Pflegen Sie Ihr Informationsregister, führen Sie bedrohungsorientierte Penetrationstests durch, steuern Sie das IKT-Drittparteienrisiko und melden Sie schwerwiegende IKT-Vorfälle — die digitale operationale Resilienz, die DORA erwartet, in einem einzigen Arbeitsbereich.
In Kraft seit
Gilt seit 17. Januar 2025
Wer muss handeln
Banken, Versicherer, Wertpapierfirmen und andere EU-Finanzunternehmen — sowie ihre IKT-Anbieter
Höchststrafen
Bis zu 2% des gesamten weltweiten Jahresumsatzes (Art. 50)
DORA gilt für ein breites Spektrum von Finanzunternehmen nach Artikel 2 und bezieht IKT-Drittdienstleister — einschließlich der als kritisch eingestuften — in den Anwendungsbereich ein. Für Kleinstunternehmen gilt das Verhältnismäßigkeitsprinzip. Dies ist eine Orientierungshilfe, keine Rechtsberatung.
DORA vereinheitlicht die digitale operationale Resilienz des EU-Finanzsektors über fünf Säulen:
Ein IKT-Risikomanagementrahmen unter einem verantwortlichen Leitungsorgan betreiben, der Schutz, Erkennung, Reaktion und Wiederherstellung abdeckt.
IKT-bezogene Vorfälle nach Schweregrad klassifizieren und schwerwiegende Vorfälle der zuständigen Behörde über einen Erst-, Zwischen- und Abschlussbericht melden.
Ein Testprogramm unterhalten; bedeutende Unternehmen führen mindestens alle drei Jahre bedrohungsorientierte Penetrationstests (TLPT) durch.
Das IKT-Drittparteienrisiko über den gesamten Lebenszyklus steuern, die verpflichtenden Vertragsklauseln vorhalten und ein Informationsregister über jede Vereinbarung zu IKT-Diensten führen.
Verwandeln Sie die fünf Säulen in nachverfolgte, mit Nachweisen belegte Register und Programme — ohne Tabellenkalkulationen.
Erstellen und pflegen Sie Ihr Informationsregister nach Artikel 28 zu allen IKT-Vertragsvereinbarungen, bereit zur Meldung an Ihre Behörde.
Planen und verfolgen Sie bedrohungsorientierte Penetrationstests über den mehrjährigen Zyklus — mit Umfang, Phasen und Ergebnissen an einem Ort.
Klassifizieren Sie IKT-bezogene Vorfälle nach Schweregrad und bereiten Sie die Meldungen schwerwiegender Vorfälle vor, die Ihre zuständige Behörde erwartet.
Nutzen Sie IKT-Kontrollen über NIS2, die EU-KI-Verordnung und ISO 42001 hinweg mit der Framework-Mapping-Engine.
DORA gilt für ein breites Spektrum von EU-Finanzunternehmen — darunter Banken, Zahlungs- und E-Geld-Institute, Wertpapierfirmen, Versicherer und Rückversicherer, Fondsverwalter, Zentralverwahrer, Handelsplätze und Anbieter von Krypto-Dienstleistungen — sowie für die sie unterstützenden IKT-Drittdienstleister, mit einem direkten EU-Aufsichtsregime für die als kritisch eingestuften.
DORA ist am 16. Januar 2023 in Kraft getreten und gilt seit dem 17. Januar 2025.
Nach Artikel 28 muss jedes Finanzunternehmen ein Informationsregister führen, das alle vertraglichen Vereinbarungen über die Nutzung von IKT-Diensten Dritter dokumentiert. Die zuständigen Behörden können es anfordern, und die Unternehmen übermitteln es ihnen jährlich.
TLPT (Artikel 24–27) ist ein fortgeschrittener, nachrichtendienstlich gestützter Test, der reale Angreifer gegen Live-Systeme nachstellt. Bedeutende Finanzunternehmen müssen ihn mindestens alle drei Jahre durchführen, nach den an TIBER-EU angelehnten Standards.
Die Mitgliedstaaten legen wirksame, verhältnismäßige und abschreckende Verwaltungssanktionen fest (Artikel 50); wesentliche Verstöße können bis zu 2% des gesamten weltweiten Jahresumsatzes erreichen. Für einen kritischen IKT-Drittdienstleister kann der federführende Überwacher Zwangsgelder von bis zu 1% des durchschnittlichen weltweiten Tagesumsatzes verhängen (Artikel 35 Absatz 6).
Machen Sie die kostenlose Selbsteinschätzung, um Ihre DORA-Bereitschaft in wenigen Minuten einzuschätzen — ohne Konto.