DORA für Banken und Finanzdienstleister

DORA EU 2022/2554: Was seit Januar 2025 gilt

Seit dem 17. Januar 2025 gilt die Verordnung (EU) 2022/2554 , besser bekannt als DORA (Digital Operational Resilience Act), unmittelbar in allen EU-Mitgliedstaaten. Anders als eine Richtlinie muss DORA nicht erst in nationales Recht umgesetzt werden. Die Verordnung ist direkt bindend und gilt ab Stichtag ohne Umsetzungsspielraum. Für Banken, Versicherungen, Fintechs, Zahlungsdienstleister und Krypto-Asset-Dienstleister bedeutet das: Die Übergangszeit ist vorbei.

Der Anwendungsbereich von DORA ist bewusst breit gefasst. Die Verordnung erfasst mehr als 20 Kategorien von Finanzunternehmen. Neben klassischen Kreditinstituten und Wertpapierfirmen fallen auch Zahlungsinstitute, E-Geld-Institute, Versicherungsunternehmen, Rückversicherer, Ratingagenturen, Handelsplätze und Krypto-Asset-Dienstleister in den Geltungsbereich. Selbst Crowdfunding-Plattformen und Datenbereitstellungsdienste sind betroffen. Wenn dein Unternehmen von der BaFin beaufsichtigt wird, ist die Wahrscheinlichkeit hoch, dass DORA für dich gilt.

Der entscheidende Unterschied zu bisherigen Regelungen wie MaRisk und BAIT: DORA ist eine EU-Verordnung, keine nationale Verwaltungsvorschrift. Das bedeutet europaweite Harmonisierung der Anforderungen an die digitale operationelle Resilienz. Für Institute, die in mehreren EU-Ländern tätig sind, entfällt damit das Patchwork nationaler Aufsichtsanforderungen. Gleichzeitig steigt die Messlatte: DORA geht in vielen Bereichen über die bisherigen MaRisk/BAIT-Anforderungen hinaus.

Die BaFin hat unmissverständlich klargestellt, dass sie die Einhaltung von DORA ab dem ersten Tag prüfen wird. Institute, die noch Lücken in ihrer Umsetzung haben, sollten diese mit höchster Priorität schließen. Die Aufsicht erwartet keine Perfektion zum Stichtag, wohl aber einen nachweisbaren Umsetzungsplan und dokumentierten Fortschritt.

Die 5 DORA-Säulen aus Bankenperspektive

DORA gliedert die Anforderungen an die digitale operationelle Resilienz in fünf Kernbereiche. Für Banken und Finanzdienstleister in Deutschland ist es entscheidend, diese Säulen nicht als abstrakte Regulatorik zu betrachten, sondern als konkrete Handlungsfelder für den täglichen Betrieb.

1. ICT-Risikomanagement (Art. 5-16)

Das Herzstück von DORA. Jedes Finanzunternehmen muss einen umfassenden ICT-Risikomanagementrahmen einrichten, der direkt der Geschäftsleitung unterstellt ist. Für eine Bank bedeutet das konkret: Du brauchst ein dokumentiertes ICT-Risikoregister, das sämtliche informationsverarbeitenden Systeme erfasst, von der Kernbankenanwendung über das Online-Banking bis zu internen Kommunikationstools. Die Geschäftsleitung haftet persönlich für die Angemessenheit des Rahmens. Das ist keine Delegation an die IT-Abteilung, sondern eine Vorstandsaufgabe. Business Impact Analysen müssen regelmäßig durchgeführt werden, Wiederherstellungsziele (RTO/RPO) müssen für kritische Funktionen definiert sein, und die ICT-Strategie muss nachweislich auf die Geschäftsstrategie abgestimmt sein.

2. ICT-bezogenes Incident Management (Art. 17-23)

DORA formalisiert, was viele Institute bisher nur rudimentär umgesetzt haben: einen strukturierten Prozess für ICT-bezogene Vorfälle. Das beginnt bei der Klassifizierung von Vorfällen nach Art. 18 (Schwere, Dauer, betroffene Kunden, Datenverlust) und endet bei der Meldepflicht an die BaFin. Schwerwiegende ICT-Vorfälle müssen innerhalb von 72 Stunden gemeldet werden, mit Zwischenberichten und einem Abschlussbericht. Für eine Bank mit Millionen von Transaktionen pro Tag ist das keine Trivialität. Dein Incident-Response-Plan muss klar definieren, wer wann was meldet, über welche Kanäle und mit welchem Detailgrad. Ursachenanalysen sind Pflicht, und die Ergebnisse müssen in die Verbesserung des ICT-Risikomanagements zurückfließen.

3. Digital Operational Resilience Testing (Art. 24-27)

DORA verlangt regelmäßige Tests der digitalen operationellen Resilienz. Für alle Finanzunternehmen gilt: Mindestens jährliche Schwachstellenscans und szenariobasierte Tests. Für systemrelevante Institute kommt eine zusätzliche Anforderung hinzu: Threat-Led Penetration Testing (TLPT) nach Art. 26-27. Das sind keine gewöhnlichen Penetrationstests, sondern bedrohungsbasierte Red-Team-Übungen, die reale Angriffsszenarien simulieren. Die BaFin bestimmt, welche Institute TLPT durchführen müssen. In der Praxis betrifft das Großbanken, systemrelevante Versicherungen und Finanzmarktinfrastrukturen. TLPT-Ergebnisse müssen der Aufsicht vorgelegt werden und fließen in die Bewertung der operationellen Resilienz ein.

4. ICT-Drittparteienrisiko (Art. 28-44)

Für Banken, die ihre IT zunehmend an Cloud-Provider, Rechenzentren und Softwarehersteller auslagern, ist diese Säule besonders relevant. DORA verlangt ein vollständiges Register aller ICT-Drittanbieter , einschließlich Subunternehmer. Jeder Vertrag muss Klauseln zu Sicherheitsanforderungen, Auditrechten, Exit-Strategien und Datenlokation enthalten. Konzentrationsrisiken müssen bewertet werden: Wenn deine Kernbankenanwendung, dein Online-Banking und dein Data Warehouse beim selben Cloud-Provider laufen, musst du dieses Risiko explizit adressieren. Besonders kritische ICT-Drittanbieter (z. B. große Cloud-Hyperscaler) unterliegen zudem der direkten Aufsicht durch die ESAs, also EBA, EIOPA und ESMA.

5. Informationsaustausch (Art. 45)

Die fünfte Säule ist vergleichsweise schlank, aber nicht unwichtig. DORA erlaubt und ermutigt Finanzunternehmen zum Austausch von Cyber-Threat-Intelligence untereinander. Für Banken in Deutschland gibt es bereits etablierte Strukturen wie das BSI-Lagebild oder sektorspezifische ISACs (Information Sharing and Analysis Centers). DORA formalisiert diesen Austausch und schafft einen rechtlichen Rahmen dafür. Du musst sicherstellen, dass Informationen über Bedrohungen, Verwundbarkeiten und Indicators of Compromise (IoCs) zeitnah geteilt und empfangen werden können, ohne gegen Datenschutz- oder Wettbewerbsvorschriften zu verstoßen.

RTS/ITS: Welche Technical Standards final sind

Die europäischen Aufsichtsbehörden (ESAs) haben DORA durch sogenannte Regulatory Technical Standards (RTS) und Implementing Technical Standards (ITS) konkretisiert. Diese Standards detaillieren, wie die abstrakten DORA-Anforderungen in der Praxis umzusetzen sind. Bis Ende 2024 wurden zwei Batches verabschiedet. Der erste Batch umfasst unter anderem RTS zum ICT-Risikomanagementrahmen, zur Klassifizierung von Vorfällen und zu den Meldeformularen. Der zweite Batch spezifiziert die TLPT-Anforderungen, das Drittanbieter-Register und die Konzentrationsrisikoanalyse. Für dein Institut bedeutet das: Die konkreten Anforderungen stehen fest. Es gibt keinen Interpretationsspielraum mehr bei der Frage, welche Informationen das ICT-Risikoregister enthalten muss oder wie Drittanbieterverträge strukturiert sein müssen.

MaRisk/BAIT zu DORA: Was bleibt, was ist neu

Für Institute in Deutschland war die Kombination aus MaRisk (Mindestanforderungen an das Risikomanagement) und BAIT (Bankaufsichtliche Anforderungen an die IT) bisher der maßgebliche Rahmen für IT-Risikomanagement. Mit DORA ändert sich das grundlegend: DORA ersetzt nicht MaRisk insgesamt, aber die IT-spezifischen Teile von MaRisk und die gesamte BAIT werden durch DORA überlagert.

Was bleibt: Die allgemeinen Governance-Anforderungen aus MaRisk (Risikomanagement, internes Kontrollsystem, Compliance-Funktion) gelten weiterhin. MaRisk AT 7.2 (technisch-organisatorische Ausstattung) wird jedoch durch die deutlich detaillierteren DORA-Anforderungen ersetzt.

Was neu ist: DORA geht in mehreren Bereichen über BAIT hinaus. Das betrifft insbesondere das ICT-Drittanbieter-Register (BAIT kannte kein formalisiertes Register), die TLPT-Pflicht für systemrelevante Institute (BAIT kannte nur generische Pen-Tests), die Meldepflichten bei ICT-Vorfällen (BAIT hatte keine vergleichbaren Fristen) und die persönliche Verantwortung der Geschäftsleitung für den ICT-Risikomanagementrahmen. Wenn du dein ISMS bisher an BAIT ausgerichtet hast, wirst du feststellen, dass etwa 60 bis 70 Prozent der Anforderungen deckungsgleich sind. Die verbleibenden 30 bis 40 Prozent erfordern jedoch erhebliche Nacharbeit, insbesondere bei Drittanbieter-Management, Resilienztests und Incident Reporting.

Sanktionen: Bis 1 % des weltweiten Tagesumsatzes

DORA gibt den nationalen Aufsichtsbehörden weitreichende Sanktionsbefugnisse. In Deutschland ist die BaFin für die Durchsetzung zuständig. Die Verordnung sieht Geldbußen von bis zu 1 % des durchschnittlichen weltweiten Tagesumsatzes des vorangegangenen Geschäftsjahres vor. Bei einer Großbank kann das schnell zweistellige Millionenbeträge erreichen.

Darüber hinaus kann die BaFin Verwaltungsmaßnahmen ergreifen: öffentliche Rügen, Anordnungen zur Einstellung bestimmter Geschäftspraktiken und im Extremfall den Entzug der Geschäftserlaubnis. Für Vorstände und Geschäftsleiter kommt eine persönliche Dimension hinzu: Die persönliche Haftung für Mängel im ICT-Risikomanagement ist in DORA explizit verankert. Das bedeutet nicht nur finanzielle Risiken, sondern auch reputationelle Konsequenzen für die verantwortlichen Personen.

Nächste Schritte

Du möchtest tiefer in einzelne DORA-Themen einsteigen? Hier findest du weiterführende Inhalte, die dir helfen, dein Institut auf die regulatorischen Anforderungen vorzubereiten:

• DORA Content Hub mit dem vollständigen DORA-Anforderungskatalog und Umsetzungsleitfäden
• ICT-Risikomanagement nach DORA mit Details zu Art. 5-16, ICT-Risikoregister und Drittanbieter-Register
• BaFin-Readiness mit Kopexa mit TLPT-Anforderungen, Resilienztests und Export-Formaten
• Risikomanagement-Feature in Kopexa für ICT-Risikoregister und Maßnahmen-Tracking