DORA einfach erklärt – Was das neue EU-Gesetz wirklich bedeutet

DORA einfach erklärt – Was das neue EU-Gesetz wirklich bedeutet

Seit Jahren diskutieren Politik, Wirtschaft und IT-Sicherheits-Expert:innen über die Frage, wie man die digitale Widerstandsfähigkeit (Resilienz) von Finanzunternehmen in Europa einheitlich, verbindlich und zukunftsfähig gestalten kann. Cyberangriffe, Systemausfälle und Abhängigkeiten von kritischen Dienstleistern sind längst nicht mehr theoretische Risiken, sondern harte Realität. Mit dem Digital Operational Resilience Act – kurz DORA – hat die Europäische Union nun ein Regelwerk geschaffen, das genau hier ansetzt: einheitliche, verbindliche und umfassende Anforderungen an den Umgang mit IKT-Risiken in der Finanzbranche. Das Ziel ist klar: Finanzunternehmen sollen in der Lage sein, auch unter extremen digitalen Störungen weiter handlungsfähig zu bleiben. Doch was heißt das konkret? Und warum betrifft es so viele Unternehmen viel direkter, als manche denken?

Was steckt hinter DORA?

DORA ist kein einzelner Standard, sondern eine EU-Verordnung, die ab dem 17. Januar 2025 verbindlich gilt. Als Verordnung ist DORA unmittelbar in allen Mitgliedsstaaten wirksam – es braucht keine nationale Umsetzung in Form von Gesetzen oder Verordnungen. Damit verfolgt die EU einen klaren Ansatz: Weg von national unterschiedlichen Anforderungen hin zu einem einheitlichen, europäischen Rahmenwerk für digitale Resilienz.

Kernidee: Während es bisher viele Regelwerke für einzelne Teilbereiche gab – etwa zur Informationssicherheit (ISO 27001), zum Risikomanagement (MaRisk, EBA-Leitlinien) oder zum Business Continuity Management (BCM) – verknüpft DORA diese Themen in einem durchgängigen, integrierten Ansatz. Es geht nicht nur um Cybersecurity im engeren Sinn, sondern um Operational Resilience: die Fähigkeit, kritische Geschäftsprozesse selbst bei massiven IT-Störungen oder Cyberangriffen fortzuführen.

Wen betrifft DORA?

Die Reichweite von DORA ist groß – größer, als viele zunächst vermuten. Betroffen sind nicht nur klassische Banken und Versicherer, sondern über 20 Kategorien von Finanzmarktteilnehmern, darunter:

• Kreditinstitute
• Versicherungsunternehmen
• Wertpapierfirmen und Handelsplätze
• Zahlungs- und E-Geld-Institute
• Fondsverwalter und Vermögensverwalter
• Ratingagenturen
• Krypto-Dienstleister
• Börsen und Abwicklungsinfrastrukturen
• Rechenzentren und Cloud-Anbieter, die als kritische Drittanbieter eingestuft werden

Bemerkenswert: Auch kritische IKT-Drittanbieter (Critical ICT Third-Party Service Providers) wie große Cloud-Plattformen, Zahlungsdienstleister oder Kernbankensoftware-Anbieter fallen unter direkte Aufsicht – ein Novum in der europäischen Regulierung.

Die 5 Kernpfeiler von DORA

DORA strukturiert seine Anforderungen in fünf Hauptbereiche, die zusammen das Fundament für digitale Resilienz bilden:

1. IKT-Risikomanagement

Unternehmen müssen ein robustes, dokumentiertes und getestetes Risikomanagement für Informations- und Kommunikationstechnologien etablieren. Dazu gehören Risikoidentifikation, Bewertung, Steuerung und Überwachung. Die Maßnahmen müssen proportional zum Risikoprofil des Unternehmens sein, aber stets den aktuellen Bedrohungslagen entsprechen.

2. Incident Reporting

DORA definiert einheitliche Kriterien, Fristen und Formate für die Meldung schwerwiegender IKT-Vorfälle an die zuständigen Behörden. Ziel: schnellere, vergleichbare und koordinierte Reaktionen auf europaweiter Ebene.

3. Digital Operational Resilience Testing

Regelmäßige Tests – von Schwachstellenanalysen bis hin zu fortgeschrittenen Threat-Led Penetration Tests (TLPT) – werden verpflichtend. Umfang und Tiefe hängen vom Risikoprofil ab, aber selbst kleinere Finanzunternehmen müssen technische und organisatorische Resilienztests durchführen.

4. IKT-Drittparteienrisiko

Outsourcing und Cloud-Nutzung stehen unter besonderer Beobachtung. Unternehmen müssen sicherstellen, dass ihre Lieferanten den DORA-Anforderungen entsprechen – inklusive vertraglicher Regelungen, Exit-Strategien und kontinuierlicher Überwachung.

5. Informationsaustausch

DORA fördert den freiwilligen, aber strukturierten Austausch von Cyberbedrohungsinformationen zwischen Finanzmarktteilnehmern, um gemeinsame Abwehrfähigkeiten zu stärken.

Warum DORA eingeführt wurde

Die Hintergründe sind klar: Cyberangriffe auf die Finanzbranche nehmen zu – in Häufigkeit, Komplexität und Schadenshöhe. Gleichzeitig sind Finanzdienstleister hochgradig vernetzt und oft abhängig von denselben kritischen Dienstleistern. Ein Ausfall bei einem großen Cloud-Anbieter könnte zeitgleich hunderte Institute in mehreren EU-Ländern treffen. DORA ist also auch eine Reaktion auf systemische Risiken: Wenn ein Vorfall nicht nur ein einzelnes Unternehmen betrifft, sondern gleich ganze Teile des Finanzsystems.

Was bedeutet DORA in der Praxis?

Für viele Unternehmen wird DORA bedeuten, dass sie bestehende Prozesse, Richtlinien und Systeme nicht nur anpassen, sondern teilweise grundlegend neu strukturieren müssen. Beispiele:

• Einführung oder Erweiterung eines integrierten ISMS (Informationssicherheitsmanagementsystems)
• Schärfere und regelmäßigere Testverfahren
• Einheitliche und beschleunigte Meldeprozesse
• Stärkere Lieferantenkontrolle, insbesondere bei Cloud-Diensten
• Umfassendere Dokumentation und Nachweisführung gegenüber Aufsichtsbehörden

DORA ist mehr als Compliance

Es wäre ein Fehler, DORA nur als regulatorische Pflicht zu sehen. Richtig umgesetzt, kann DORA ein Wettbewerbsvorteil sein. Unternehmen, die digitale Resilienz ernst nehmen, sind nicht nur regulatorisch abgesichert, sondern auch besser aufgestellt gegenüber Kunden, Partnern und Investoren. In einer Zeit, in der Vertrauen ein entscheidender Erfolgsfaktor ist, kann ein robustes Resilienz-Framework zur Markenstärkung beitragen.

Fazit: Jetzt handeln, nicht warten

DORA ist nicht nur ein weiteres Gesetz – es ist der Versuch, die digitale Resilienz der europäischen Finanzbranche auf ein neues, einheitliches Niveau zu heben. Wer jetzt proaktiv startet, hat genug Zeit, Prozesse anzupassen, Systeme zu prüfen und Teams zu schulen. Wer wartet, riskiert Hektik, teure Ad-hoc-Lösungen und mögliche Sanktionen.

Der Countdown läuft: Ab Januar 2025 wird DORA Realität – und wer dann vorbereitet ist, wird nicht nur den Stresstest bestehen, sondern gestärkt daraus hervorgehen.