DORA Content Hub
DORA Strafen & Enforcement
Administrative Sanktionen, BaFin-Durchsetzung und Vergleich mit NIS2-Strafen.
DORA-Strafen: Was bei Nichtbefolgung droht
Der Digital Operational Resilience Act (DORA) verlaesst sich bei der Durchsetzung auf ein mehrstufiges Sanktionssystem. Anders als bei Verordnungen mit festen Bussgeldobergrenzen (wie der DSGVO) ueberlasst DORA die konkrete Ausgestaltung der Sanktionen fuer Finanzunternehmen weitgehend den nationalen Aufsichtsbehoerden. Fuer kritische IKT-Drittdienstleister (CTPPs) hingegen definiert die Verordnung eigene Durchsetzungsinstrumente auf europaeischer Ebene.
Sanktionsrahmen fuer Finanzunternehmen
Gemaess Art. 50 DORA muessen die Mitgliedstaaten wirksame, verhaeltnismaessige und abschreckende Verwaltungssanktionen und Abhilfemassnahmen festlegen. Die konkreten Sanktionen richten sich nach dem nationalen Aufsichtsrecht — in Deutschland primaer nach dem Kreditwesengesetz (KWG), dem Versicherungsaufsichtsgesetz (VAG) und dem Wertpapierhandelsgesetz (WpHG).
BaFin-Befugnisse in Deutschland
Die Bundesanstalt fuer Finanzdienstleistungsaufsicht (BaFin) verfuegt ueber ein breites Instrumentarium zur Durchsetzung der DORA-Anforderungen:
- Anordnungen: Die BaFin kann verbindliche Anordnungen zur Beseitigung von Maengeln erlassen — mit konkreten Fristen und Massnahmenkatalogen. Bei Nichtbefolgung koennen Zwangsgelder verhaengt werden
- Bussgelder: Gemaess den sektoralen Aufsichtsgesetzen kann die BaFin Bussgelder verhaengen. Die Hoehe richtet sich nach Schwere, Dauer und Auswirkung des Verstosses sowie nach Groesse und Umsatz des Unternehmens
- Oeffentliche Bekanntmachung: Die BaFin kann Verstaesse oeffentlich bekanntmachen ("Naming and Shaming") — ein erhebliches Reputationsrisiko fuer regulierte Institute
- Untersagungsverfuegungen: In schwerwiegenden Faellen kann die BaFin Geschaeftsaktivitaeten untersagen oder die Erlaubnis entziehen — das schaerfste Mittel im Aufsichtsrecht
- Sonderpruefungen: Die BaFin kann jederzeit Sonderpruefungen nach § 44 KWG anordnen, um die DORA-Compliance zu ueberpruefen. Die Kosten traegt das geprufte Institut
Geschaeftsleiterhaftung
DORA betont in Art. 5 ausdruecklich die Verantwortung des Leitungsorgans fuer das IKT-Risikomanagement. In Deutschland kann dies zu persoenlicher Haftung der Geschaeftsleiter fuehren:
- Organhaftung (§ 93 AktG / § 43 GmbHG): Geschaeftsleiter haften persoenlich fuer Schaeden, die durch pflichtwidriges Unterlassen von DORA-Massnahmen entstehen
- Bussgeldverhaengung gegen natuerliche Personen: Die BaFin kann Bussgelder nicht nur gegen das Institut, sondern auch direkt gegen verantwortliche Geschaeftsleiter verhaengen
- Abberufungsverlangen: In schwerwiegenden Faellen kann die BaFin die Abberufung von Geschaeftsleitern verlangen, die ihren DORA-Pflichten nicht nachkommen
Aufsicht ueber kritische IKT-Drittdienstleister (CTPPs)
Fuer kritische IKT-Drittdienstleister (Critical Third-Party Providers) hat DORA in Art. 31-37 ein voellig neues Aufsichtsregime geschaffen. Die ESAs (EBA, EIOPA, ESMA) benennen auf Basis definierter Kriterien diejenigen IKT-Dienstleister, die als kritisch eingestuft werden — typischerweise grosse Cloud-Provider, Zahlungsinfrastruktur- Anbieter und Core-Banking-Systemhersteller.
Befugnisse des Lead Overseers
Fuer jeden CTPP wird ein Lead Overseer (eine der drei ESAs) benannt, der umfangreiche Aufsichtsbefugnisse erhaelt:
- Informationsanforderungen: Der Lead Overseer kann jederzeit umfassende Informationen ueber die IKT-Sicherheitspraktiken, Risikokontrollen und Business-Continuity-Massnahmen des CTPPs anfordern
- Vor-Ort-Inspektionen: Der Lead Overseer kann Inspektionen in den Raeumlichkeiten des CTPPs durchfuehren — einschliesslich Rechenzentren und Buerostandorten
- Empfehlungen: Der Lead Overseer kann Empfehlungen aussprechen, die der CTPP befolgen oder begruendet ablehnen muss ("Comply or Explain")
- Zwangsgelder: Bei Nichtbefolgung von Empfehlungen kann der Lead Overseer Zwangsgelder von bis zu 1 % des durchschnittlichen taeglichen weltweiten Umsatzes des vorangegangenen Geschaeftsjahres verhaengen — und zwar pro Tag der Nichtbefolgung, fuer maximal sechs Monate
Diese Befugnisse sind beispiellos: Erstmals unterliegen Technologieunternehmen der direkten Finanzaufsicht in der EU. Details zum Drittparteienmanagement findest du auf unserer Seite zum Drittparteienrisiko.
DORA vs. NIS2: Sanktionen im Vergleich
DORA und die NIS2-Richtlinie haben unterschiedliche Ansaetze bei Sanktionen. Waehrend NIS2 konkrete Bussgeld-Obergrenzen definiert, verweist DORA auf das bestehende sektorale Aufsichtsrecht:
| Kriterium | DORA | NIS2 |
|---|---|---|
| Geltungsbereich | Finanzsektor (21 Unternehmenstypen) | 18 kritische Sektoren |
| Rechtsform | EU-Verordnung (direkt anwendbar) | EU-Richtlinie (nationale Umsetzung) |
| Bussgelder (Unternehmen) | Nationales Recht (sektoral) | Bis 10 Mio. EUR oder 2 % Umsatz |
| Bussgelder (CTPPs) | 1 % taeglicher Weltumsatz (pro Tag) | Nicht vorgesehen |
| Geschaeftsleiterhaftung | Ja (Art. 5) | Ja (Art. 20) |
| Direkte Aufsicht Dritter | Ja (Lead Overseer fuer CTPPs) | Nein |
| Naming and Shaming | Ja | Ja |
Finanzunternehmen, die unter beide Regelwerke fallen, muessen DORA als lex specialis vorrangig anwenden (Art. 1 Abs. 2 DORA). Dennoch koennen NIS2-Anforderungen ergaenzend gelten, sofern DORA einen Bereich nicht abdeckt.
Enforcement in der Praxis: Worauf die BaFin achtet
Die BaFin hat bereits signalisiert, dass sie DORA-Compliance als Schwerpunktthema in ihren Pruefungen verankern wird. Basierend auf den bestehenden Pruefpraktiken (MaRisk, BAIT) und den DORA-Anforderungen sind folgende Bereiche besonders pruefungsrelevant:
- Informationsregister: Vollstaendigkeit und Aktualitaet des Registers aller IKT-Drittdienstleister (Art. 28 Abs. 3) — ein sofort pruefbares Kriterium
- Meldeprozesse: Funktionsfaehigkeit der Meldekanale und Einhaltung der 4h/72h/30d-Fristen fuer schwerwiegende IKT-Vorfaelle
- Governance: Nachweisbare Einbindung des Leitungsorgans in das IKT-Risikomanagement inklusive Schulungsnachweise
- Vertragliche Anforderungen: Einhaltung der Mindestanforderungen an IKT-Vertraege gemaess Art. 30 — insbesondere Audit-Rechte und Exit-Klauseln
- Testprogramm: Nachweis regelmaessiger Resilienztests und Dokumentation der Ergebnisse
Reputationsrisiken nicht unterschaetzen
Neben den direkten finanziellen Sanktionen sind die indirekten Folgen einer Nichtbefolgung oft gravierender: oeffentliche Bekanntmachung von Verstaessen, Vertrauensverlust bei Kunden und Geschaeftspartnern, Erschwerung der Geschaeftsbeziehungen im regulierten Umfeld und erhoehte Pruefungsintensitaet durch die Aufsicht. Ein DORA-Verstoss kann zum Ausschluss aus Ausschreibungen und zum Verlust wichtiger Geschaeftsbeziehungen fuehren.
Einen vollstaendigen Ueberblick ueber alle Anforderungen findest du auf unserer Seite zu den DORA-Anforderungen.
Strafen vermeiden — jetzt DORA umsetzen
Die Kosten der Nichteinhaltung uebersteigen die Implementierungskosten bei weitem. Mit Kopexa setzt du die DORA-Anforderungen strukturiert und nachweisbar um — vom Informationsregister ueber das Vorfallsmanagement bis zur Audit-Readiness. Starte jetzt und minimiere dein Sanktionsrisiko.
Jetzt DORA-Compliance sicherstellenWeitere DORA-Themen
DORA-Übersicht
Pillar Page und Gesamtüberblick
Anforderungen
Alle DORA-Anforderungen im Überblick
IKT-Risikomanagement
Risikorahmen, Governance und Strategie (Art. 5–16)
Meldepflicht
IKT-Vorfälle melden: Fristen und Prozess (Art. 17–23)
Resilienztests
Basis-Tests und TLPT (Art. 24–27)
Drittparteienrisiko
IKT-Dienstleister managen (Art. 28–44)
Informationsregister
Das DORA-Informationsregister (Art. 28 Abs. 3)
Checkliste
10 Schritte zur DORA-Compliance
Kosten & Ablauf
Timeline, Budget und Ressourcen
BAIT/VAIT-Migration
Von BAIT/VAIT/KAIT/ZAIT zu DORA
Proportionalität
Vereinfachter Rahmen für Kleinstunternehmen (Art. 16)
ISO 27001 Mapping
Cross-Mapping und Dual-Compliance
Lass uns gemeinsam prüfen, wo du stehst
Kostenlos & unverbindlich