Webcast | KI in der otris legal SUITE
Termine: 30.04. | 14.05.
Jetzt kostenlos anmelden!
otris-Ratgeber
DORA -
Digital Operational
Resilience Act
Digital Operational
Resilience Act
DORA-Verordnung verstehen und umsetzen
Stand:
Finanzunternehmen sind heute auf stabile digitale Prozesse angewiesen. Zugleich steigen die Anforderungen an den Umgang mit IKT-Risiken, Ausfällen und externen IKT-Drittdienstleistern. Genau hier setzt die DORA-Verordnung an. Sie schafft einen einheitlichen EU-Rahmen für digitale operationale Resilienz im Finanzsektor.
DORA: Das Wichtigste auf einen Blick
Was ist DORA?
DORA steht für Digital Operational Resilience Act. Gemeint ist die EU-Verordnung 2022/2554 zur digitalen operationalen Resilienz im Finanzsektor.
Für wen gilt DORA?
Die Verordnung betrifft eine breite Gruppe regulierter Finanzunternehmen. Zudem spielt die Steuerung von IKT-Drittdienstleistern eine zentrale Rolle.
Worum geht es inhaltlich?
DORA bündelt Anforderungen an das IKT-Risikomanagement, den Umgang mit IKT-bezogenen Vorfällen, Resilienztests und Risiken aus IKT-Drittdienstleistern in einem einheitlichen Rahmen.
Seit wann gilt DORA?
Die Verordnung ist seit dem 17. Januar 2025 anwendbar. Unternehmen im Anwendungsbereich müssen die Vorgaben seitdem organisatorisch und technisch umsetzen.
1. Was ist die DORA-Verordnung?
DORA steht für Digital Operational Resilience Act. Gemeint ist die Verordnung (EU) 2022/2554 zur digitalen operationalen Resilienz im Finanzsektor. Sie schafft einen einheitlichen Rahmen für den Umgang mit IKT-Risiken, IKT-bezogenen Vorfällen und externen IKT-Drittdienstleistern. Ziel ist es, Finanzunternehmen widerstandsfähiger gegenüber Störungen, Cybervorfällen und Betriebsunterbrechungen zu machen.
Warum ist DORA relevant?
In der Praxis hängen zentrale Geschäftsprozesse im Finanzsektor von Informations- und Kommunikationstechnologien (IKT) ab. Fällt ein kritischer Dienst aus, sind häufig nicht nur interne Abläufe betroffen. Auch Kundenschnittstellen, Zahlungsprozesse, Berichtspflichten und ausgelagerte Leistungen können beeinträchtigt werden. Deshalb rückt DORA die Frage in den Mittelpunkt, wie Unternehmen digitale Risiken erkennen, beherrschen und nachvollziehbar steuern.
Welche Themen bündelt DORA?
DORA bündelt mehrere zentrale Themenfelder in einem einheitlichen Ordnungsrahmen. Dazu gehören insbesondere das IKT-Risikomanagement, der Umgang mit IKT-bezogenen Vorfällen, digitale Resilienztests und die Steuerung von Risiken aus IKT-Drittdienstleistern. Dadurch verbindet die Verordnung technische, organisatorische und regulatorische Anforderungen. Ergänzend schafft DORA einen Rahmen für den freiwilligen Informationsaustausch über signifikante Cyberbedrohungen.
Die folgende Übersicht zeigt, welche Bereiche Unternehmen dabei besonders im Blick behalten müssen.
2. Für wen gilt DORA?
DORA erfasst eine breite Gruppe regulierter Finanzunternehmen in der Europäischen Union. Dazu zählen unter anderem Banken, Versicherungen, Zahlungs- und E-Geld-Institute, Wertpapierfirmen und weitere regulierte Marktteilnehmer. Die Verordnung ist damit kein Spezialthema für einzelne Institute, sondern ein sektorweites Regelwerk.
Welche Rolle spielen IKT-Drittdienstleister?
DORA richtet sich nicht nur auf interne IT-Strukturen. Ebenso relevant ist der Umgang mit externen IKT-Drittdienstleistern, etwa bei Cloud-Services, Plattformen oder ausgelagerten Unterstützungsleistungen. Gerade bei Leistungen für kritische oder wichtige Funktionen verlangt die Verordnung eine strukturierte Steuerung dieser Risiken. Für die strukturierte Steuerung externer IKT-Drittdienstleister kann ein digitales Lieferantenmanagement die Umsetzung sinnvoll unterstützen.
3. Welche Pflichten bringt DORA mit sich?
DORA verlangt kein Einzelprojekt, sondern einen belastbaren Steuerungsrahmen. Unternehmen müssen digitale Risiken systematisch erfassen, bewerten, überwachen und in Governance, Prozesse und Kontrollen übersetzen. Außerdem müssen Vorfälle, Tests und die Einbindung externer IKT-Drittdienstleister nachvollziehbar organisiert werden.
IKT-Risikomanagement strukturiert aufbauen
Im Zentrum steht ein ganzheitliches IKT-Risikomanagement. Für die praktische Ausgestaltung sind klare Methoden im Risikomanagement entscheidend. Risiken müssen dabei nicht nur technisch, sondern auch organisatorisch abgebildet werden. Dazu gehören typischerweise Zuständigkeiten, Schutzmaßnahmen, Notfallvorsorge, Wiederanlaufplanung und regelmäßige Überprüfungen. Hilfreich ist ein gemeinsames Verständnis darüber, welche Systeme, Prozesse und Drittbeziehungen für kritische oder wichtige Funktionen relevant sind.
IKT-bezogene Vorfälle steuern und bewerten
DORA verlangt einen strukturierten Umgang mit IKT-bezogenen Vorfällen. Unternehmen müssen Vorfälle erfassen, bewerten, eskalieren und je nach Relevanz gegenüber den zuständigen Stellen melden. Deshalb reicht ein rein technischer Incident-Prozess meist nicht aus. Er muss mit Governance, Verantwortlichkeiten und Nachweisen verbunden sein.
Resilienztests planen und dokumentieren
Digitale Resilienz soll nicht nur beschrieben, sondern regelmäßig überprüft werden. DORA sieht deshalb Tests vor, mit denen Schwachstellen sichtbar werden. Je nach Rolle, Größe und Risikoprofil können unterschiedliche Testformate relevant sein. Entscheidend ist, dass Ergebnisse ausgewertet, Maßnahmen abgeleitet und Nachweise sauber dokumentiert werden.
Drittanbieter-Risiken steuern
Viele Finanzunternehmen sind auf externe IKT-Drittdienstleister angewiesen. Genau deshalb macht DORA das Management dieser Risiken zu einem eigenen Schwerpunkt. Verträge, Leistungsbeziehungen, kritische Funktionen, Kontrollrechte und Ausstiegsoptionen sollten daher nicht isoliert betrachtet werden. In der Praxis braucht es einen abgestimmten Prozess zwischen Fachbereich, IT, Einkauf, Compliance und Recht.
Governance und Verantwortung verankern
DORA ist kein reines IT-Thema. Die Verordnung verlangt vielmehr, dass digitale Resilienz auf Steuerungs- und Leitungsebene verankert wird. Deshalb müssen Verantwortlichkeiten klar zugeordnet, Entscheidungen nachvollziehbar dokumentiert und Prüfpfade belastbar aufgesetzt werden. Genau hier entstehen in der Praxis oft die größten Reibungsverluste. Gerade bei Verantwortlichkeiten, Vorgaben und Nachweisen kann ein strukturiertes Richtlinienmanagement die Umsetzung unterstützen.
4. Wie läuft die Umsetzung in der Praxis ab?
Eine belastbare DORA-Umsetzung beginnt nicht mit einem Tool, sondern mit einer klaren Standortbestimmung. Zunächst sollten Unternehmen prüfen, welche Einheiten, Prozesse, Anwendungen und Dienstleister betroffen sind. Anschließend lässt sich bewerten, wo bereits tragfähige Kontrollen bestehen und wo nachgesteuert werden muss.
Typischer Start: Gap-Analyse und Priorisierung
Hilfreich ist eine strukturierte Gap-Analyse. Sie vergleicht bestehende Prozesse mit den regulatorischen Anforderungen und macht Lücken sichtbar. Dadurch entsteht eine belastbare Grundlage für Prioritäten, Verantwortlichkeiten und Umsetzungsphasen. Zugleich hilft dieser Schritt, parallele Einzelinitiativen ohne gemeinsame Steuerung zu vermeiden.
Rollen früh festlegen
In der Umsetzung sollten Rollen früh geklärt werden. Typischerweise sind IT, Informationssicherheit, Compliance, Recht, Einkauf, Risikomanagement und Fachbereiche beteiligt. Entscheidend ist, dass Zuständigkeiten nicht nur benannt, sondern in Prozessen verankert werden. Nur dann lassen sich Vorfälle, Maßnahmen, Reviews und Freigaben nachvollziehbar steuern. Wenn Informationssicherheit, Nachweise und Rollen zusammenspielen müssen, kann ein klar aufgebautes ISMS die Umsetzung sinnvoll unterstützen.
Prozesse und Nachweise zusammen denken
DORA verlangt einen belastbaren Umgang mit Nachweisen. Deshalb sollten Unternehmen nicht nur Maßnahmen definieren, sondern auch festlegen, wo Dokumente, Entscheidungen, Prüfstände und Fristen geführt werden. Genau das ist in der Praxis oft ein Stolperstein. Informationen liegen verteilt in E-Mails, Tabellen, Vertragssammlungen und Einzellösungen. Dadurch steigen Abstimmungsaufwand und Prüfungsrisiko.
Typische Stolpersteine
Ein häufiger Fehler ist ein zu enger Fokus auf IT-Sicherheit. DORA betrifft ebenso Governance, Einkauf, Auslagerungssteuerung und Dokumentation. Ebenfalls kritisch ist ein unvollständiger Blick auf IKT-Drittdienstleister. Wer Verträge, Risikobewertung und operative Steuerung nicht zusammenführt, schafft schnell Lücken im Nachweis. Außerdem werden Fristen, Verantwortlichkeiten und Review-Zyklen oft zu spät harmonisiert.
Gerade bei der praktischen Umsetzung ist neben dem EU-Rechtsrahmen auch der nationale Aufsichtskontext relevant. Einen Überblick aus deutscher Perspektive bietet die BaFin auf ihrer Seite DORA – Digital Operational Resilience Act.
5. Wie kann Software die Umsetzung unterstützen?
Software ersetzt keine Governance. Sie kann Unternehmen jedoch dabei unterstützen, Anforderungen aus DORA strukturiert, nachvollziehbar und prüfbar umzusetzen. Das gilt insbesondere dann, wenn Risiken, Verträge, Drittbeziehungen, Maßnahmen und Nachweise miteinander verknüpft werden müssen.
Wo digitale Unterstützung besonders hilft
In der Praxis sind vor allem fünf Bereiche relevant: die strukturierte Erfassung von Risiken, die Steuerung von IKT-Drittdienstleistern, die Dokumentation von Anforderungen, die Fristen- und Aufgabenverfolgung sowie ein konsistentes Reporting. Dadurch sinkt der manuelle Abstimmungsaufwand. Zugleich werden Verantwortlichkeiten, Prüfpunkte und offene Maßnahmen transparenter.
Welche Funktionen typischerweise sinnvoll sind
Hilfreich sind zentrale Akten oder Register für Dienstleister, Verträge, Risiken und Maßnahmen. Ebenso nützlich sind Freigabe-Workflows, Eskalationslogiken, Fristenüberwachung und einheitliche Nachweisstrukturen. Wenn mehrere Fachbereiche beteiligt sind, wird außerdem eine gemeinsame Datenbasis wichtig. Sie erleichtert Reviews, reduziert Medienbrüche und verbessert die Auskunftsfähigkeit gegenüber internen und externen Prüfstellen.
Vertragsgrundlagen und Nachweise strukturiert steuern
Die Umsetzung von DORA betrifft nicht nur Risiken und Kontrollen, sondern auch Vertragsgrundlagen, Drittbeziehungen und Nachweise. Eine geeignete Software kann dabei helfen, diese Informationen strukturiert zusammenzuführen und für Reviews, Audits und regulatorische Anforderungen nachvollziehbar bereitzustellen. Das ist besonders dann hilfreich, wenn mehrere Bereiche gemeinsam an Resilienz, Compliance und Auslagerungssteuerung arbeiten.
Vertragsmanagement-Software von otris entdecken
Weitere passende Lösungen:
Lieferantenmanagement, Risikomanagement, ISMS
6. Fazit
Die DORA-Verordnung hebt die Anforderungen an digitale operationale Resilienz im Finanzsektor deutlich an. Unternehmen müssen Risiken, Vorfälle, Tests und Drittbeziehungen nicht nur steuern, sondern auch nachvollziehbar dokumentieren. Deshalb ist DORA kein isoliertes IT-Thema. In der Praxis betrifft die Verordnung ebenso Governance, Compliance, Einkauf und Organisation.
Wer die Umsetzung strukturiert angeht, schafft belastbare Prozesse und klarere Verantwortlichkeiten. Zudem lassen sich Nachweise konsistenter führen und Prüfanforderungen besser vorbereiten. Genau darin liegt der praktische Nutzen eines systematischen DORA-Rahmens.
7. FAQ: Häufige Fragen zur DORA-Verordnung
Was unterscheidet DORA von anderen IT-Vorgaben?
DORA richtet sich speziell an den Finanzsektor. Die Verordnung verbindet regulatorische, organisatorische und technische Anforderungen in einem gemeinsamen Rahmen. Im Mittelpunkt steht die digitale operationale Resilienz, nicht nur die IT-Sicherheit einzelner Systeme.
Gilt DORA auch für kleinere Unternehmen?
Nicht die Größe allein ist entscheidend, sondern der konkrete Anwendungsbereich. Zugleich gilt das Prinzip der Proportionalität: Anforderungen sind unter anderem nach Größe, Risikoprofil sowie Art, Umfang und Komplexität der Tätigkeit umzusetzen.
Müssen Verträge mit IKT-Dienstleistern überprüft werden?
In vielen Fällen ist das sinnvoll. Gerade bei kritischen oder wichtigen Funktionen sollten Unternehmen ihre Drittbeziehungen, Vertragsgrundlagen und Steuerungsprozesse im Zusammenhang prüfen. So lassen sich Risiken, Pflichten und Nachweise konsistenter abbilden.
Seit wann ist DORA anwendbar?
Die DORA-Verordnung ist seit dem 17. Januar 2025 anwendbar. Für regulierte Unternehmen im Anwendungsbereich sind die Vorgaben seitdem maßgeblich.
Ist DORA ein reines IT-Thema?
Nein. DORA betrifft zwar stark die IKT-Landschaft, geht aber deutlich darüber hinaus. Ebenso relevant sind Governance, Dokumentation, Verantwortlichkeiten, Drittanbietersteuerung und interne Abstimmung.