Verordnung (EU) 2022/2554 (DORA)
Stärkung der digitalen operationalen Resilienz
From Wikipedia, the free encyclopedia
Mit der Verordnung (EU) 2022/2554 verpflichtet die Europäische Union Finanzunternehmen zur Stärkung ihrer digitalen operationalen Resilienz. Auch im deutschsprachigen Raum haben sich die englische Bezeichnung „Digital Operational Resilience Act“ und deren Abkürzung DORA etabliert.
 Verordnung (EU) 2022/2554 | |
|---|---|
| Text von Bedeutung für den EWR | |
| Titel: | Verordnung (EU) 2022/2554 des europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011 |
| Kurztitel: | Verordnung zur digitalen operationalen Resilienz |
| Bezeichnung: (nicht amtlich) | DORA, Digital Operational Resilience Act |
| Geltungsbereich: | EWR |
| Rechtsmaterie: | Informationstechnologie, Informationssicherheit, Digitalisierung, Cloud-Computing, Auslagerung, Finanzdienstleistungen, Finanztechnologie, Risikomanagement, digitaler Binnenmarkt |
| Grundlage: | AEUV, insbesondere Art. 114 |
| Datum des Rechtsakts: | 14.12.2022 |
| Veröffentlichungsdatum: | 27.12.2022 |
| Inkrafttreten: | 17.01.2023 |
| Anzuwenden ab: | 17.01.2025 |
| Fundstelle: | ABl. L 333/1, 27.12.2022, S. 1–79 |
| Volltext | Konsolidierte Fassung (nicht amtlich) Grundfassung |
| Regelung ist in Kraft getreten und anwendbar. | |
| Hinweis zur geltenden Fassung von Rechtsakten der Europäischen Union | |
DORA enthält Vorgaben für die Resilienz von IKT-Systemen für verschiedene Arten von Finanzunternehmen, wie beispielsweise für Kreditinstitute (Banken) und Versicherungsunternehmen sowie für deren IKT-Dienstleister. Die Verordnung betrifft in der Europäischen Union schätzungsweise 22.000 Finanzunternehmen, davon 3.600 in Deutschland.[1]
DORA enthält neun Kapitel und umfasst in der deutschen Version 79 A4-Textseiten. Die Verordnung wird zudem durch Level-2- und Level-3-Rechtsakte um zahlreiche weitere Anforderungen ergänzt. Die EU-Kommission und ESAs veröffentlichen Auslegungsentscheidungen im Rahmen des „Single-Rulebook-Q&A-Prozesses“.[2][3] Außerdem gibt es Veröffentlichungen der nationalen Aufsichtsbehörden.[4]
Zielsetzung
Der Rechtsakt zielt darauf ab, die digitale operationale Widerstandsfähigkeit von europäischen Finanzunternehmen und ihren IKT-Dienstleistern zu verbessern und einen EU-weit einheitlichen Aufsichtsrahmen zu schaffen. So sollen die Anfälligkeit für Cyberbedrohungen und IKT-Störungen über die gesamte Wertschöpfungskette des Finanzsektors reduziert werden. Darüber hinaus beabsichtigt DORA, die nationalen Vorschriften für die Sicherheit von IT-Systemen im Finanzsektor zu harmonisieren. Dadurch werde der europäische Finanzmarkt als Ganzes gegenüber Cyberrisiken und Vorfällen der Informations- und Kommunikationstechnologie gestärkt.[5]
Geltungsbereich
Die Verordnung gilt für bestimmte Finanzunternehmen aus dem Europäischen Wirtschaftsraum (EWR) und in Teilen auch für deren IKT-Dienstleister, unabhängig davon, ob es sich um gruppeninterne oder um externe Dienstleister handelt.
Die in den Geltungsbereich von DORA fallenden Finanzunternehmen sind in Artikel 2[6] der Verordnung aufgeführt. Das sind insbesondere CRR-Kreditinstitute, Zahlungsinstitute, Wertpapierfirmen sowie Versicherungs- und Rückversicherungsunternehmen. Unter DORA fallen aber auch Kontoinformationsdienstleister, E-Geld-Institute, Anbieter von Krypto-Dienstleistungen, Zentralverwahrer, zentrale Gegenparteien, Handelsplätze, Transaktionsregister, Verwalter alternativer Investmentfonds, Verwaltungsgesellschaften, Datenbereitstellungsdienste, Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit, Einrichtungen der betrieblichen Altersversorgung, Ratingagenturen, Administratoren kritischer Referenzwerte, Schwarmfinanzierungsdienstleister und Verbriefungsregister.
Das am 18. Dezember 2024 beschlossene Finanzmarktdigitalisierungsgesetz (FinmadiG)[7] erweiterte den deutschen Geltungsbereich mit dem neuen § 1a Abs. 2a KWG dahingehend, dass alle in Deutschland unter das KWG fallenden Institute DORA umsetzen müssen – auch wenn sie nicht unter den von der EU definierten Geltungsbereich fallen.
Aufbau und Inhalte
Der Rechtsakt umfasst 64 Artikel, die in 9 Kapitel strukturiert sind:[8]
- Allgemeine Bestimmungen (Art. 1 bis Art. 4)
- IKT-Risikomanagement (Art. 5 bis Art. 16)
- Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle (Art. 17 bis Art. 23)
- Testen der digitalen operationalen Resilienz (Art. 23 bis Art. 27)
- Management des IKT-Drittparteienrisikos (Art. 28 bis Art. 44)
- Vereinbarungen über den Austausch von Informationen (Art. 45)
- Zuständige Behörden (Art. 46 bis Art. 56)
- Delegierte Rechtsakte (Art. 57)
- Übergangs- und Schlussbestimmungen (Art. 58 bis Art. 64)
Level-2/3-Rechtsakte
DORA wird – gemäß dem Lamfalussy-Verfahren – ergänzt durch delegierte Verordnungen, Durchführungsverordnungen (Level-2) und gemeinsame Leitlinien der ESAs (Level-3). Delegierte Verordnungen zu DORA sind zumeist technische Regulierungsstandards (Regulatory Technical Standards, RTS), die Durchführungsverordnungen zu DORA sind technische Durchführungsstandards (Implementing Technical Standards, ITS). RTS und ITS zu DORA gingen Berichte der ESAs voraus.[4][9] Leitlinien (Guidelines) der ESAs haben grundsätzlich keine rechtliche Bindungswirkung. Nationale Behörden müssen erklären, ob sie diesen nachkommen oder nachzukommen beabsichtigen.[10] Es gibt diese 10 delegierten Verordnungen, 2 Durchführungsverordnungen und 2 Leitlinien:
IKT-Risikomanagement (Kapitel II DORA):
- RTS zum IKT-Risikomanagementrahmen und zum vereinfachten IKT-Risikomanagementrahmen (zu Art. 15 und Art. 16 Abs. 3 DORA), Delegierte Verordnung (EU) 2024/1774
IKT-bezogene Vorfälle (Kapitel III DORA):
- GL für die Schätzung der von schwerwiegenden IKT-bezogenen Vorfällen verursachten aggregierten jährlichen Kosten und Verluste (Art. 11 Abs. 11 DORA), JC 2024 34. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat diese für in Deutschland anwendbar erklärt.
- RTS zu Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen (zu Art. 18 Abs. 3 DORA), Delegierte Verordnung (EU) 2024/1772
- RTS zur Festlegung der Meldung schwerwiegender IKT-Vorfälle (zu Art. 20 lit. a DORA), Delegierte Verordnung (EU) 2025/301
- ITS zur Festlegung der Einzelheiten der Berichterstattung über größere IKT-bezogene Vorfälle (zu Art. 20 lit. b DORA), Durchführungsverordnung (EU) 2025/302
Testen (Kapitel IV DORA):
- RTS zu Threat Led Penetration Testing (zu Art. 26 Abs. 11 DORA), Delegierte Verordnung (EU) 2025/1190
IKT-Drittparteienrisikomanagement (Kapitel V, Abschnitt I DORA):
- ITS zur Erstellung einer Standardvorlage für das Informationsregister (zu Art. 28 Abs. 9 DORA), Durchführungsverordnung (EU) 2024/2956
- RTS zur Leitlinie in Bezug auf die Nutzung von IKT-Dienstleistungen (zu Art. 28 Abs. 10 DORA), Delegierte Verordnung (EU) 2024/1773
- RTS zur Spezifizierung von Elementen bei der Untervergabe von kritischen oder wichtigen Funktionen (zu Art. 30 Abs. 5 DORA), Delegierte Verordnung (EU) 2025/532
Überwachungsrahmen für kritische IKT-Drittdienstleister (Kapitel V, Abschnitt II DORA):
- Delegierte Verordnung (EU) 2024/1502 Festlegung der Kriterien für die Einstufung von IKT-Drittdienstleistern als für Finanzunternehmen kritisch (Art. 31 Abs. 6 DORA)
- GL für die Zusammenarbeit zwischen den ESA und dem CAs hinsichtlich der Struktur der Überwachung (zu Art. 32 Abs. 7 DORA), JC/GL/2024/36. Die BaFin hat diese für in Deutschland anwendbar erklärt.[11]
- RTS zur Harmonisierung der Voraussetzungen für die Durchführung der Überwachungstätigkeiten (zu Art. 41 DORA), Delegierte Verordnung (EU) 2025/295
- RTS Festlegung der Kriterien für die Festlegung der Zusammensetzung des gemeinsamen Untersuchungsteams (Art. 41 DORA), Delegierte Verordnung (EU) 2025/420
- Delegierte Verordnung (EU) 2024/1505 Festlegung der Höhe der von der federführenden Überwachungsbehörde bei kritischen IKT-Drittdienstleistern zu erhebenden Überwachungsgebühren und der Art und Weise der Entrichtung dieser Gebühren (Art. 43 Abs. 2 DORA)
Grundsatz der Verhältnismäßigkeit
DORA definiert in Artikel 4[12] den Grundsatz der Verhältnismäßigkeit. Dieser resultiert für kleinere Unternehmen, die trotz ihrer Größe unter den Geltungsbereich dieses Rechtsaktes fallen, in einigen Ausnahmeregelungen. Demnach können in Einklang mit ihrem Gesamtrisikoprofil einige Vorgaben vereinfacht umgesetzt werden. Ein Beispiel hierfür ist der sogenannte vereinfachte IKT-Risikomanagementrahmen nach Artikel 16 mit einem zugehörigen technischen Regulierungsstandard (RTS).
Finanzinstitute, die zwar nicht unter den europäischen Geltungsbereich von DORA fallen, aber aufgrund von § 1a Abs. 2a KWG dennoch zur Einhaltung von DORA verpflichtet sind, können ebenfalls vom vereinfachten IKT-Risikomanagementrahmen Gebrauch machen.
Nationale Auslegung und Prüfpraxis
Obwohl es sich bei DORA um eine europaweit geltende Verordnung handelt, obliegt die Aufsicht in der Regel nationalen Aufsichtsbehörden. Anderes gilt für Kreditinstitute, die gemäß dem Einheitlichen Bankenaufsichtsmechanismus direkt der Aufsicht der EZB unterstehen (signifikante Institute).
Deutschland
Für die meisten deutschen Finanzunternehmen hält die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die Aufsicht inne. Neben der Aufsicht der EZB über signifikante Institute, sind aber auch andere deutsche Stellen zuständig, z. B. die Industrie- und Handelskammern für unter DORA fallende Versicherungsvermittler.[13]
Die BaFin übernimmt grundsätzlich die Antworten aus dem Single-Rulebook-Q&A-Prozess der ESAs.[14] Die BaFin konkretisiert in eigenen Aufsichtsmitteilungen ihre Erwartungshaltung an die Auslegung der in DORA definierten Pflichten.[15] Zusätzlich wird ein Portal (DORA) bereitgestellt, das alle aktuell gültigen Rechtsakte, Auslegungshinweise und häufige Fragen beantwortet.[16]
Durch das im Dezember 2024 verabschiedete Finanzmarktdigitalisierungsgesetz (FinmadiG)[7] erhält die BaFin alle aufsichtlichen Rechte, die sie bereits zur Umsetzung der zugunsten von DORA aufgehobenen aufsichtlichen Anforderungen an die IT (BAIT, VAIT, KAIT, ZAIT) hatte. Das umfasst insbesondere die Möglichkeit zur Durchführung von Sonderprüfungen zur Einhaltung der Vorgaben von DORA. Falls in einer Sonderprüfung Abweichungen festgestellt werden, kann die BaFin beispielsweise die Beseitigung der Missstände bis zu einem vereinbarten Zieltermin verlangen. In besonders schweren Fällen können sogar Sonderbeauftragte in Vorstand oder Aufsichtsrat eingesetzt, ein Kapitalaufschlag verhängt oder sogar die Erlaubnis zum Geschäftsbetrieb widerrufen werden.[17][18]
Österreich
Die Finanzmarktaufsichtsbehörde (FMA) konkretisiert in eigenen Mitteilungen ihre Erwartungshaltung an die Auslegung der in DORA definierten Pflichten. Sie stellt ebenfalls ein Portal (DORA) bereit, das weiterführende Informationen, Neuigkeiten und FAQ enthält.[19]
Zum aktuellen Zeitpunkt (Stand: Februar 2025) führen weder die FMA noch die Oesterreichische Nationalbank (OeNB) als zuständige Aufsichtsbehörden ausschließlich auf DORA bezogene Vor-Ort-Prüfungen durch. Die Vorgaben aus DORA werden stattdessen in die regulären IKT-Prüfungen integriert.[20]
Drittstaaten außerhalb des EWR
Für Staaten außerhalb des Europäischen Wirtschaftsraums (EWR) sind Verordnungen der EU und damit auch DORA nicht anwendbar.
Allerdings können IKT-Dienstleister unter den Anwendungsbereich von DORA fallen, wenn sie ihre Dienstleistungen auch an europäische Finanzunternehmen erbringen. Einerseits müssen sie in diesem Fall die umfangreichen vertraglichen Pflichten gemäß Kapitel 5 DORA erfüllen – auch wenn alle beteiligten Unternehmen derselben Unternehmensgruppe angehören. Andererseits können auch IKT-Dienstleister aus Drittstaaten gemäß Art. 31 DORA[21] als für den europäischen Finanzmarkt kritische Dienstleister eingestuft werden. Dies hat zur Folge, dass sie sich einem europäischen Überwachungsrahmen unterordnen müssen. Bei Nichteinhaltung der Vorschriften kann gemäß Art. 35 DORA[22] ein Zwangsgeld in Höhe von bis zu 1 % des durchschnittlichen weltweiten Tagesumsatzes verhängt werden. DORA reiht sich damit in eine Reihe von europäischen Rechtsakten ein, die über die Androhung und den Vollzug hoher Strafzahlungen dafür sorgen sollen, dass Big Tech Unternehmen an regulatorische Vorgaben gebunden werden und ihre marktbeherrschende Stellung nicht unkontrolliert ausnutzen.[23]
Viele Staaten außerhalb des EWR verfügen über eigene Regelungen zur Stärkung der digitalen operativen Resilienz im Finanzsektor[24], die teils von DORA inspiriert sind:
- Schweiz: Die Eidgenössische Finanzmarktaufsicht hat bereits im Dezember 2022 ihr Rundschreiben 08/21 Rundschreiben 2023/01 mit dem Titel Operationelle Risiken und Resilienz für Banken veröffentlicht.[25] Das Rundschreiben ist zum 1. Januar 2024 in Kraft getreten und deckt einige wesentliche Inhalte von DORA ab. Es ist aber mit lediglich 16 Seiten deutlich weniger umfangreich als die europäische Verordnung DORA.
- Großbritannien: Nach dem Brexit gab die großbritannische Regierung bekannt, eine eigene Version von DORA entwickeln zu wollen.[26] Aktuell (Stand: Februar 2025) gibt es allerdings noch keinen solchen Rechtsakt.
- Singapur: Die Monetary Authority of Singapore veröffentlichte im August 2022 einen Bericht zum operativen Risikomanagement und Management des Drittparteirisikos in Finanzunternehmen.[27]
Novellierung
Am 19. November 2025 veröffentlichte die Europäische Kommission einen Vorschlag zur umfassenden Novellierung des europäischen Datenschutzrechts (Digital-Omnibus-Verordnung). Von den vorgeschlagenen Änderungen ist auch DORA umfasst: Finanzunternehmen sollen schwerwiegende IKT-bezogene Vorfälle künftig über die zentrale Anlaufstelle der Agentur der Europäischen Union für Cybersicherheit an die zuständige Aufsichtsbehörde melden.[28]
Abgrenzung zu anderen Rechtsakten
Aufsichtliche Anforderungen an die IT (Deutschland)
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) veröffentlichte seit 2017 mit den BAIT, VAIT, KAIT und ZAIT norminterpretierende Verwaltungsvorschriften für die Ausgestaltung von IT-Systemen, -Prozessen und der IT-Governance in deutschen Finanzunternehmen. Da ein Großteil der dort getroffenen Regelungen auch über DORA abgedeckt sind, wurden diese Verwaltungsvorschriften zum 17. Januar 2025 außer Kraft gesetzt.[29]
Für Institute, die durch das FinmadiG neu unter DORA fallen, ist in § 65a Abs. 3 KWG eine Übergangsfrist bis zum 1. Januar 2027 vorgesehen. Aus diesem Grund gab die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) im Januar 2025 bekannt, dass für diese Institute die BAIT bis Ablauf der Übergangsfrist noch anwendbar bleiben.
MaRisk / MaGo (Deutschland)
Für Unternehmen, die dem Anwendungsbereich des Aufsichtssystems Solvabilität II, auch Solvency II genannt, unterliegen, bleiben die in den Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen (kurz MaGo) enthaltenen Anforderungen unberührt.
Auch die Mindestanforderungen an das Risikomanagement (kurz MaRisk) des Bankenaufsichtsrecht gelten weiterhin vollumfänglich, lediglich die konkretisierenden BAIT werden durch DORA ersetzt.
KRITIS (Deutschland)
Kritische Infrastrukturen (KRITIS) sind nach dem BSI-Gesetz (BSIG) Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen verursachen würde. Die BaFin hat die BAIT und VAIT im März 2019 um ein KRITIS-Modul ergänzt, das sich ausschließlich an Finanzunternehmen gerichtet hat, die Betreiber Kritischer Infrastrukturen (KRITIS) im Sinne des § 8a BSIG sind. Mit dem Wegfall dieser Verwaltungsvorschriften sind auch diese Konkretisierungen entfallen.
Für Finanzunternehmen, die KRITIS sind, gelten demnach DORA und Regelungen zu KRITIS gleichermaßen.
NIS-2
Die NIS-2-Richtlinie ist eine EU-Richtlinie, die das Niveau der Cyberresilienz in der Union stärken soll. Sie gilt für ein breites Spektrum von Unternehmen, darunter auch Finanzunternehmen. Anders als bei DORA handelt es sich europarechtlich bei NIS-2 nicht um eine Verordnung, die unmittelbar in allen Mitgliedsstaaten gilt, sondern um eine Richtlinie, die erst in nationales Recht umgesetzt werden muss. Am 5. Dezember 2025[30] wurde in Deutschland das NIS-2-Umsetzungsgesetz veröffentlicht und trat am 6. Dezember 2025 in Kraft.[31]
Die Europäische Kommission hat bereits 2023 bekanntgegeben, dass DORA im Sinne von Art. 4 der NIS-2-Richtlinie als gleichwertig anzusehen ist.[32] Dadurch entfällt ein Großteil der Anforderungen aus NIS-2, solange ein Finanzunternehmen bereits DORA erfüllt. Bei der Meldung von schwerwiegenden IKT-Vorfällen ergibt sich der Synergie-Effekt, dass diese lediglich gemäß DORA über das MVP-Portal an die BaFin (Deutschland)[33] oder über die Incoming-Plattform an die FMA (Österreich)[20] gemeldet werden müssen. Die Meldung wird dann von der Aufsichtsbehörde direkt an die für NIS-2 zuständige Stelle weitergeleitet.