Wenn man sich mit dem Digital Operational Resilience Act – kurz DORA – beschäftigt, stellt sich schnell die Frage, wen diese EU‐Verordnung eigentlich betrifft. Auf den ersten Blick scheint die Antwort einfach: „Die Finanzbranche.“ Doch wer genauer hinschaut, erkennt, dass DORA nicht nur Banken und Versicherungen ins Visier nimmt, sondern einen weitaus größeren Kreis von Unternehmen – und dass manche Akteure überrascht sein könnten, wie direkt sie unter die neuen Vorgaben fallen. Die EU hat den Anwendungsbereich bewusst breit gefasst, um nicht nur die großen, offensichtlichen Player zu erfassen, sondern das gesamte digitale Ökosystem, das den europäischen Finanzmarkt stützt. Die Logik dahinter ist simpel und schlüssig: Digitale Resilienz funktioniert nur dann, wenn nicht nur die sichtbarsten Akteure abgesichert sind, sondern auch alle kritischen Verbindungen dazwischen.

Der Grundgedanke: Resilienz entlang der gesamten Wertschöpfungskette

DORA ist konzipiert als Querschnittsregelwerk über den Finanzsektor hinweg. Statt einzelne Institutionstypen isoliert zu betrachten, verknüpft die Verordnung die betriebliche Widerstandsfähigkeit von Finanzunternehmen mit der ihrer IKT‐Lieferkette (Informations- und Kommunikationstechnologie). Das bedeutet: Ein Institut, das seine Kernprozesse verlässlich betreibt, ist nur dann wirklich resilient, wenn auch die technischen Dienstleister, auf die es sich stützt, robust, transparent und gut gesteuert sind. Genau deshalb erfasst DORA sowohl die „klassischen“ Finanzunternehmen als auch – direkt oder indirekt – die Drittparteien, die deren digitale Grundversorgung sicherstellen, etwa Cloud-, Rechenzentrums-, Software-, Sicherheits- oder Kommunikationsanbieter.

Der Digital Operational Resilience Act (DORA) ist mehr als nur ein weiteres EU-Regelwerk. Er ist ein Paradigmenwechsel in der Art und Weise, wie Finanzunternehmen und ihre Dienstleister digitale Resilienz verstehen und umsetzen müssen. Mit dem Stichtag 17. Januar 2025 rückt die Frist für die vollständige Umsetzung näher, und in vielen Organisationen ist die Erkenntnis gereift: Wer jetzt nicht mit einem strukturierten Fahrplan startet, wird später unter Zeitdruck geraten und riskieren, halbherzige Lösungen einzuführen, die weder den regulatorischen Anforderungen noch den eigenen Sicherheitsbedürfnissen gerecht werden. DORA-Compliance ist kein „Ordner mit Policies“, sondern die Fähigkeit, unter massiven digitalen Störungen handlungsfähig zu bleiben – messbar, prüfbar, wiederholbar.

DORA in 60 Sekunden

DORA harmonisiert europaweit die Anforderungen an die digitale Betriebsstabilität (Operational Resilience) im Finanzsektor. Der Kern lässt sich in fünf Säulen einordnen:

Die neue NIS2-Richtlinie gilt als Meilenstein in der europäischen Cybersicherheitsgesetzgebung. Sie weitet den Anwendungsbereich deutlich aus, erhöht die Anforderungen und sieht spürbare Sanktionen vor. Für viele Unternehmen ist NIS2 jedoch nicht nur eine regulatorische Vorgabe, sondern auch eine ernsthafte organisatorische und technische Herausforderung. Denn zwischen dem Verständnis der Richtlinie und ihrer praktischen Umsetzung liegen oft Welten. Viele starten motiviert, geraten aber auf halber Strecke ins Stocken – nicht aus bösem Willen, sondern weil die Stolpersteine dort liegen, wo man sie zunächst gar nicht vermutet.

Dieser Beitrag zeigt die häufigsten Fallstricke, erklärt, warum sie gefährlich sind, und beschreibt konkrete Gegenmaßnahmen. Ziel ist, NIS2 nicht nur als Pflicht zu betrachten, sondern als Chance, die eigene Cyber-Resilienz nachhaltig zu stärken – mit klaren Verantwortlichkeiten, gelebten Prozessen und belastbaren Nachweisen.

Die EU verschärft ihre Anforderungen an die IT-Sicherheit – und zwar deutlich. Mit der NIS2-Richtlinie tritt ab Ende 2024 ein Regelwerk in Kraft, das für viele Unternehmen zum ersten Mal echte gesetzliche Pflichten im Bereich Cybersicherheit mit sich bringt. Die ursprüngliche NIS-Richtlinie aus dem Jahr 2016 war ein erster Schritt in Richtung mehr Resilienz gegen Cyberangriffe, wurde jedoch in vielen Mitgliedstaaten zu zögerlich umgesetzt. Die Unterschiede zwischen den Ländern waren groß, und viele kritische Branchen blieben außen vor. NIS2 will genau das ändern: einheitliche Standards in ganz Europa schaffen, den Anwendungsbereich massiv erweitern und bei Verstößen spürbare Konsequenzen durchsetzen.

Für Unternehmen bedeutet das: Wer bisher dachte, nicht zu den „klassischen“ Betreibern kritischer Infrastrukturen zu gehören, könnte jetzt überraschend feststellen, dass er doch betroffen ist. Der Geltungsbereich wurde so ausgeweitet, dass nicht nur Stromversorger oder Krankenhäuser, sondern auch IT-Dienstleister, Logistikunternehmen, Lebensmittelproduzenten oder Betreiber von Online-Plattformen in den Fokus rücken. Die Umsetzungsfrist läuft am 17. Oktober 2024 ab – wer bis dahin nicht vorbereitet ist, riskiert Bußgelder, Aufsichtsmaßnahmen und Reputationsschäden. Gleichzeitig eröffnet NIS2 die Chance, Sicherheit strukturiert auf ein neues Niveau zu heben – mit messbarem Nutzen für Betrieb, Kundenvertrauen und Krisenfestigkeit.

Die NIS2-Richtlinie ist beschlossen, die Frist zur nationalen Umsetzung läuft – und für viele Unternehmen stellt sich jetzt die Frage: Wie fange ich an? Die Umsetzung ist mehr als ein paar technische Anpassungen. Sie verlangt ein strukturiertes Vorgehen, das rechtliche Anforderungen, organisatorische Prozesse und technische Maßnahmen sauber miteinander verbindet. Wer unvorbereitet startet, verzettelt sich leicht in Detailfragen, investiert zu früh in falsche Tools oder lässt kritische Lücken beim Incident-Handling, in der Lieferkette oder im Reporting. Gleichzeitig wächst der Druck: Sobald die Vorgaben im nationalen Recht scharf geschaltet sind, drohen Bußgelder, aufsichtsrechtliche Prüfungen und – wichtiger als alles andere – echte Sicherheitsrisiken bei unzureichender Resilienz.

Der rote Faden dieses Beitrags ist ein praktikabler 5-Schritte-Plan. Er beantwortet die drei Kernfragen „Bin ich betroffen?“, „Wo stehe ich?“ und „Wie komme ich planvoll in den Soll-Zustand?“ – und zwar mit der nötigen Tiefe, ohne in Bürokratismus abzurutschen. Ergänzend finden Sie konkrete Artefakte, Verantwortlichkeiten, Zeitpläne, Kennzahlen und Stolpersteine aus der Praxis, damit NIS2 nicht zum Großprojekt ohne Ende, sondern zum belastbaren Betriebszustand wird.