Stand: März 2026
Mit der DORA Verordnung — offiziell Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor — hat die Europäische Union eine finanzsektorweite Regulierung für die Themen Cybersicherheit, IKT-Risiken und digitale operationale Resilienz geschaffen. Kurz gesagt: Wer im Finanzsektor tätig ist oder als IT-Dienstleister für Banken, Versicherungen oder ähnliche Institute arbeitet, steht vor verbindlichen neuen Pflichten. Und das nicht irgendwann — sondern seit dem 17. Januar 2025.
Cyberangriffe, Systemausfälle und IKT-Risiken (also Risiken aus der Informations- und Kommunikationstechnologie) sind längst keine Ausnahmeerscheinung mehr — sie sind ein strukturelles Risiko für Finanz- und Versicherungsdienstleister in der gesamten EU. Genau hier setzt die DORA Verordnung an. Wer bisher nicht mit dem Thema in Berührung gekommen ist, sollte jetzt handeln — denn die Aufsichtsbehörden prüfen bereits aktiv.
Was ist die DORA Verordnung — und warum gilt sie?
Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung, die im Januar 2023 in Kraft getreten ist. Sie ist Teil des digitalen Finanzpakets der EU-Kommission mit dem Ziel, die digitale Widerstandsfähigkeit des europäischen Finanzmarkts zu erhöhen. Da es sich bei DORA um eine EU-Verordnung handelt, ist eine Umsetzung in nationales Recht nicht notwendig — sie gilt unmittelbar in allen Mitgliedstaaten. Richtlinien wie die frühere NIS-Richtlinie mussten erst in nationale Gesetze überführt werden; bei DORA entfällt dieser Schritt.
Das Europäische Parlament und der Europäische Rat haben am 14. Dezember 2022 DORA, die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor, beschlossen. Die Verordnung wurde am 27. Dezember 2022 im Amtsblatt der Europäischen Union veröffentlicht und wird seit dem 17. Januar 2025 angewendet. Die zweijährige Vorbereitungsphase war bewusst einkalkuliert — die Umsetzungsanforderungen sind komplex.
In Deutschland ergänzt das Finanzmarktdigitalisierungsgesetz (FinmadiG) die Verordnung. Das FinmadiG regelt seit Dezember 2024 ergänzend die Durchführung und Integration von DORA ins deutsche Aufsichtsrecht. In Deutschland wird die Umsetzung der DORA-Verordnung durch das Finanzmarktdigitalisierungsgesetz (FinmadiG) flankiert, das den Anwendungsbereich auf sämtliche Institute nach dem Kreditwesengesetz (KWG) ausweitet. Die BaFin und die Deutsche Bundesbank übernehmen die zentrale Rolle bei der Aufsicht und Kontrolle der Einhaltung der neuen Anforderungen.
Kernaussage: Die DORA Verordnung schafft erstmals einen einheitlichen EU-weiten Rahmen für das Management von IKT-Risiken im Finanzsektor — und gilt seit Januar 2025 ohne Übergangsfrist unmittelbar für alle betroffenen Unternehmen.
Wen betrifft die DORA Verordnung?
Der Digital Operational Resilience Act gilt für nahezu alle Unternehmen der Finanz- und Versicherungswirtschaft in der EU, darunter Banken, Versicherungen, Kapitalverwaltungsgesellschaften, Zahlungs- und E-Geld-Institute, Wertpapierfirmen, Krypto-Dienstleister, Pensionskassen sowie Betreiber von Handelsplätzen und Verwahrstellen.
DORA gilt seit dem 17. Januar 2025 verbindlich für über 22.000 Finanzunternehmen in der EU, darunter ca. 3.600 in Deutschland. Das ist eine beachtliche Zahl — und zeigt, wie breit der Anwendungsbereich tatsächlich ist.
Besonders bedeutsam: Die Verordnung greift auch über den klassischen Finanzsektor hinaus. Besonders weitreichend ist DORA, weil sie auch IKT-Drittdienstleister in die Verantwortung nimmt. Dazu zählen IT-Outsourcing-Partner, Cloud-Service-Anbieter, Datenzentren, Infrastrukturbetreiber und andere Unternehmen, die für den sicheren, stabilen Betrieb der IT-Systeme von Finanzdienstleistern essenziell sind.
- Banken und Kreditinstitute. Traditionelle und digitale Banken unterliegen vollumfänglich den DORA-Anforderungen — ohne Ausnahme.
- Versicherungen und Rückversicherer. Auch die Versicherungswirtschaft ist vollständig erfasst, einschließlich Pensionskassen ab einer bestimmten Größe.
- Zahlungsdienstleister und E-Geld-Institute. Wer Zahlungsverkehr abwickelt oder elektronisches Geld ausgibt, fällt ebenso in den Anwendungsbereich.
- Krypto-Dienstleister. Anbieter von Kryptowerte-Dienstleistungen nach der MiCAR-Verordnung sind explizit eingeschlossen.
- IKT-Drittdienstleister. Cloud-Anbieter, Softwarehäuser und Rechenzentren, die für Finanzunternehmen tätig sind, unterliegen eigenen DORA-Pflichten — auch wenn sie selbst keine Finanzunternehmen sind.
Die DORA will bei der Implementierung der Anforderungen die Größe und das Gesamtrisikoprofil sowie Art, Umfang und Komplexität der Dienstleistungen, Tätigkeiten und Geschäfte des jeweiligen Unternehmens berücksichtigen. Kleinstunternehmen — also Finanzunternehmen mit weniger als zehn Beschäftigten und einem Jahresumsatz unter 2 Millionen Euro — profitieren daher von vereinfachten Anforderungen.
Die fünf Kernbereiche der DORA Verordnung
Die Anforderungen gliedern sich in fünf Kernbereiche: DORA konzentriert sich explizit auf die Bereiche IKT-Risikomanagement, Vorfallsmanagement, Resilienztests, Management von Drittanbietern sowie Risiken und Informationsaustausch. Jeder dieser Bereiche bringt konkrete Pflichten mit sich.
1. IKT-Risikomanagement (Art. 5–16 DORA)
DORA verlangt von Finanzunternehmen, ein robustes IKT-Risikomanagement zu etablieren. Unternehmen müssen systematische Prozesse einführen, um IT-Risiken frühzeitig zu erkennen, zu bewerten und zu minimieren. Dazu gehören unter anderem Business-Continuity-Pläne, Notfallkonzepte und regelmäßige Überprüfungen der IT-Sicherheitsstrategie. DORA legt großen Wert auf die Gesamtverantwortung des Leitungsorgans für die digitale Betriebsstabilität. Geschäftsführer und Vorstände können sich also nicht auf die IT-Abteilung allein verlassen.
2. Vorfallmanagement und Meldepflichten (Art. 17–23 DORA)
Vorfallmanagement und Meldepflichten erfordern einheitliche Prozesse zur Erkennung, Behandlung und Meldung signifikanter IKT-Vorfälle an Aufsichtsbehörden. Kapitel III der DORA-Verordnung regelt die Berichtspflichten und schreibt vor, dass signifikante Cyber-Vorfälle und Cyber-Bedrohungen ab dem 17.01.2025 verpflichtend an die zuständigen Behörden gemeldet werden müssen. In Deutschland ist das primär die BaFin.
3. Resilienztests (Art. 24–27 DORA)
Allgemeine Sicherheitstests sind mindestens einmal jährlich für alle IKT-Systeme und -Anwendungen durchzuführen, die kritische oder wichtige Funktionen unterstützen. Threat-Led Penetration Tests (TLPT) sind mindestens alle drei Jahre für ausgewählte große und systemrelevante Finanzunternehmen vorgeschrieben. TLPT sind dabei besonders anspruchsvoll: Sie simulieren reale Angriffe auf die Systeme des Unternehmens, um echte Schwachstellen aufzudecken.
4. Management des IKT-Drittparteienrisikos (Art. 28–44 DORA)
Artikel 28 Absatz 3 DORA verpflichtet Finanzunternehmen zur Führung eines Informationsregisters, das alle vertraglichen Vereinbarungen über die Nutzung von durch IKT-Drittdienstleister bereitgestellten IKT-Dienstleistungen enthält. Das bedeutet: Jede Vertragsbeziehung mit einem Cloud-Anbieter, einem Softwarehaus oder einem Rechenzentrum muss dokumentiert und bewertet werden. Von den Finanzunternehmen verlangt DORA eine Einschätzung und Überwachung der IKT-Drittparteienrisiken — und zwar während des gesamten Lebenszyklus des Bezugs.
5. Informationsaustausch (Art. 45 DORA)
Die Verordnung erlaubt es Finanzunternehmen, untereinander Vereinbarungen zum Austausch von Informationen und Erkenntnissen über Cyberbedrohungen zu treffen. Dieser Bereich ist freiwillig, wird aber ausdrücklich gefördert — denn ein koordinierter Informationsfluss zwischen Marktteilnehmern stärkt die Widerstandsfähigkeit des gesamten Systems.
Wichtiger Hinweis: Für Unternehmen, die bereits unter nationalen Vorgaben wie BAIT, VAIT, KAIT oder ZAIT fallen, gilt eine Übergangsfrist bis zum 1. Januar 2027. Bis dahin dürfen bestehende Regelungen weiter angewendet werden — die Vorbereitung auf DORA muss jedoch parallel laufen.
Kritische IKT-Drittdienstleister: Ein Paradigmenwechsel
Eines der markantesten Merkmale der DORA Verordnung ist die direkte Einbeziehung von IT-Dienstleistern. Bislang galten regulatorische Anforderungen fast ausschließlich für die Finanzunternehmen selbst. DORA ändert das grundlegend.
Die Europäischen Aufsichtsbehörden haben eine Liste der IKT-Drittdienstleister veröffentlicht, die nach DORA als kritisch eingestuft werden. Konkret handelt es sich um 19 kritische IKT-Drittdienstleister, die ihren Sitz in Europa haben, aber auch in Drittstaaten wie den USA, Indien oder Japan. Bei allen handelt es sich um Dienstleister, die für den europäischen Finanzmarkt von systemischer Bedeutung sind. Im Kern wurden sie als kritisch eingestuft, weil sie von einer Vielzahl von Finanzunternehmen genutzt werden und eine bedeutende Relevanz für den europäischen Finanzmarkt haben.
Was das in der Praxis bedeutet, zeigt ein anschauliches Beispiel: Das US-Unternehmen CrowdStrike stellt Cybersicherheitslösungen für systemrelevante Bereiche wie Flughäfen, Krankenhäuser und die Finanzindustrie bereit. Im Sommer 2024 führte ein fehlerhaftes Update weltweit zu IT-Ausfällen, Flugverspätungen sowie Problemen bei Zahlungssystemen und Bankautomaten. Dies gilt laut BaFin als gutes Beispiel für einen kritischen IKT-Drittdienstleister.
Die 2025 eingereichten über 10.000 Informationsregister zeigen deutlich: Der europäische Finanzmarkt hängt in hohem Maße von wenigen IKT-Dienstleistern ab. Die Top 10 der 19 benannten Critical ICT Third-Party Providers decken über 85 Prozent aller Verträge ab — und drei Viertel dieser Verträge unterstützen kritische oder wichtige Funktionen der Institute. Diese Konzentration ist genau das Risiko, das DORA adressieren will.
Sanktionen: Was bei Verstößen droht
Die DORA Verordnung ist kein zahnloser Papiertiger. Der Digital Operational Resilience Act ermöglicht es den zuständigen Behörden gemäß Artikel 50, umfassende Aufsichts- und Sanktionsbefugnisse auszuüben. Diese umfassen den Zugriff auf relevante Unterlagen und Daten, Vor-Ort-Inspektionen sowie die Befragung von Personen im Rahmen von Untersuchungen. Bei Verstößen können die Behörden Korrektur- und Abhilfemaßnahmen anordnen.
Für kritische IKT-Drittdienstleister sind die Sanktionen besonders scharf: Wenn ein kritischer IKT-Drittdienstleister nicht kooperiert, können die Aufsichtsbehörden seine Mitwirkung erzwingen — und zwar mit einem Zwangsgeld von bis zu einem Prozent des weltweiten täglichen Umsatzes. Pro Tag. Bei großen internationalen Cloud-Anbietern kann das schnell beträchtliche Summen erreichen.
Bei Nichteinhaltung der DORA-Vorschriften können Unternehmen hohe Geldstrafen drohen, die sich nach dem Schweregrad des Verstoßes richten. Aber auch die Bestellung von Sonderbeauftragten sowie die Einschränkung der Geschäftstätigkeit sind möglich. Eine Prüfung im Einzelfall — am besten mit rechtlicher und technischer Fachbegleitung — ist daher empfehlenswert.
DORA und NIS2: Wo liegen die Unterschiede?
Viele Unternehmen fragen sich, wie sich die DORA Verordnung zur NIS2-Richtlinie verhält, die ebenfalls Cybersicherheitsanforderungen stellt. Die Antwort ist eindeutig: In Erwägungsgrund 16 von DORA wird gesagt, dass es sich bei der Verordnung um eine Spezialregelung zur NIS-2-Richtlinie handelt. Fallen Unternehmen also in den Geltungsbereich beider Rechtsvorschriften, hat DORA Vorrang vor NIS-2.
Die von DORA regulierten Finanzunternehmen sind in NIS2 zwar Teil des Sektors Finanz- und Versicherungswesen, aber von fast allen NIS2-Pflichten ausgenommen, wenn sie in DORA reguliert sind. Die in DORA auch regulierten kritischen IKT-Drittdienstleister sind in NIS2 Einrichtungen des Sektors IT und Telekommunikation und bleiben dort mehrfach reguliert. IT-Dienstleister, die für Finanzunternehmen tätig sind, müssen also beide Regelwerke im Blick behalten.
Tipp: Wer als IT-Dienstleister Kunden im Finanzsektor betreut, sollte prüfen, ob und in welchem Umfang DORA auf die eigenen Vertragsbeziehungen Auswirkungen hat. Eine frühzeitige Abstimmung mit einem spezialisierten Berater kann helfen, kostspielige Nachbesserungen zu vermeiden.
Häufig gestellte Fragen
Ab wann gilt die DORA Verordnung verbindlich, und gibt es Übergangsfristen?
Die DORA-Verordnung ist seit dem 17. Januar 2025 in Kraft. Seit diesem Datum müssen die betroffenen Unternehmen die Anforderungen vollständig umsetzen. Für Unternehmen, die bereits unter nationalen Vorgaben wie BAIT, VAIT, KAIT oder ZAIT fallen, gilt eine Übergangsfrist bis zum 1. Januar 2027. Während dieser Zeit dürfen sie weiterhin die bestehenden Regelungen anwenden, müssen jedoch parallel die Umsetzung der DORA-Anforderungen vorbereiten.
Welche Unternehmen sind von der DORA Verordnung betroffen — auch außerhalb des Bankensektors?
Der Digital Operational Resilience Act gilt für nahezu alle Unternehmen der Finanz- und Versicherungswirtschaft in der EU, darunter Banken, Versicherungen, Kapitalverwaltungsgesellschaften, Zahlungs- und E-Geld-Institute, Wertpapierfirmen, Krypto-Dienstleister, Pensionskassen sowie Betreiber von Handelsplätzen und Verwahrstellen. Besonders weitreichend ist DORA, weil sie auch IKT-Drittdienstleister in die Verantwortung nimmt. Dazu zählen IT-Outsourcing-Partner, Cloud-Service-Anbieter, Datenzentren, Infrastrukturbetreiber und andere Unternehmen, die für den sicheren, stabilen Betrieb der IT-Systeme von Finanzdienstleistern essenziell sind.
Welche häufigen Fehler machen Unternehmen bei der DORA-Umsetzung?
Die BaFin betont, dass es sich bei kritischen oder wichtigen Funktionen nicht nur um zeitkritische Prozesse handelt, sondern auch um Unterstützungsprozesse, deren Ausfall wesentliche Auswirkungen hätte. Viele Institute analysieren jedoch auf zu grober oder zu feiner Prozessebene, was zu Fehlklassifikationen führt. Ein weiterer verbreiteter Fehler ist die unvollständige Anpassung bestehender IT-Dienstleisterverträge. Viele Unternehmen in Deutschland erfüllen noch nicht alle Anforderungen für eine volle Umsetzung: Die Anpassung der DORA-konformen Dienstleisterverträge ist in vielen Fällen noch genauso unvollständig wie die technische Umsetzung.
Was droht bei Verstößen gegen die DORA Verordnung?
Bei Nichteinhaltung der DORA-Vorschriften können Unternehmen hohe Geldstrafen drohen, die sich nach dem Schweregrad des Verstoßes richten. Aber auch die Bestellung von Sonderbeauftragten sowie die Einschränkung der Geschäftstätigkeit sind möglich. Gegen kritische IT-Dienstleister können Zwangsgelder verhängt werden. Die Höhe der Zwangsgelder, die gegen IKT-Drittdienstleister verhängt werden können, ist auf ein Prozent des durchschnittlichen weltweiten Tagesumsatzes begrenzt, den der betreffende kritische IKT-Drittdienstleister im vorangegangenen Geschäftsjahr erzielt hat, gemäß Art. 35 Abs. 8 DORA.
Müssen auch kleine Finanzunternehmen die vollständigen DORA-Anforderungen erfüllen?
DORA folgt einem risikobasierten Ansatz, der die Anforderungen an die Größe und Komplexität eines Unternehmens anpasst. Kleinere oder weniger komplexe Finanzunternehmen haben daher reduzierte Pflichten, während größere und systemrelevante Akteure umfassendere Maßnahmen umsetzen müssen. Die DORA definiert „Kleinstunternehmen” als ein Finanzunternehmen, das weniger als zehn Personen beschäftigt und dessen Jahresumsatz bzw. -bilanzsumme 2 Mio. EUR nicht überschreitet; „Kleinunternehmen” ist ein Finanzunternehmen, das 10 oder mehr, aber weniger als 50 Personen beschäftigt. Für Kleinstunternehmen entfallen bestimmte Pflichten, etwa im Bereich der Penetrationstests und des Drittparteienrisikomanagements.
Wie verhält sich DORA zur NIS2-Richtlinie, die ebenfalls Cybersicherheitsanforderungen stellt?
In Erwägungsgrund 16 von DORA wird gesagt, dass es sich bei der Verordnung um eine Spezialregelung zur NIS-2-Richtlinie handelt. Fallen Unternehmen also in den Geltungsbereich beider Rechtsvorschriften, hat DORA Vorrang vor NIS-2. Finanzunternehmen, die unter DORA fallen, sind von den meisten NIS2-Pflichten ausgenommen. IT-Dienstleister, die für Finanzunternehmen tätig sind, können jedoch unter beide Regelwerke fallen und sollten die Anforderungen beider Verordnungen sorgfältig prüfen.
Stand: März 2026
Hinweis: Dieser Artikel dient ausschließlich der allgemeinen Information und stellt keine steuerliche oder rechtliche Beratung dar. Steuerliche und regulatorische Sachverhalte sind individuell verschieden. Für verbindliche Auskünfte wenden Sie sich bitte an einen zugelassenen Steuerberater oder Rechtsanwalt. Trotz sorgfältiger Recherche übernehmen wir keine Gewähr für die Vollständigkeit und Aktualität der Angaben.
TABAK Steuerberatung
Augustaanlage 33, 68165 Mannheim
Inhaberin & Steuerberaterin: Fatma Tabak-Özkul
