Seit dem 17. Januar 2025 gilt der Digital Operational Resilience Act (DORA) – eine EU-Vorschrift, welche für ein durchgängig hohes Niveau an digitaler Widerstandsfähigkeit im europäischen Finanzsektor sorgen soll. Was zunächst nach einem Spezialthema für Banken klingt, betrifft mittlerweile weit mehr Firmen als gedacht. Wer DORA bisher nicht todernst genommen hat, riskiert empfindliche Sanktionen – und einen Imageverlust bei Klienten wie auch Geschäftspartnern…
Sofern Ihr Unternehmen Bankgeschäfte abwickelt, Versicherungsleistungen anbietet oder mit Finanzdienstleistern als Kunde oder auch Partner kooperiert, hat sich Ihre regulatorische Umgebung im Januar 2025 verändert. Mit dem Digital Operational Resilience Act, kurz DORA, hat die Europäische Union erstmals einen einheitlichen, verbindlichen Rahmen für die digitale Resilienz im Finanzsektor erschaffen. Die Verordnung gilt sofort, ohne nationale Umsetzung – und sie schlägt tief in IT-Strukturen, Policen wie auch Prozesse ein.
Die deutsche Finanzaufsicht BaFin hat 2026 unmissverständlich zur Bewährungsprobe erklärt: Geprüft wird nicht mehr, ob DORA umgesetzt wurde, sondern wie konsequent. Welche Pflichten DORA konkret vorschreibt, wer im Anwendungsbereich liegt wie auch welche Sanktionen folgen – wir liefern Ihnen den systematischen Überblick. Eine zentrale Themenseite zur Verordnung wie auch zur Aufsichtspraxis stellt die BaFin zur Verfügung.
DORA: Eine kurze Einordnung
Der Digital Operational Resilience Act, bzw. die Verordnung (EU) 2022/2554, ist seit dem 17. Januar 2025 uneingeschränkt anwendbar. Mit DORA hat die EU erstmals einen einheitlichen Rahmen für IKT-Sicherheit, Cyberresilienz wie auch IT-Risikomanagement im gesamten Finanzsektor geschaffen. Vorher galten in jedem Mitgliedsstaat abweichende Vorgaben – in Deutschland etwa die Bankaufsichtlichen Bedingungen an die IT (BAIT) oder die Versicherungsaufsichtlichen Bedingungen an die IT (VAIT).
Der Kerngedanke ist simpel: Finanzunternehmen sollen digitale Probleme, Cyberangriffe sowie Ausfälle nicht bloß abwehren, sondern ebenso dann funktionsfähig bleiben, wenn etwas misslingt. Es geht also gewiss nicht mehr bloß um Prävention, sondern explizit um Widerstandsfähigkeit – die Fähigkeit, Vorfälle zu erkennen, einzudämmen, abzuwickeln und schnell wieder in den Regelbetrieb zurückzukehren. Diesen Vorgang fasst die englische Terminologie „operational resilience“ treffend zusammen.
Wichtig zu wissen: DORA ersetzt in Deutschland weitgehend die bisherigen branchenspezifischen IT-Aufsichtsregeln. Wer als Bank, Versicherer oder Wertpapierfirma bisher nach BAIT oder VAIT gearbeitet hat, muss heute DORA-standardisiert sein. Übergangsfristen für einzelne verbleibende Institutsgruppen laufen zum Ablauf von 2026 endgültig aus.
Wen DORA in die Pflicht nimmt
Der Geltungsbereich von DORA ist weitreichend – und das überrascht viele Verantwortliche. Unmittelbar erfasst sind nahezu alle beaufsichtigten Finanzunternehmen im EU-Raum, hierunter:
• Banken und Kreditinstitute jeder Größenordnung
• Versicherungs- und Rückversicherungsunternehmen
• Wertpapierfirmen, Investmentgesellschaften und Kapitalverwalter
• Zahlungsdienstleister und E-Geld-Institute
• Krypto-Asset-Dienstleister, Crowdfunding-Plattformen wie auch Handelsplätze
• Zentralverwahrer, Transaktionsregister sowie Datenbereitstellungsdienste
Dadurch fallen auch zahlreiche mittelgroße Akteure unter die Verordnung – etwa kleinere Volks- und Raiffeisenbanken, lokale Versicherer oder Fintech-Startups. Ausnahmen gelten lediglich für sogenannte Kleinstunternehmen mit weniger als zehn Beschäftigten und einer Bilanzsumme oder einem Jahresumsatz unter zwei Millionen Euro.
Ebenso gewichtig ist die zweite Fallgestaltung: Sie können ebenso dann von DORA betroffen sein, wenn Sie selber kein Finanzunternehmen sind, jedoch als Geschäftspartner oder Dienstleister für Finanzunternehmen tätig sind. Im DORA-Sprachgebrauch heißen diese Akteure „IKT-Drittdienstleister“. Erfasst sind alle Anbieter von digitalen Services, die Finanzunternehmen begleiten – vom großen Cloud-Dienstleister über Rechenzentrumsbetreiber bis hin zu Software-Firmen und IT-Spezialisten. Der Bankenverband bringt es auf den Punkt: DORA betrifft „auch bestimmte IT-Dienstleister, die mit diesen Unternehmen zusammenarbeiten“ .
In der Realität heißt das: Ihre Bestandsverträge mit Finanzkunden werden überarbeitet, Audit-Rechte des Kunden werden erweitert, Service Level Agreements verschärft, Berichtspflichten konkretisiert. Wer bisher mit einfachen Standardverträgen gearbeitet hat, wird umstellen müssen.
Welche Pflichten DORA konkret vorschreibt
DORA strukturiert sich in fünf zentrale Pflichtenbereiche, die zusammen das Rückgrat der Verordnung bilden:
• IKT-Risikomanagement: Finanzunternehmen müssen einen umfassenden Governance- und Kontrollrahmen aufbauen, der IT-Gefahren systematisch identifiziert, bewertet und steuert. Die Geschäftsleitung trägt ausdrücklich die Gesamtverantwortung – eine Übertragung an den IT-Leiter genügt nicht mehr aus.
• IKT-Vorfallsmanagement und Meldepflichten: Erhebliche Vorfälle müssen binnen 24 Stunden nach Entdeckung an die Leitung gemeldet werden, eine Erstklassifizierung sogar binnen vier Stunden. Innert 72 Stunden folgt eine Zwischenmeldung, nach einem Monat ein Abschlussbericht.
• Resilienz-Tests: Regelmäßige technische Prüfungen sind obligatorisch. Penetrationstests an Live-Systemen sind mindestens alle drei Jahre vorgesehen, für systemrelevante Institute zusätzlich sogenannte Threat-Led Penetration Tests (TLPT).
• Drittparteienrisikomanagement: Jeder Vertrag mit einem IKT-Dienstleister muss dokumentiert, bewertet und in einem Informationsregister dokumentiert werden. Dieses Register ist jährlich an die BaFin zu melden – 2026 erfolgte die Einreichung zwischen dem 9. und 30. März.
• Informationsaustausch: Finanzunternehmen sollen Erkenntnisse zu Cyberbedrohungen aktiv mit anderen Marktteilnehmern teilen, um die kollektive Abwehrfähigkeit zu stärken.
Vor allem das Informationsregister erweist sich zu einer Herausforderung in der Praxis. Es muss die vollständige Subunternehmer-Kette darstellen, Datenstandorte ausweisen und Exit-Strategien dokumentieren – ein Detailgrad, der vielen Firmen im ersten Anlauf große Mühe bereitet hat. Ergänzende FAQ zum Drittparteienrisikomanagement stellt die BaFin fortlaufend aktualisiert bereit .
Was bei DORA-Verstößen droht
Die Sanktionen unter DORA sind kein abstraktes Konstrukt. Bei Zuwiderhandlungen drohen Finanzunternehmen Bußgelder von bis zu 10 Millionen Euro oder fünf Prozent des jährlichen Gesamtnettoumsatzes (Artikel 50 DORA). Dazu kommen Strafen von bis zu 2,5 Millionen Euro nach dem deutschen Finanzmarktdigitalisierungsgesetz und – besonders unangenehm – die persönliche Haftung der Leitungsebene. Vorstände können folglich direkt belangt werden.
Für kritische IKT-Drittdienstleister bestehen eigene Schwellen, aber nicht weniger bedeutende: Hier können Bußgelder bis zu einem Prozent des durchschnittlichen tagtäglichen weltweiten Umsatzes verhängt werden. Eine zweite Sanktionsebene ist der Reputationsschaden: Die BaFin macht Verstöße auf ihrer Website öffentlich – ein Risiko, welches gerade für Unternehmen mit hoher Marktnähe gewaltig ins Gewicht fällt.
Wir sehen in unserer Routine als IT-Dienstleister immer wieder, dass DORA mehr ist als eine zusätzliche Compliance-Pflicht. Die Richtlinie ist ein Realitätstest für die Reife einer IT-Sicherheitsorganisation. Wer DORA pragmatisch umsetzt, gewinnt nicht bloß Rechtssicherheit, sondern auch eine besser organisierte und dokumentierte IT-Landschaft – ein Vorteil, der weit über die regulatorische Voraussetzung hinausgeht.
Fazit: Was Sie aus DORA jetzt mitnehmen sollten
DORA ist seit mehr als einem Jahr in Kraft, doch die wirkliche Bewährungsprobe beginnt erst jetzt. Die BaFin hat 2026 zum Jahr der intensivierten Prüfungen erklärt – mit klaren Fokusthemen beim Informationsregister, beim Vorfalls-Reporting und bei den Resilienz-Analysen. Die Zeit der Übergangstoleranz ist vorbei.
Unsere Empfehlung: Erfassen Sie DORA nicht als reine Pflichtübung, sondern als Anlass, Ihre IT-Sicherheits- und Vertragsarchitektur einmal umfassend zu überprüfen. Wer eine Bestandsaufnahme jetzt systematisch angeht, vermeidet hektische Aktionen unter Aufsichtsdruck – und gewinnt operative Transparenz, welche sich auch in vielen anderen Bereichen auszahlt.
Noch mehr interessante Blogartikel findest du hier !


