update page now

Neu: EU CAPTCHA – DSGVO-konformer Bot-Schutz. Jetzt 3 Monate kostenlos testen.

Home>

DORA (Digital Operational Resilience Act)

Paragraphzeichen in der Mitte der Europa Flagge

DORA (Digital Operational Resilience Act)

Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung, die Finanzunternehmen und ihre IT-Dienstleister zu digitaler Widerstandsfähigkeit verpflichtet. Seit dem 17. Januar 2025 findet DORA verbindlich Anwendung in allen EU-Mitgliedstaaten.

Jetzt absichern mit dem Myra DDoS Schutz

Auf einen Blick

  1. 1. Was ist DORA?
    1. 2. Warum wurde DORA eingeführt?
      1. 3. Welche Ziele verfolgt DORA?
        1. 4. Wen betrifft die DORA-Regulatorik?
          1. 5. Was fordert DORA? 5 zentrale Anforderungsbereiche
            1. 6. Was bedeutet DORA Compliance in der Praxis?
              1. 7. Wie unterstützt Myra Security bei der DORA Compliance?

                01

                Was ist DORA?

                Der Finanzsektor ist einer der am stärksten digitalisierten Wirtschaftsbereiche und damit auch einer der attraktivsten Angriffsziele für Cyberkriminelle. Operative IT-Vorfälle können bei grenzüberschreitend agierenden Finanzdienstleistern nicht nur ein einzelnes Unternehmen treffen, sondern ganze Teilsektoren destabilisieren. Mit der DORA-Verordnung hat die EU auf diese wachsende Bedrohungslage reagiert und einen einheitlichen Rechtsrahmen für DORA IT Security und digitale Resilienz im Finanzbereich geschaffen.

                Der Digital Operational Resilience Act (DORA) ist offiziell die EU-Verordnung (EU) 2022/2554. Sie ist seit dem 17. Januar 2023 in Kraft und soll sicherstellen, dass Banken, Versicherungen, Investmentfirmen und andere Finanzunternehmen IKT-Störungen – etwa Cyberangriffe oder Systemausfälle – standhalten, darauf reagieren und sich schnellstmöglich davon erholen können.

                Dazu legt DORA unter anderem einheitliche Anforderungen für das IKT-Risikomanagement, die Meldung von Vorfällen, Sicherheitstests und den Umgang mit externen IT-Dienstleistern fest. Ziel ist es, den europäischen Finanzsektor widerstandsfähiger gegen Cyberangriffe und digitale Störungen zu machen.

                DORA Timeline
                DORA Timeline
                Person arbeitet an einem Laptop

                02

                Warum wurde DORA eingeführt?

                Vor DORA konzentrierten sich die Risikomanagementvorschriften für Finanzinstitute in der EU in erster Linie darauf, sicherzustellen, dass Unternehmen über ausreichend Kapital zur Abdeckung operationeller Risiken verfügen. Einige EU-Regulatoren veröffentlichten zwar Leitlinien zum IKT- und Sicherheitsrisikomanagement, diese galten jedoch nicht für alle Finanzunternehmen gleichermaßen und stützten sich oft auf allgemeine Grundsätze statt auf konkrete technische Standards.

                 

                In Ermangelung EU-weiter IKT-Risikomanagementregeln erließen die Mitgliedstaaten eigene Anforderungen. Dieses Flickwerk an Regulierungen war für Finanzunternehmen schwierig zu überblicken und umzusetzen.

                 

                DORA harmonisiert nationale Regelungen zur Sicherheit von IT-Systemen im Finanzsektor und stärkt damit den europäischen Finanzmarkt als Ganzes gegen Cyberrisiken und IKT-Vorfälle. Grenzüberschreitend tätige Finanzunternehmen erhielten mit DORA zudem Rechtsklarheit zu Vorschriften für digitale Resilienz.

                03

                Welche Ziele verfolgt DORA?

                Allgemeines und oberstes Ziel von DORA ist es, IKT-Risiken umfassender anzugehen und die Betriebsstabilität digitaler Systeme im EU-Finanzsektor zu stärken. Die DORA-Regulatorik soll:

                • sicherstellen, dass Finanzunternehmen bewerten, wie wirksam ihre Präventions- und Resilienzmaßnahmen sind und wo ihre IKT-Anfälligkeiten liegen, damit entsprechende Risiken besser steuerbar sind.

                • Finanzaufsichtsbehörden den Zugang zu Informationen über IKT-bezogene Vorfälle ermöglichen, damit sie mehr Kenntnis von der aktuellen Bedrohungslage erlangen.

                • die Outsourcing-Vorschriften für die indirekte Beaufsichtigung von IKT-Drittanbietern schärfen.

                • eine direkte Beaufsichtigung der Tätigkeiten von IKT-Drittanbietern ermöglichen, wenn diese Dienstleistungen für Finanzunternehmen erbringen.

                • Anreize zum Informationsaustausch über Cyberbedrohungen im Finanzsektor schaffen.

                04

                Wen betrifft die DORA-Regulatorik?

                Die DORA-Regulatorik gilt für alle auf EU-Ebene regulierten Finanzunternehmen. Auch Unternehmen, die selbst keine Finanzdienstleistungen erbringen, aber als IT-Dienstleister für den Finanzsektor tätig sind, können unter die DORA-Regulatorik fallen. Betroffen sind unter anderem:

                 

                • Kreditinstitute und Banken

                • Versicherungs- und Rückversicherungsunternehmen

                • Wertpapierfirmen und Handelsplätze

                • Zahlungsdienstleister und E-Geld-Institute

                • Verwaltungsgesellschaften und Ratingagenturen

                • Kritische IKT-Drittanbieter wie Cloud-Dienstleister, Rechenzentrumsbetreiber und Managed Security Provider

                 

                Nach dem Grundsatz der Verhältnismäßigkeit sollen bei der Festlegung der Kernanforderungen in den verschiedenen Handlungsbereichen Unterschiede hinsichtlich Geschäftsmodell, Größe, Risikoprofil oder Systemrelevanz berücksichtigt werden. Beispielsweise müssen kleinere Finanzunternehmen weniger umfassende Maßnahmen zur Meldung von Vorfällen und Durchführung von Belastbarkeitstest ergreifen als große Institute.

                Trading diagramm am Handy

                05

                Was fordert DORA? 5 zentrale Anforderungsbereiche

                1. IKT-Risikomanagement

                • Der Vorstand trägt die Gesamtverantwortung für den IKT-Risikomanagementrahmen

                • Geschäftsfunktionen und diese unterstützende Informationsressourcen, die potenzielle Quellen eines IKT-Risikos darstellen, müssen identifiziert, klassifiziert und dokumentiert werden

                • IKT-Systeme sind kontinuierlich zu überwachen und zu schützen

                • Anomale Aktivitäten und Schwachstellen müssen umgehend erkannt werden

                • Unternehmen benötigen Notfallpläne zur Betriebsfortführung (Business Continuity) und Wiederherstellung

                • Firmen müssen einen Krisenkommunikationsplan erarbeiten

                2. Meldung von IKT-Vorfällen

                • Finanzunternehmen müssen einen strukturierten Incident-Management-Prozess einrichten und anwenden

                • IKT-Vorfälle sind zu klassifizieren und zu kategorisieren

                • Schwerwiegende Vorfälle müssen innerhalb festgelegter Fristen an die zuständige Aufsichtsbehörde gemeldet werden – mit harmonisierten Meldevorlagen

                3. Prüfung der digitalen Betriebsstabilität

                • Unternehmen müssen mindestens einmal im Jahr ein umfassendes Resilienztestprogramm für IKT-Systeme, -Prozesse und -Tools durchführen

                • Bestimmte Finanzinstitute sind verpflichtet, mindestens alle drei Jahre bedrohungsorientierte Penetrationstests (TLPT) durchzuführen

                4. Steuerung des Risikos durch IKT-Drittanbieter

                • Das Drittanbieterrisiko muss systematisch im IKT-Risikomanagementrahmen verankert sein

                • Vor Vertragsabschluss ist eine verpflichtende Risikoanalyse durchzuführen

                • Verträge mit IKT-Dienstleistern müssen klar definierte Rechte und Pflichten enthalten, inklusive Prüfungs-, Kündigungs- und Ausstiegsrechten

                • Konzentrationsrisiken (z. B. zu starke Abhängigkeit von einem einzigen Anbieter) sind zu vermeiden

                5. Informationsaustausch

                • DORA ermöglicht und fördert den freiwilligen Austausch von Bedrohungsdaten zwischen Finanzunternehmen

                • Dazu gehören Indikatoren für Kompromittierungen (IoCs), Taktiken, Techniken und Verfahren (TTPs) sowie Cybersicherheitswarnungen

                06


                Wie unterscheidet sich DORA von bestehenden Regelwerken?

                Viele Anforderungen der DORA-Verordnung sind aus zuvor bestehenden Regulierungen wie EBA-Leitlinien, MaRisk oder BAIT bekannt. DORA geht jedoch in einigen Bereichen gezielt darüber hinaus:

                  Bestehende Regelwerke

                  DORA-Anforderung

              2. IKT-Risikomanagement

                EBA-Leitlinien, MaRisk, BAIT

                Drittanbieter-Aufsicht

                Begrenzt

                Penetrationstests

                Empfehlung

                Incident Reporting

                National unterschiedlich

                Geltungsbereich

                Meist national

                IKT-Risikomanagement

                Erweiterte Anforderungen, Vorstandsverantwortung explizit geregelt

                Drittanbieter-Aufsicht

                Aufsichtsrahmen für kritische IKT-Drittanbieter durch die europäischen Aufsichtsbehörden (ESAs)

                Penetrationstests

                Verpflichtend alle 3 Jahre (TLPT) für bestimmte Institute

                Incident Reporting

                Harmonisierte EU-weite Meldestandards und -fristen

                Geltungsbereich

                Einheitlich in der gesamten EU

                Bereich
                Bestehende Regelwerke
                DORA-Anforderung

                IKT-Risikomanagement

                EBA-Leitlinien, MaRisk, BAIT

                Erweiterte Anforderungen, Vorstandsverantwortung explizit geregelt

                Drittanbieter-Aufsicht

                Begrenzt

                Aufsichtsrahmen für kritische IKT-Drittanbieter durch die europäischen Aufsichtsbehörden (ESAs)

                Penetrationstests

                Empfehlung

                Verpflichtend alle 3 Jahre (TLPT) für bestimmte Institute

                Incident Reporting

                National unterschiedlich

                Harmonisierte EU-weite Meldestandards und -fristen

                Geltungsbereich

                Meist national

                Einheitlich in der gesamten EU

                Ausschnitt einer Business Zeitung

                07

                Was bedeutet DORA Compliance in der Praxis?

                DORA Compliance bedeutet, dass ein Unternehmen alle fünf Anforderungsbereiche der Verordnung nachweisbar erfüllt. Das ist keine einmalige Aufgabe, sondern ein kontinuierlicher Prozess. Die wichtigsten Schritte:

                 

                1. Gap-Analyse: Bestehende IKT-Prozesse mit DORA-Anforderungen abgleichen

                2. Risikoregister aufbauen: Alle IKT-Assets und Abhängigkeiten dokumentieren

                3. Drittanbieter prüfen: Vertragliche Vereinbarungen anpassen, Risikoklassifizierung vornehmen

                4. Incident-Response-Plan entwickeln: Meldefristen und Zuständigkeiten definieren

                5. Testprogramm etablieren: Regelmäßige Sicherheitstests und Penetrationstests einplanen

                6. Schulungen durchführen: Mitarbeitende für DORA-relevante Prozesse sensibilisieren

                DORA Compliance

                08

                Wie unterstützt Myra Security bei der DORA Compliance?

                Als selbst durch DORA regulierter Schutzdienstleister erfüllt Myra Security alle technischen, prozessualen und vertraglichen Anforderungen, die mit der DORA-Regulatorik einhergehen. Unsere Kunden profitieren von umfassend zertifizierten und auditierten Lösungen und Prozessen. Diese adressieren direkt die technischen Schutzanforderungen der DORA IT Security:

                 

                • Myra DDoS Protection: Vollautomatischer Schutz vor Überlastungsangriffen – auch im akuten Angriffsfall bleiben Ihre Services erreichbar

                • Myra Web Application Firewall (WAF): Schutz vor schädlichen Zugriffen und Schwachstellen-Exploits in Webapplikationen

                • Myra Bot Management: Erkennung und Abwehr schädlicher Bots durch individuelle Bot-Fingerprints

                • Myra DNS: Zuverlässige Schutz der Namensauflösung, etwa vor DNS-Hijacking

                • Myra CDN: Hochperformante und ausfallsichere Content-Auslieferung für maximale Verfügbarkeit

                 

                Mehr über DORA Compliance mit Myra erfahren

                FAQ: Häufige Fragen zu DORA

                DORA steht für Digital Operational Resilience Act – zu Deutsch: Verordnung über die Betriebsstabilität digitaler Systeme des Finanzsektors. Es handelt sich um eine verbindliche EU-Verordnung, die Finanzunternehmen und ihre IKT-Dienstleister zu digitaler Widerstandsfähigkeit verpflichtet.

                Über den Autor

                Björn Greif

                Senior Editor

                Über den Autor

                Björn Greif startete seine Redakteurskarriere 2006 beim IT-Nachrichtenportal ZDNet. 10 Jahre und exakt 12.693 Artikel später engagierte er sich beim deutschen Start-up Cliqz für mehr Privatsphäre und Datenschutz im Web. Vom Datenschutz zur IT-Sicherheit war es dann nur noch ein kleiner Schritt: Seit 2020 schreibt Björn bei Myra über die neusten Trends und Entwicklungen in der Welt der Cybersecurity.

                © Myra Security GmbH 2026, alle Rechte vorbehalten

                Made in Germany.

                Responsible DisclosureImpressumDatenschutzPrivatsphäre-EinstellungenAGB