunternehmen sind auch zahlreiche IKT-Dienstleister mittelbar von DORA betroffen. Hierzu zählen vor allem Cloud-Anbieter, Rechenzentren, Managed Service Provider, SaaS-Anbieter oder externe IT-Dienstleister.
    Zwar richtet sich DORA primär an Finanzunternehmen, allerdings müssen diese sicherstellen, dass auch ihre Dienstleister regulatorische Anforderungen erfüllen. Dadurch entstehen umfangreiche Anforderungen an Vertragsgestaltung, Nachweise, Sicherheitsmaßnahmen und Kontrollrechte gegenüber Drittparteien.
    Kritische IKT-Drittdienstleister können darüber hinaus einem europäischen Überwachungsrahmen unterliegen.

    Was regelt die DORA-Verordnung? Inhalte und zentrale Anforderungen

    IKT-Risikomanagement

    DORA verpflichtet Unternehmen zum Aufbau eines umfassenden und dokumentierten IKT-Risikomanagements. Hierzu zählen vor allem Richtlinien, Prozesse, Kontrollen und Governance-Strukturen zur Identifikation, Bewertung und Steuerung von IT- und Cyberrisiken.

    Meldung und Management von IKT-Vorfällen

    Finanzunternehmen müssen schwerwiegende IKT-Vorfälle strukturiert erfassen, klassifizieren, dokumentieren und an zuständige Behörden melden. Zudem sind Prozesse zur schnellen Reaktion und Wiederherstellung erforderlich.

    Testen der digitalen operativen Resilienz

    Die DORA-Verordnung fordert regelmäßige Resilienztests, um die Widerstandsfähigkeit der IT-Systeme zu überprüfen. Hierzu zählen unter anderem Schwachstellenanalysen, Penetrationstests, Szenariotests sowie – abhängig vom Risikoprofil – Threat-Led Penetration Testing (TLPT)3.

    Management von IKT-Drittparteienrisiken

    Ein zentraler Bestandteil von DORA ist das Management von Risiken aus ausgelagerten IT- und Cloud-Dienstleistungen. Unternehmen müssen ihre IKT-Dienstleister identifizieren, bewerten, überwachen und vertraglich absichern.

    Informationsaustausch und Zusammenarbeit

    DORA fördert den strukturierten Informationsaustausch über Cyberbedrohungen, Sicherheitsvorfälle und Schwachstellen zwischen Unternehmen sowie innerhalb des Finanzsektors, um die kollektive Resilienz zu stärken.

    Dora-Regulierung

    DORA-Verordnung: Fristen, Inkrafttreten und Zeitplan

    Seit wann gilt DORA?

    Die DORA-Verordnung ist am 16. Januar 20234 in Kraft getreten und seit dem 17. Januar 2025 verbindlich anzuwenden. Unternehmen müssen seitdem sämtliche relevanten Anforderungen erfüllen und deren Umsetzung nachweisen können.
    Die DORA-Verordnung wird durch technische Regulierungsstandards (RTS), technische Durchführungsstandards (ITS) sowie weitere Leitlinien konkretisiert. 

    Aktuelle Relevanz

    Die hohe Dringlichkeit des Themas ergibt sich aus mehreren Faktoren:

    • Regulatorischer Druck: DORA ist seit Januar 2025 verbindlich anzuwenden. Unternehmen müssen ihre Umsetzung jederzeit prüfbar nachweisen können.
    • Cyber-Risiken: Finanzunternehmen stehen zunehmend im Fokus gezielter und professionell organisierter Cyberangriffe. Anforderungen an Prävention und Reaktionsfähigkeit wachsen deutlich.
    • Abhängigkeit von IT-Dienstleistern: Der verstärkte Einsatz von Cloud-Lösungen und Outsourcing führt zu komplexeren IT-Landschaften und erhöht die Anforderungen an das Management von Drittparteienrisiken.

    Warum die DORA-Regulierung für Unternehmen zur Herausforderung wird

    Die DORA-Regulierung stellt Unternehmen vor viele Herausforderungen. Dazu zählen insbesondere das IT-Risikomanagement, ein strukturiertes Incident Management5, die Durchführung von Resilienztests (z. B. Threat-Led Penetration Testing, kurz TLPT3), ein umfassendes Drittparteienmanagement im Bereich ICT sowie klare Governance- und Reporting-Strukturen. In vielen Organisationen sind diese Elemente bereits in Teilen vorhanden, aber nicht aufeinander abgestimmt. Dies umzusetzen ist die größte Schwierigkeit.

    Typische Ausgangssituation

    Viele Unternehmen befinden sich in einer dieser Lagen:

    ReifegradTypische Situation
    EinsteigerKaum strukturierte ISMS-Prozesse8, wenig Dokumentation
    FortgeschritteneISO 270016 / BAIT7 vorhanden, aber Lücken zu DORA
    ErfahreneGute Basis, aber fehlende Integration & Nachweisfähigkeit

     

    Dora-Regulierung

    Typische Fehler und Missverständnisse

    In der Praxis zeigen sich immer wieder ähnliche Herausforderungen:

    ❌ „Wir sind schon ISO 27001 6-zertifiziert – das reicht.“

    • Eine ISO-270016-Zertifizierung kann eine gute Grundlage sein, ersetzt jedoch keine DORA-Compliance. DORA enthält zusätzliche regulatorische Anforderungen, vor allem zu Governance, IKT-Vorfällen, Drittparteienrisiken und Resilienztests.

    ❌ „Das ist ein IT-Projekt.“

    • Falsch. DORA betrifft auch Fachbereiche, Einkauf, Recht und Management.

    ❌ „Wir dokumentieren später.“

    • Dokumentation ist zentraler Bestandteil der Nachweisführung.

    ❌ „Wir machen das intern nebenbei.“

    • Der Aufwand wird häufig massiv unterschätzt.

    Typische Stolperfallen – und wie man sie vermeidet

    Häufige Schwierigkeiten sind: 

    Unklare Verantwortlichkeiten

    • Lösung: Klare Governance und Rollenmodelle definieren

    Unterschätzter Drittparteienaufwand

    • Lösung: Frühzeitig vollständige Transparenz schaffen

    Zu technischer Fokus

    • Lösung: Fachbereiche aktiv einbinden

    Fehlende Priorisierung

    • Lösung: Risiko-orientierten Ansatz wählen


    Dokumentationslücken

    • Lösung: „Was nicht dokumentiert ist, existiert nicht“
       

    Schritt-für-Schritt zur DORA-Compliance

    Ein strukturierter Ansatz ist entscheidend. Bewährt hat sich ein Vorgehen in fünf klaren Phasen:

    • Schritt 1: Regulatorische Einordnung & Scoping

      Ziel: Klarheit darüber schaffen, welche DORA-Anforderungen konkret relevant sind.

      Maßnahmen:

      • Analyse der Betroffenheit (z. B. Finanzunternehmen vs. ICT-Dienstleister)
      • Identifikation relevanter Artikel & Regulierungsstandards (RTS)
      • Definition des Anwendungsbereichs (Scope)

       

      Praxisbeispiel: Ein mittelgroßer Vermögensverwalter stellt fest, dass insbesondere das Drittparteienmanagement stark betroffen ist, da viele Kernprozesse ausgelagert sind.

       

    • Schritt 2: Bestandsaufnahme & Reifegradanalyse

      Ziel: Transparenz über den aktuellen Stand schaffen.

      Maßnahmen:

      • Aufnahme bestehender Prozesse (ISMS8, BCM9, Incident Management5 etc.)
      • Abgleich mit DORA-Anforderungen (Gap-Analyse10)
      • Bewertung des Reifegrads

       

      Praxisbeispiel: Ein Institut erkennt, dass zwar Incident-Prozesse existieren, jedoch keine klare Klassifizierung nach DORA-Vorgaben erfolgt.

    • Schritt 3: GAP-Analyse & Priorisierung

      Ziel: Konkrete Handlungsbedarfe identifizieren und priorisieren.

      Maßnahmen:
      •    Identifikation von Lücken je DORA-Anforderung
      •    Bewertung nach Risiko und Umsetzungsaufwand
      •    Definition einer Umsetzungs-Roadmap

      Praxisbeispiel: Ein Unternehmen priorisiert zunächst kritische Themen wie Incident Reporting und Drittparteienregister, bevor komplexe Testverfahren umgesetzt werden.

       

    • Schritt 4: Umsetzung von Maßnahmen & Prozessen

      Ziel: DORA-konforme Strukturen etablieren.

      Maßnahmen:
      •    Aufbau oder Anpassung von Richtlinien und Prozessen
      •    Implementierung von Governance-Strukturen
      •    Schulung von Mitarbeitenden
      •    Integration in bestehende Systeme

      Praxisbeispiel: Ein Unternehmen etabliert ein zentrales Register für alle ICT-Dienstleister inklusive Risikobewertung und Vertragsprüfung.

      Vertragsmanagement mit Drittanbietern
      Die DORA-Verordnung stellt umfangreiche Anforderungen an Verträge mit IKT-Dienstleistern. Unternehmen müssen sicherstellen, dass Sicherheitsanforderungen, Kontrollrechte, Meldepflichten, Exit-Strategien und Prüfungsrechte vertraglich geregelt sind.
       

      Schulungen und Awareness
      Ein wesentlicher Erfolgsfaktor für die Umsetzung von DORA ist die Sensibilisierung von Mitarbeitenden und Führungskräften. Schulungen und Awareness-Maßnahmen tragen dazu bei, regulatorische Anforderungen nachhaltig in der Organisation zu verankern.

       

       

    • Schritt 5: Testing, Dokumentation & kontinuierliche Verbesserung

      Ziel: Nachweisfähigkeit und nachhaltige Compliance sicherstellen.

      Maßnahmen:
      •    Durchführung von Resilienztests (z. B. Szenario-Tests, TLPT3)
      •    Aufbau eines strukturierten Reportings
      •    Regelmäßige Reviews und Audits

      Praxisbeispiel: Ein Institut führt regelmäßig Krisensimulationen durch und dokumentiert Lessons Learned systematisch.

       

    Best Practices & Quick Wins

    Sofort umsetzbare Maßnahmen

    • Zentrale DORA-Verantwortlichkeit definieren
    • Übersicht aller ICT-Dienstleister erstellen
    • Incident-Klassifizierung standardisieren
    • Bestehende Richtlinien auf DORA-Bezug prüfen

     

    Hebel mit hoher Wirkung

    • Frühe Einbindung des Managements: 
      Erhöht Akzeptanz und beschleunigt Entscheidungen
    • Verzahnung bestehender Frameworks: 
      ISO 270016, NIST11 oder BAIT7 als Basis nutzen
    • Klare Dokumentationsstruktur: 
      Spart später erheblichen Aufwand

    Tools, Methoden und Frameworks

    Folgende Ansätze haben sich in der Praxis bewährt:

    • ISO 27001 / ISMS68 → Struktur für Informationssicherheit
    • NIST Cybersecurity Framework11 → Ergänzende Perspektive
    • BCM (ISO 22301)9 → Business Continuity Management
    • GRC-Tools12 → Unterstützung bei Dokumentation & Steuerung

    Wichtig: Tools sind nur unterstützend – entscheidend sind klare Prozesse und Verantwortlichkeiten.

    Dora-Regulierung

    Warum externe Unterstützung sinnvoll sein kann

    Die Umsetzung von DORA ist interdisziplinär (IT, Recht, Einkauf, Management), ressourcenintensiv und zeitkritisch. Viele Unternehmen stehen vor der Herausforderung, diese Anforderungen parallel zum Tagesgeschäft umzusetzen. Ein externer Partner kann insbesondere unterstützen bei:

    • Strukturierung und Methodik
    • Best-Practice-Erfahrung aus vergleichbaren Projekten
    • Beschleunigung der Umsetzung
    • Sicherstellung regulatorischer Konformität

    Zielgerichtete und effiziente DORA-Umsetzung

    DORA ist mehr als eine regulatorische Pflicht – es ist eine Chance, die eigene IT-Resilienz nachhaltig zu stärken. Entscheidend ist ein strukturierter, pragmatischer Ansatz, der sowohl regulatorische Anforderungen erfüllt als auch echten Mehrwert für die Organisation schafft.

    Creditreform Compliance Services unterstützt Sie dabei, Ihre DORA-Umsetzung effizient und zielgerichtet aufzusetzen – sei es durch eine kompakte GAP-Analyse, die Entwicklung einer Umsetzungs-Roadmap oder die Begleitung bei der Implementierung. Ein unverbindliches Erstgespräch hilft, Ihre individuelle Ausgangssituation einzuordnen und konkrete nächste Schritte abzuleiten.
     

    Jetzt informieren & beraten lassen

     

    FAQ: Häufig gestellte Fragen zur Dora-Regulierung

    Häufig gestellte Fragen und Antworten zum Thema

    • Für welche Unternehmen gilt DORA?

      Die DORA-Verordnung gilt für eine Vielzahl von Unternehmen aus dem Finanzsektor innerhalb der Europäischen Union. Dazu gehören insbesondere Banken, Versicherungen, Wertpapierfirmen, Kapitalverwaltungsgesellschaften, Zahlungsdienstleister, E-Geld-Institute, Kryptowerte-Dienstleister sowie weitere regulierte Finanzunternehmen. Auch bestimmte IKT-Drittdienstleister können mittelbar betroffen sein, wenn sie kritische Dienstleistungen für Finanzunternehmen erbringen.

      Ziel der Verordnung ist es, die digitale operationelle Resilienz des europäischen Finanzsektors zu stärken und einheitliche Anforderungen an Informationssicherheit, IKT-Risikomanagement, Vorfallmanagement und Drittparteiensteuerung zu schaffen.13 14

       

    • Seit wann wird DORA angewendet?

      Die DORA-Verordnung ist am 16. Januar 2023 in Kraft getreten und wird seit dem 17. Januar 2025 verbindlich angewendet. Seit diesem Datum müssen betroffene Finanzunternehmen die regulatorischen Anforderungen vollständig umsetzen und nachweisen können.15

      Die Verordnung gilt unmittelbar in allen EU-Mitgliedstaaten, da es sich bei DORA um eine EU-Verordnung und nicht um eine nationales Umsetzungsgesetz erfordernde Richtlinie handelt.16

    • Wie unterscheidet sich DORA von NIS2?

      DORA und NIS2 verfolgen zwar beide das Ziel, die Cybersicherheit und digitale Resilienz in Europa zu stärken, unterscheiden sich jedoch deutlich im Anwendungsbereich und in der regulatorischen Struktur.
      DORA ist eine sektorspezifische EU-Verordnung für den Finanzsektor und regelt detailliert Anforderungen an IKT-Risikomanagement, digitale Betriebsstabilität, Incident Reporting, Resilienztests sowie die Steuerung von IKT-Drittdienstleistern.17

      NIS2 hingegen ist eine EU-Richtlinie mit branchenübergreifendem Fokus auf kritische und wichtige Einrichtungen, beispielsweise aus Energie, Gesundheit, Transport oder Industrie. Sie muss jeweils durch nationale Gesetze umgesetzt werden.

      Für Finanzunternehmen gilt DORA grundsätzlich als vorrangige Spezialregelung („lex specialis“) gegenüber NIS2.18

      Hier mehr zu NIS2 erfahren

       

    • Gibt es Übergangsfristen?

      Die wesentlichen Anforderungen aus DORA gelten seit dem 17. Januar 2025 verbindlich19. Eine allgemeine Übergangsfrist über dieses Datum hinaus sieht die Verordnung grundsätzlich nicht vor.

      Allerdings wurden und werden einzelne technische Regulierungsstandards (RTS) und Implementing Technical Standards (ITS) schrittweise konkretisiert und veröffentlicht20. Unternehmen mussten daher bereits vor dem Anwendungsbeginn entsprechende Vorbereitungen treffen, um die Anforderungen fristgerecht erfüllen zu können.

    Teilen auf

    Das könnte Sie auch interessieren

    PR_NIS2-Richtlinie-950x503-neu.jpg

    NIS-2-Richtlinie erklärt: Was Unternehmen wissen müssen

    Welches Ziel die Richtlinie verfolgt, was betroffene Unternehmen jetzt für ihre Cybersicherheit tun müssen und worauf es dabei ankommt. Mit informativem Whitepaper.

    Zum Artikel
    Digital-Identity-950x503.jpg

    Digital Identity im B2B-Onlinehandel

    Der Nachweis von digitalen Identitäten ist mehr als ein Trend und gewinnt im Onlinehandel zunehmend an Bedeutung. Sie möchten wissen, mit wem Sie es online zu tun haben?

    Zum Artikel
    KI-Compliance_950x503.jpg

    KI-Compliance: Rechtssicherheit für Firmen

    Ob Bildbearbeitung, Textanalysen und vieles mehr – Künstliche Intelligenz (KI) bietet Chancen für Unternehmen, schafft aber auch regulatorische Herausforderungen.

    Zum Artikel
    KontaktKontakt