Lesedauer: 8 Minuten

Was ist der Digital Operational Resilience Act (DORA)?

Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung (EU) 2022/2554, die seit dem 17. Januar 2025 verbindlich gilt. Sie verpflichtet Finanzunternehmen und ihre kritischen IKT-Dienstleister, digitale Widerstandsfähigkeit gegen Cyberangriffe und IKT-Störungen systematisch aufzubauen und nachzuweisen. DORA harmonisiert erstmals EU-weit die Anforderungen an das IKT-Risikomanagement im Finanzsektor und löst nationale Regelwerke wie BAIT, VAIT und KAIT als primären Maßstab ab.

Die Verordnung gilt unmittelbar in allen EU-Mitgliedstaaten, ohne dass eine nationale Umsetzungsgesetzgebung erforderlich ist. In Deutschland fungiert die BaFin als zentraler Melde-Hub für IKT-Vorfälle und führt seit 2025 aktiv Sonderprüfungen nach §44 KWG zur DORA-Umsetzung durch.

DORA ergänzt weitere europäische Cybersicherheitsvorgaben wie die NIS2-Richtlinie und den Cyber Resilience Act, legt jedoch den Schwerpunkt auf IKT-Risikomanagement, Resilienztests und die sichere Betriebsfähigkeit digitaler Finanzdienstleistungen.

DORA gilt für Finanzunternehmen sowie kritische IKT-Dienstleister, die digitale Dienstleistungen für den Finanzsektor bereitstellen.

DORA gilt für Finanzunternehmen sowie kritische IKT-Dienstleister, die digitale Dienstleistungen für den Finanzsektor bereitstellen.

 
Greenbone hilft seit mehr als 15 Jahren dabei, Kunden auf den bestmöglichen Sicherheitsstandard vorzubereiten. Mit OPENVAS bieten wir marktführende Schwachstellenerkennung mit vollständiger Datensouveränität. OPENVAS SECURITY INTELLIGENCE und OPENVAS SCAN unterstützen Finanzunternehmen bei der Erfüllung der DORA-Anforderungen.

Welche Unternehmen sind von DORA betroffen?

DORA erfasst über 22.000 Finanzunternehmen und IKT-Dienstleister in der gesamten EU. Die Verordnung folgt dem Proportionalitätsprinzip: Kleinere Institute unterliegen einem vereinfachten IKT-Risikomanagementrahmen, während bedeutende Institute wie Großbanken und systemrelevante Versicherungen strengeren Anforderungen genügen müssen, darunter verpflichtende Threat-Led Penetration Tests (TLPT).

Finanzunternehmen

Kreditinstitute, Versicherungen, Investmentfirmen, Zahlungsdienstleister, Krypto-Dienstleister und weitere Finanzmarktteilnehmer, die innerhalb der EU tätig sind.

Kritische IKT-Drittanbieter

Cloud-Anbieter, Rechenzentren, Softwarehersteller und weitere IKT-Dienstleister, die wesentliche Dienste für beaufsichtigte Finanzunternehmen erbringen.

Weitere Lieferkettenakteure

Unternehmen, die IKT-Dienstleistungen, Beratung oder Technologiekomponenten für den Finanzsektor bereitstellen und Teil der regulierten Lieferkette sind.
DORA betrifft Finanzunternehmen wie Banken, Versicherungen und Zahlungsdienstleister sowie kritische IKT-Dienstleister entlang der digitalen Lieferkette.

DORA betrifft Finanzunternehmen wie Banken, Versicherungen und Zahlungsdienstleister sowie kritische IKT-Dienstleister entlang der digitalen Lieferkette.

Die fünf Säulen der DORA-Anforderungen

DORA strukturiert seine Anforderungen in fünf Bereiche. Finanzunternehmen müssen alle fünf Säulen nachweislich umsetzen. Wo Schwachstellenmanagement direkt greift, ist in der Übersicht markiert.

DORA strukturiert die Anforderungen an digitale Resilienz in fünf Säulen, die gemeinsam ein umfassendes IKT-Risikomanagement gewährleisten sollen.

DORA strukturiert die Anforderungen an digitale Resilienz in fünf Säulen, die gemeinsam ein umfassendes IKT-Risikomanagement gewährleisten sollen.

Säule 1 · Artikel 5 bis 16
IKT-Risikomanagement
  • Vollständige Erfassung und Klassifizierung aller IKT-Assets und Abhängigkeiten
  • Regelmäßige Schwachstellenanalysen und Bedrohungsbewertungen (Artikel 9)
  • Implementierung einer umfassenden IKT-Sicherheitsstrategie mit Schutzmaßnahmen
  • Entwicklung von Notfall- und Wiederherstellungsplänen für IKT-Vorfälle
  • Einbindung der IKT-Risikosteuerung in die übergeordnete Unternehmensgovernance
Säule 2 · Artikel 17 bis 23
IKT-Vorfallsmanagement und Meldepflicht
  • Einrichtung standardisierter Prozesse zur Erkennung, Klassifizierung und Behandlung von IKT-Vorfällen
  • Erstmeldung schwerwiegender Vorfälle innerhalb von 4 Stunden nach Erkennung an die BaFin
  • Zwischenmeldung innerhalb von 72 Stunden und Abschlussbericht innerhalb eines Monats
  • Pflege eines Vorfallregisters mit vollständiger Dokumentation aller gemeldeten Ereignisse
Säule 3 · Artikel 24 bis 27
Digitale operative Resilienztests
  • Regelmäßige Schwachstellenscans und netzwerkseitige Sicherheitsbewertungen aller IKT-Systeme
  • Szenariobasierte Tests zur Prüfung der Reaktionsfähigkeit auf Cyberangriffe und Systemausfälle
  • Für bedeutende Institute: Threat-Led Penetration Tests (TLPT) mindestens alle drei Jahre nach TIBER-EU-Standard
  • Vollständige Dokumentation der Testergebnisse und nachweisliche Behebung identifizierter Schwachstellen
Säule 4 · Artikel 28 bis 44
IKT-Drittparteienrisiko
  • Pflege eines vollständigen Registers aller vertraglichen IKT-Drittanbieterbeziehungen (Register of Information)
  • Kontinuierliche Überwachung der Sicherheitslage kritischer IKT-Drittanbieter, einschließlich neuer CVEs in eingesetzten Komponenten
  • Sorgfaltspflichten bei der Auswahl neuer Anbieter, inklusive Sicherheitsanforderungen und Konzentrationsrisikoprüfung
  • Ausstiegsstrategien für den Fall einer Vertragskündigung oder eines Anbieterausfalls
Säule 5 · Artikel 45 bis 49
Informationsaustausch
  • Freiwillige Teilnahme an Vereinbarungen zum Austausch von Informationen über Cyberbedrohungen und Schwachstellen
  • Meldung relevanter Bedrohungsinformationen an andere Finanzinstitute und zuständige Behörden
  • Nutzung gemeinsamer Bedrohungsinformationen zur Verbesserung der eigenen Erkennungs- und Reaktionsfähigkeit

Zeitplan und Sanktionen

DORA ist seit dem 17. Januar 2025 vollständig anwendbar. Die BaFin prüft die Umsetzung aktiv: Bis Ende 2025 wurden bereits über 600 IKT-Vorfälle gemeldet und mehrere Sonderprüfungen eingeleitet. Ab 2026 erwarten Aufsichtsbehörden datenbasierte Nachweise operativer Resilienz, nicht mehr nur Richtliniendokumentation.

Seit Januar 2025 ist DORA vollständig anwendbar. Aufsichtsbehörden erwarten zunehmend belastbare Nachweise digitaler Resilienz.

Seit Januar 2025 ist DORA vollständig anwendbar. Aufsichtsbehörden erwarten zunehmend belastbare Nachweise digitaler Resilienz.

Januar 2023
DORA tritt als EU-Verordnung in Kraft. Zweijährige Umsetzungsfrist beginnt.
Januar 2025
DORA gilt verbindlich. Alle Anforderungen an IKT-Risikomanagement, Vorfallmeldung, Resilienztests und Drittparteienmanagement müssen erfüllt sein.
Ab 2026
Aufsichtsbehörden fordern datenbasierte Resilienznachweise. Register of Information muss für Behörden abrufbereit vorliegen. TLPT-Zyklen für bedeutende Institute laufen.
Ab 2027
Vereinfachter IKT-Risikomanagementrahmen nach Artikel 16 gilt für weitere Institutsgruppen, darunter bestimmte Finanzholdings.
Sanktionen bei Verstößen: Bei Nicht-Einhaltung drohen Bußgelder von bis zu 10 Millionen Euro oder 5 Prozent des weltweiten Jahresumsatzes. Für kritische IKT-Drittanbieter kann die Strafe bis zu 5 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes betragen. Hinzu kommen Reputationsschäden und mögliche Betriebseinschränkungen durch die Aufsichtsbehörde.

Wie Greenbone bei der DORA-Compliance hilft

Schwachstellenmanagement ist das Kernstück der DORA-Anforderungen an IKT-Risikomanagement und Resilienztests. Greenbone adressiert die Artikel 9, 10 und 28 direkt mit einer erprobten, ISO-zertifizierten Scanning-Infrastruktur und auditfähiger Berichterstattung.

Kontinuierliches Scanning

OPENVAS SCAN erkennt Schwachstellen in Netzwerken, Endpunkten und Cloud-Umgebungen. Der Enterprise Feed wird täglich aktualisiert und enthält 200.000+ Sicherheitstests mit branchenführender CVE-Abdeckung. Unterstützt Artikel 9 und 10 direkt.

Risikobasierte Priorisierung

OPENVAS SECURITY INTELLIGENCE liefert kontextualisierte Risikobewertungen auf Basis von CVSS und aktuellen Bedrohungsdaten. Ihr Team setzt zuerst dort an, wo der Handlungsbedarf am größten ist. Überwacht zudem IKT-Drittanbieterkomponenten nach Artikel 28.

Auditfähige Dokumentation

Alle Scan-Ergebnisse, Behebungsnachweise und Trendverläufe sind revisionssicher gespeichert und exportierbar. Eine solide Grundlage für interne Audits, BaFin-Anfragen und Sonderprüfungen nach §44 KWG. Als ISO/IEC 27001:2022 zertifiziertes Unternehmen mit Sitz in Deutschland bieten wir volle Datensouveränität.
Kontinuierliches Schwachstellenmanagement unterstützt zentrale DORA-Anforderungen wie Risikomanagement, Resilienztests und auditfähige Nachweise.

Kontinuierliches Schwachstellenmanagement unterstützt zentrale DORA-Anforderungen wie Risikomanagement, Resilienztests und auditfähige Nachweise.

Häufig gestellte Fragen (FAQ) zum Digital Operational Resilience Act

Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung (EU 2022/2554), die seit dem 17. Januar 2025 verbindlich gilt. Sie verpflichtet über 22.000 Finanzunternehmen und kritische IKT-Drittanbieter in der EU, digitale Widerstandsfähigkeit gegen Cyberangriffe und IKT-Störungen systematisch aufzubauen und nachzuweisen. Dazu gehören Banken, Versicherungen, Investmentfirmen, Zahlungsdienstleister, Krypto-Dienstleister und ihre IKT-Zulieferer.

Ja. DORA erfasst ausdrücklich kritische IKT-Drittanbieter, nicht nur die Finanzunternehmen selbst. Wenn Ihr Unternehmen Systeme, Software oder Dienste für Banken, Versicherungen oder Investmentgesellschaften betreibt, sind Sie wahrscheinlich im DORA-Anwendungsbereich. Die Einstufung als kritischer IKT-Drittanbieter erfolgt durch die Aufsichtsbehörden.

Nein. DORA verlangt kontinuierliche Schwachstellenanalysen, keine periodischen Stichproben. Threat-Led Penetration Tests (TLPT) sind für bedeutende Institute zusätzlich vorgeschrieben, mindestens alle drei Jahre nach dem TIBER-EU-Standard. Sie ersetzen aber kein laufendes Vulnerability Management, das die Grundanforderungen aus Artikel 9 und 10 erfüllt.

NIS2 ist eine breite Cybersicherheitsrichtlinie für kritische Infrastrukturen in verschiedenen Sektoren, die in nationales Recht umgesetzt werden muss. DORA ist eine direkt anwendbare Verordnung, die sich ausschließlich auf den Finanzsektor konzentriert und deutlich detailliertere Anforderungen an IKT-Risikomanagement, Vorfallmeldung, Resilienztests und Drittparteiensteuerung stellt. Für Finanzunternehmen, die unter beide Regelwerke fallen, gilt DORA in seinem spezifischen Anwendungsbereich vorrangig.

Bei Verstößen können Aufsichtsbehörden Bußgelder von bis zu 10 Millionen Euro oder 5 Prozent des weltweiten Jahresumsatzes verhängen. Für kritische IKT-Drittanbieter beträgt die Obergrenze 5 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Darüber hinaus können Betriebsbeschränkungen und Reputationsschäden folgen. Die BaFin hat bereits 2025 aktiv Sonderprüfungen eingeleitet.

Die Integration ist in der Regel innerhalb weniger Stunden abgeschlossen. OPENVAS SCAN unterstützt Standard-Netzwerktopologien, segmentierte Umgebungen und hybride Cloud-Setups. Greenbone bietet Bereitstellung On Premise oder in der Cloud, jeweils mit vollständiger Datensouveränität und ohne Abhängigkeit von US-amerikanischen Cloudinfrastrukturen.

Der Cyber Resilience Act richtet sich an Hersteller, Importeure und Händler digitaler Produkte und gilt branchenübergreifend. DORA ist eine sektorspezifische Verordnung ausschließlich für den Finanzbereich und regelt den Betrieb und das Risikomanagement von IKT-Systemen. Beide Regelwerke ergänzen sich: Finanzunternehmen, die auch digitale Produkte herstellen oder einsetzen, können unter beide Verordnungen fallen. → Erfahren Sie mehr über den Cyber Resilience Act.

Ist Ihre Organisation bereit für DORA?

DORA gilt seit Januar 2025 und die BaFin prüft die Umsetzung aktiv. Sprechen Sie jetzt mit uns und erfahren Sie, wie OPENVAS SCAN und OPENVAS SECURITY INTELLIGENCE Ihr DORA-Schwachstellenmanagement On Premise oder in der Cloud absichern.