DORA - Digital Operational Resilience Act

Verordnung (EU) 2022/2554

Überblick

Die Verordnung (EU) 2022/2554 über die digitale operationelle Resilienz des Finanzsektors (Digital Operational Resilience Act - DORA) trat am 16. Januar 2023 in Kraft und ist ab dem 17. Januar 2025 vollständig anzuwenden. DORA zielt darauf ab, die digitale operationelle Resilienz des gesamten Finanzsektors in der EU zu stärken.

Zielsetzung von DORA

Digitale Resilienz

Stärkung der Fähigkeit von Finanzunternehmen, IT-Störungen und Cyber-Bedrohungen zu widerstehen

Harmonisierung

Einheitliche Anforderungen an die digitale operationelle Resilienz in der gesamten EU

Risikomanagement

Verpflichtung zu umfassendem IT-Risikomanagement und Governance

Überwachung

Kontinuierliche Überwachung und Bewertung der digitalen operationellen Resilienz

Fünf Säulen von DORA

1

IT-Risikomanagement

Umfassendes IT-Risikomanagement-Framework mit klaren Governance-Strukturen, Risikoidentifikation, -bewertung und -behandlung

2

Incident Management

Strukturierte Prozesse für die Erkennung, Meldung und Behandlung von IT-Vorfällen und Sicherheitsvorfällen

3

Digital Operational Resilience Testing

Regelmäßige Tests der digitalen operationellen Resilienz, einschließlich Penetrationstests und Threat-Led-Penetration-Testing (TLPT)

4

Management von IKT-Drittanbietern

Strenge Anforderungen an das Management von IKT-Drittanbietern und kritischen IKT-Drittanbietern

5

Informationsaustausch

Mechanismen für den Informationsaustausch über Cyber-Bedrohungen und bewährte Praktiken

Anwendungsbereich

DORA gilt für:

Finanzunternehmen

  • Kreditinstitute
  • Versicherungsunternehmen
  • Wertpapierfirmen
  • Verwaltungsgesellschaften
  • Zahlungsinstitute

IKT-Drittanbieter

  • Kritische IKT-Drittanbieter
  • Cloud-Service-Provider
  • Software-Anbieter
  • IT-Dienstleister

DORA-Anforderungen im Detail

Bereich Anforderung Frist
IT-Risikomanagement Einführung eines umfassenden IT-Risikomanagement-Frameworks 17.01.2025
Incident Reporting Bewertung, Erstmeldung, Zwischenbericht und Abschlussbericht zu schwerwiegenden IKT-Vorfällen (Art. 19/20 DORA, RTS) 17.01.2025
Resilience Testing Jährliche Penetrationstests, TLPT alle 3 Jahre (für kritische Unternehmen) 17.01.2025
IKT-Drittanbieter Registrierung und Überwachung kritischer IKT-Drittanbieter 17.01.2025

Incident Reporting – Fristen und Berichtspflichten (Art. 19, 20 DORA)

Nur schwerwiegende IKT-bezogene Vorfälle lösen die vollständige Meldepflicht aus. Die Bewertung (Einstufung) muss zeitnah nach Erkennung erfolgen; an sie knüpfen die folgenden Fristen an.

Phase Inhalt / Anforderung Frist
Bewertung Prüfung, ob der Vorfall als „schwerwiegend“ einzustufen ist (Kriterien gemäß DORA/RTS) Unverzüglich nach Erkennung
Erstmeldung Meldung an die zuständige Aufsichtsbehörde mit Mindestangaben (z. B. Kontaktpunkt, Sofortmaßnahmen, Klassifizierung, betroffene Dienste) Innerhalb von 4 Stunden nach Einstufung als schwerwiegend
Zwischenbericht Detaillierter Bericht (quantifizierter Schaden, vorläufige Fehleranalyse, Remediation, wirtschaftliche Schadensabschätzung) Innerhalb von 72 Stunden nach Erkennung des Vorfalls
Abschlussbericht Vollständiger Bericht (Ursachenanalyse, finale Schadensquantifizierung, ergriffene Maßnahmen, Remediationsplan, Lessons Learned) Innerhalb von 1 Monat (30 Tage) nach Erkennung des Vorfalls

Die konkreten Meldeinhalte und -formate ergeben sich aus den technischen Regulierungsstandards (RTS/ITS). Fristversäumnisse können als Verstöße gegen DORA geahndet werden.

Zusammenhang mit ISMS

DORA
ISMS
Risikomanagement
Incident Management
Meldepflichten
  • ISMS: DORA erfordert ein strukturiertes ISMS als Grundlage für IT-Risikomanagement
  • Risikomanagement: DORA verlangt umfassendes IT-Risikomanagement mit kontinuierlicher Überwachung
  • Assetmanagement: DORA verlangt Inventarisierung und Klassifizierung von IKT-Assets
  • BCM: DORA erfordert Business Continuity Pläne für kritische IKT-Services
  • Incident Management: DORA definiert spezifische Anforderungen an Incident-Erkennung und -Meldung
  • Testmanagement: DORA verlangt regelmäßige Tests der digitalen operationellen Resilienz (Penetrationstests, TLPT)
  • Meldepflichten: DORA etabliert verbindliche Meldepflichten für schwerwiegende IKT-Vorfälle

Umsetzungshinweise

Governance

Etablierung klarer Verantwortlichkeiten und Eskalationswege für IT-Risiken

Dokumentation

Umfassende Dokumentation aller IT-Risikomanagement-Prozesse und -Maßnahmen

Überwachung

Kontinuierliche Überwachung und regelmäßige Überprüfung der Wirksamkeit