Der „Digital Operational Resilience Act“ (DORA) ist eine EU-Verordnung, die Finanzinstitute dazu verpflichtet, Störungen und Bedrohungen im Bereich der Informations- und Kommunikationstechnologie (IKT) zu widerstehen, darauf zu reagieren und sich davon zu erholen. Sie trat am 17. Januar 2025 in Kraft und gilt für Banken, Versicherer, Wertpapierfirmen, Zahlungsinstitute und deren externe IKT-Dienstleister, einschließlich Nicht-EU-Unternehmen, die in der EU tätig sind oder Dienstleistungen für die EU erbringen.
Die anfängliche Phase der aufsichtsrechtlichen Toleranz ist vorbei. Die zuständigen nationalen Behörden in den EU-Mitgliedstaaten führen derzeit aktive aufsichtsrechtliche Überprüfungen durch, und es werden bereits Durchsetzungsmaßnahmen ergriffen.
Finanzinstitute stehen mittlerweile vor einer noch dringlicheren Frage als der Einhaltung von Vorschriften: Sind ihre Programme überprüfbar, nachweisbar und so konzipiert, dass sie einer aktiven aufsichtsrechtlichen Prüfung standhalten? Dieser Artikel befasst sich damit, was DORA verlangt, wo Institute Lücken feststellen und wie die Einhaltung der Vorschriften im Jahr 2026 aussehen wird.
- Für wen gilt DORA?
- Was verlangt DORA eigentlich? Die 5 wichtigsten Compliance-Verpflichtungen gemäß DORA verstehen
- So sieht die Durchsetzung der DORA-Vorschriften im Jahr 2026 aus
- Das Informationsregister: Was es ist und warum es so schwierig ist
- Kritische Drittanbieter: Der ESA-Aufsichtsrahmen
- Wo Unternehmen im Jahr 2026 Schwierigkeiten haben
- So sieht ein Programm aus, das für den Dauerbetrieb ausgelegt ist
- Häufig gestellte Fragen
Für wen gilt DORA?
Die DORA gilt für ein breites Spektrum von Finanzunternehmen, die innerhalb der EU tätig sind, darunter Banken und Kreditinstitute, Versicherungs- und Rückversicherungsunternehmen, Wertpapierfirmen, Zahlungsinstitute und E-Geld-Institute, Krypto-Asset-Dienstleister, zentrale Gegenparteien und Handelsplätze sowie unter bestimmten Voraussetzungen Ratingagenturen und Wirtschaftsprüfungsgesellschaften.
DORA gilt für alle Unternehmen, die Finanzdienstleistungen innerhalb der EU erbringen, einschließlich Nicht-EU-Unternehmen, die auf EU-Märkten tätig sind. Finanzinstitute aus dem Vereinigten Königreich, den USA und anderen Ländern, die in der EU tätig sind oder Dienstleistungen für die EU erbringen, fallen ebenfalls in den Geltungsbereich.
Was verlangt DORA eigentlich? Die 5 wichtigsten Compliance-Verpflichtungen gemäß DORA verstehen
DORA gliedert seine Anforderungen in fünf Bereiche, die jeweils unterschiedliche Verpflichtungen mit sich bringen und im Jahr 2026 in unterschiedlichem Maße der Aufsicht unterliegen werden.
-
IKT-Risikomanagement und -Governance
Im Rahmen von DORA ist das Leitungsgremium für das IKT-Risikorahmenwerk verantwortlich. Das umfasst eine dokumentierte Strategie zur digitalen Widerstandsfähigkeit, eine festgelegte Risikotoleranz, ein vollständiges Bestandsverzeichnis der Vermögenswerte, Sicherheitsrichtlinien sowie regelmäßige Sensibilisierungsschulungen für die Mitarbeiter. Dazu gehört auch eine nachweisbare und nicht nur nominelle Aufsicht auf Vorstandsebene. Im Jahr 2026 prüfen die nationalen Aufsichtsbehörden, ob die Vorstände ein aktives Engagement im Bereich der IKT-Risiken nachweisen können, und nicht nur, ob eine Governance-Struktur auf dem Papier existiert.
-
Reaktion auf Vorfälle und Berichterstattung
Organisationen müssen über einen klaren Plan zur Reaktion auf Vorfälle verfügen, der die Einstufung, die Meldeverfahren und die Kommunikation mit den betroffenen Nutzern abdeckt. Schwerwiegende IKT-Vorfälle müssen gemäß RTS 2025/301 in drei Stufen an die zuständige nationale Koordinierungsstelle (NCA) gemeldet werden: eine Erstmeldung innerhalb von vier Stunden nach der Einstufung, ein Zwischenbericht innerhalb von 72 Stunden und ein Abschlussbericht innerhalb eines Monats. Die operative Herausforderung liegt in der Einstufung: Um in Echtzeit festzustellen, ob ein Vorfall die Meldeschwelle der NCA überschreitet, sind Verfahren erforderlich, die anhand realer Szenarien getestet wurden (und nicht nur dokumentiert sind).
-
Testen der digitalen Ausfallsicherheit
DORA schreibt ein Testframework vor, das regelmäßige grundlegende IKT-Tests sowie – für bedeutende Einrichtungen – fortgeschrittene, bedrohungsorientierte Penetrationstests (TLPT) umfasst, die gemäß Artikel 26 an die TIBER-EU-Methodik angelehnt sind. Durch die Tests festgestellte Schwachstellen müssen durch dokumentierte Abhilfemaßnahmen behoben werden. Die Aufsichtsbehörden akzeptieren die Bestätigung der TLPT-Verpflichtung nicht mehr als Nachweis.
-
Risikomanagement für Drittparteien
Organisationen müssen die Sicherheitskontrollen von externen IKT-Anbietern bewerten und sicherstellen, dass die Verträge eine vollständige Beschreibung des Leistungsumfangs, Angaben zum Datenstandort, Prüfungsrechte sowie Bestimmungen zur Ausstiegsstrategie enthalten. Organisationen müssen zudem ein Informationsregister führen, das alle Verträge mit externen IKT-Anbietern nach ihrer Kritikalität kategorisiert, und Konzentrationsrisiken aktiv steuern, wenn mehrere kritische Funktionen von einem einzigen Anbieter abhängen. Das Register wird der nationalen zuständigen Behörde (NCA) vorgelegt, muss gemäß Artikel 28 Absatz 3 fortlaufend gepflegt werden und muss jederzeit zur Vorlage bereit sein. Die nationalen zuständigen Behörden können es außerhalb des jährlichen Zyklus ohne festgelegte Vorlaufzeit anfordern.
-
Informations- und Nachrichtenaustausch
DORA ermutigt Finanzinstitute, sich an vertrauenswürdigen Gemeinschaften zum Austausch von Bedrohungsinformationen zu beteiligen und sich über neu auftretende IKT-Risiken und Schwachstellen abzustimmen, um systemische Risiken im gesamten Finanzsektor zu verringern. Dies ist der am wenigsten verbindliche der fünf Bereiche und derjenige, der am wenigsten Aufmerksamkeit seitens der Aufsichtsbehörden auf sich zieht – die Teilnahme unterstützt zwar die von den Regulierungsbehörden erwartete Compliance-Situation, steht jedoch nicht im Mittelpunkt der Prüfungen der nationalen Aufsichtsbehörden im Jahr 2026.
So sieht die Durchsetzung der DORA-Vorschriften im Jahr 2026 aus
Die nationalen Aufsichtsbehörden sind von einer toleranten Haltung zu einer aktiven Überprüfung übergegangen. Für die von der EZB beaufsichtigten Institute hat die Veröffentlichung des EZB-Leitfadens zum Outsourcing von Cloud-Diensten im Juli 2025 die Unklarheiten beseitigt, die zuvor Interpretationsspielraum ließen. Der Leitfaden deckt alle Formen des Cloud-Outsourcings – IaaS, PaaS und SaaS – in öffentlichen, privaten und hybriden Umgebungen ab, und die aufsichtsrechtlichen Überprüfungen werden daran gemessen.
Die nationalen Behörden begannen im Jahr 2026 mit der Verhängung formeller NIS2-Aufsichtsmaßnahmen, womit die Richtlinie von der Umsetzungsphase in die Durchsetzungsphase überging. Die Richtung der regulatorischen Entwicklung ist eindeutig: Die Übergangsfrist für die Verpflichtungen zur digitalen Widerstandsfähigkeit ist abgelaufen.
Ein DORA-Compliance-Programm, das im Januar 2025 noch angemessen war, ist möglicherweise für eine aufsichtsrechtliche Prüfung im Jahr 2026 nicht mehr ausreichend. Die Aufsichtsbehörden prüfen nicht, ob Kontrollmechanismen vorhanden sind, sondern ob diese funktionieren, kontinuierlich gepflegt werden und auf Verlangen nachweisbar sind.
Das Informationsregister: Was es ist und warum es so schwierig ist
Das Informationsregister ist eine vorgeschriebene, strukturierte Aufzeichnung aller vertraglichen Vereinbarungen, die ein Finanzunternehmen mit externen IKT-Dienstleistern unterhält. Das Register wird an Ihre nationale Aufsichtsbehörde übermittelt. Es handelt sich nicht um ein internes Dokument.
Gemäß DORA müssen Finanzinstitute das Register fortlaufend führen, auf dem neuesten Stand halten und es jährlich bei ihrer nationalen zuständigen Behörde einreichen. Die nationalen zuständigen Behörden konsolidieren die Daten und leiten sie zu Aufsichtszwecken an die europäischen Aufsichtsbehörden – EBA, EIOPA und ESMA – weiter. Der erste Einreichungszyklus fand Anfang 2025 statt. Der Zyklus 2026, der Daten zum 31. Dezember 2025 umfasste, lief in den EU-Mitgliedstaaten bis zum ersten Quartal 2026.
Das Register basiert auf einer standardisierten Vorlage, die von den Europäischen Aufsichtsbehörden (ESAs) gemäß der Durchführungsverordnung (EU) 2024/2956 der Kommission festgelegt wurde. Jeder Eintrag muss mindestens die Identität des Anbieters (einschließlich einer gültigen LEI- oder EU-ID), eine Beschreibung der erbrachten Dienstleistungen und deren Einstufung nach Kritikalität, die Standorte der Datenspeicherung und -verarbeitung, Vereinbarungen zur Weitergabe an Unterauftragnehmer, relevante Vertragsbedingungen sowie eine Bewertung der Substituierbarkeit des Anbieters enthalten.
Für die meisten Finanzinstitute erfordert der Aufbau und die Pflege eines vollständigen, korrekten Registers eine Daten-Governance für Anbieter, für die herkömmliche TPRM-Programme nicht ausgelegt sind.
Die häufigsten Fehlerquellen:
- Für Lieferanten, deren Verträge vor Inkrafttreten der Vorschrift abgeschlossen wurden, fehlen die LEI-Codes
- Kein Einblick in die Unterauftrags-Ketten jenseits der ersten Ebene
- Kritikalitätsklassifizierungen, die bei Änderungen der Geschäftsfunktionen nicht aktualisiert werden
- Validierungsfehler bei der Einreichung, die nicht vor Ablauf der NCA-Fristen erkannt werden
Unternehmen, die dies in großem Umfang verwalten, sollten nach Lösungen suchen, die die Erfassung von Lieferantendaten automatisieren, fehlende LEI-Nummern vor der Übermittlung kennzeichnen und Abhängigkeiten durch Unteraufträge im gesamten Vertragsbestand aufzeigen.
Ihr Informationsregister ist ein dynamisches Aufsichtsinstrument.
So soll es auch bleibenDie Erwartungen der nationalen Aufsichtsbehörden hinsichtlich der Datenqualität steigen mit jedem Zyklus. Die Europäischen Aufsichtsbehörden haben ausdrücklich darauf hingewiesen, dass das Register ein aktives Aufsichtsinstrument ist. Die nationalen Aufsichtsbehörden können die Daten auch außerhalb des jährlichen Einreichungszyklus im Rahmen von Aufsichtsüberprüfungen oder thematischen Untersuchungen anfordern, wobei die Antwortfristen zum Zeitpunkt der Anforderung festgelegt werden. Organisationen, die das Register als jährliche Meldung und nicht als kontinuierlich gepflegten Datensatz betrachten, werden dieser Verpflichtung nicht nachkommen können.
Kritische Drittanbieter: Der ESA-Aufsichtsrahmen
Das DORA-Rahmenwerk für Risiken durch Dritte umfasst eine Aufsichtsebene, die unabhängig von den Anforderungen an einzelne Finanzinstitute funktioniert. Für die IKT-Anbieter, die für den Finanzsektor der EU von größter systemischer Bedeutung sind, sieht DORA ein direktes Aufsichtssystem vor, das von den Europäischen Aufsichtsbehörden betrieben wird.
Diese Anbieter werden als „kritische Drittanbieter“ (Critical Third-Party Providers, CTPP) bezeichnet. Bis Oktober 2025 wurden 19 IKT-Drittanbieter von den Europäischen Aufsichtsbehörden (ESAs) offiziell als solche ausgewiesen. Dabei handelt es sich um große Cloud-Plattformen und Anbieter von Technologieinfrastruktur, deren Dienste wesentliche Teile des EU-Finanzsystems stützen.
Die CTPP-Einstufung bedeutet eine direkte Aufsicht durch eine federführende Aufsichtsbehörde (ESA – je nach dem primären Finanzsektor des Anbieters entweder EBA, EIOPA oder ESMA), die Verpflichtung zur Zusammenarbeit mit dieser Aufsichtsbehörde, einschließlich Vor-Ort-Prüfungen und Zugang für Prüfungen, sowie die Verpflichtung, Empfehlungen innerhalb festgelegter Fristen umzusetzen. Bei mangelnder Zusammenarbeit werden regelmäßige Strafzahlungen fällig.
Für Finanzinstitute, die ausgewiesene CTPPs nutzen, gilt vor allem Folgendes: Die ESA-Aufsicht über Ihren Anbieter ersetzt nicht Ihre eigenen Compliance-Verpflichtungen. Die EZB hat sich hierzu eindeutig geäußert. Die CTPP-Ausweisung ersetzt weder vertragliche Schutzmaßnahmen noch die Sorgfaltspflicht. Wenn ein Anbieter, auf den Sie sich verlassen, den CTPP-Status besitzt, überprüfen Sie Ihre vertraglichen Vereinbarungen im Hinblick auf die Anforderungen der DORA, einschließlich Prüfungsrechten, Ausstiegsklauseln und Transparenz hinsichtlich des Datenstandorts. Die Verpflichtungen hinsichtlich des Konzentrationsrisikos gelten mit besonderer Dringlichkeit, wenn ein CTPP beteiligt ist.
DORA wird derzeit aktiv durchgesetzt.
Laden Sie die Checkliste zu Risiken durch Drittanbieter herunter.Wo Unternehmen im Jahr 2026 Schwierigkeiten haben
Bei der aktiven aufsichtsrechtlichen Überprüfung treten durchgängig Lücken bei den verschiedenen Instituten zutage. Die häufigsten Risikobereiche sind:
- Die Vollständigkeit der Lieferantenregistrierung stellt nach wie vor ein Problem dar. Viele Organisationen verfügen nicht über eine umfassende, nach Kategorien gegliederte Aufstellung aller IKT-Verträge mit Drittanbietern in der von DORA geforderten Detailtiefe, insbesondere was Verträge betrifft, die vor Inkrafttreten der Verordnung abgeschlossen wurden.
- Den Verfahren zur Einstufung von Vorfällen mangelt es an operativer Einheitlichkeit. Ohne klare interne Verfahren, die anhand realer Szenarien getestet wurden, ist es schwierig, in Echtzeit festzustellen, ob ein Vorfall den Meldeschwellenwert der NCA überschreitet.
- Die Transparenz hinsichtlich Konzentrationsrisiken ist unvollständig. Um eine übermäßige Abhängigkeit von einer kleinen Anzahl kritischer IKT-Anbieter zu erkennen, ist eine portfolioübergreifende Transparenz erforderlich, die viele Unternehmen derzeit noch aufbauen.
- Die Einheitlichkeit von Programmen über mehrere Rechtsräume hinweg stellt für multinationale Unternehmen eine strukturelle Herausforderung dar. Die verschiedenen nationalen Aufsichtsbehörden wenden ihre aufsichtsrechtlichen Erwartungen in unterschiedlichem Maße an, und die Aufrechterhaltung eines einheitlichen Programms in allen Mitgliedstaaten erhöht die operative Komplexität.
- Die Umsetzung des TLPT hinkt hinterher. Viele Organisationen, die die Testpflicht für 2025 anerkannt haben, haben noch keinen vollständigen Zyklus abgeschlossen.
So sieht ein Programm aus, das für den Dauerbetrieb ausgelegt ist
Die Organisationen, die für die aufsichtsrechtliche Überprüfung am besten gerüstet sind, sind nicht diejenigen, die sich beeilt haben, die Frist im Januar 2025 einzuhalten. Sie haben Programme entwickelt, die auf einen kontinuierlichen Betrieb ausgelegt sind. Sie liefern Nachweise für die Einhaltung der Vorschriften als natürliches Ergebnis des Programmablaufs und nicht als etwas, das als Reaktion auf eine Aufforderung der Aufsichtsbehörde zusammengestellt wurde.
Das bedeutet eine kontinuierliche Überwachung der Lieferanten anstelle von jährlichen Einzelbewertungen. Es bedeutet Kriterien zur Einstufung von Vorfällen, die anhand realer Szenarien getestet und nicht nur dokumentiert werden. Es bedeutet ein Informationsregister, das die aktuellen vertraglichen Vereinbarungen widerspiegelt und bei Vertragsänderungen aktualisiert wird. Und es bedeutet eine Überwachung durch Dritte, die nicht nach der anfänglichen Einbindung endet.
Eine manuelle Verwaltung über fünf Domänen, mehrere Rechtsräume und Dutzende oder Hunderte von IKT-Anbietern hinweg ist für die meisten Organisationen nicht tragbar. Die richtige technologische Infrastruktur zentralisiert Compliance-Daten, automatisiert Überwachungs- und Bewertungsabläufe und bietet Compliance-Teams jederzeit einen konsolidierten Überblick über den Status des Programms.
Wenn Sie den aktuellen Stand Ihres Programms beurteilen möchten, ist eine Lückenanalyse in den fünf Bereichen der sinnvollste Ausgangspunkt, wobei die Bewertung anhand der Standards erfolgt, die ein Betreuer heute anwenden würde.
Stimmen Sie Ihr DORA-Programm in den Bereichen IT, Risiko und Compliance aufeinander ab.
Zur PlattformHäufig gestellte Fragen
Was ist DORA?
DORA steht für „Digital Operational Resilience Act“ (Gesetz über digitale Betriebsresilienz).
Es handelt sich um eine EU-Verordnung, die Finanzinstitute dazu verpflichtet, IKT-Risiken zu managen und ihre Betriebsresilienz gegenüber digitalen Störungen nachzuweisen. Sie gilt für Banken, Versicherer, Wertpapierfirmen, Zahlungsinstitute, Anbieter von Krypto-Asset-Dienstleistungen sowie deren externe IKT-Dienstleister. Auch Nicht-EU-Unternehmen mit Geschäftstätigkeit in der EU oder mit Dienstleistungen für die EU fallen in den Geltungsbereich.
Was sind die fünf Säulen von DORA?
DORA gliedert sich in fünf Bereiche: IKT-Risikomanagement und -Governance, Reaktion auf Vorfälle und Berichterstattung, Prüfung der digitalen Betriebsresilienz, Risikomanagement in Bezug auf Dritte sowie Informations- und Wissensaustausch. Jeder Bereich ist mit spezifischen Verpflichtungen verbunden; das Risikomanagement in Bezug auf Dritte und das Informationsregister haben seit Beginn der Durchsetzung die größte Aufmerksamkeit der Aufsichtsbehörden auf sich gezogen.
Was ist das DORA-Informationsregister?
Das Informationsregister ist eine vorgeschriebene Meldung an die Aufsichtsbehörde, in der alle IKT-Verträge eines Finanzunternehmens mit Drittanbietern nach ihrer Kritikalität geordnet erfasst werden. Es muss die Identitäten der Anbieter (mit LEI-Codes), Leistungsbeschreibungen, Datenstandorte, Unterauftragsvereinbarungen und Vertragsbedingungen enthalten. Es wird jährlich bei der zuständigen nationalen Aufsichtsbehörde eingereicht und anschließend von den europäischen Aufsichtsbehörden konsolidiert.
Was ist ein „Critical Third-Party Provider“ im Sinne der DORA?
Ein „Critical Third-Party Provider“ (CTPP) ist ein IKT-Dienstleister, der von den europäischen Aufsichtsbehörden offiziell als systemrelevant für den EU-Finanzsektor eingestuft wurde. Bis Oktober 2025 wurden 19 Anbieter benannt. CTPPs unterliegen der direkten Aufsicht der ESA, einschließlich Inspektions- und Prüfungsrechten. Finanzunternehmen, die CTPPs nutzen, behalten ihre eigenen DORA-Compliance-Verpflichtungen unabhängig vom Ausweisstatus des Anbieters.
Wird die DORA im Jahr 2026 durchgesetzt?
Ja. Die anfängliche Phase der aufsichtsrechtlichen Toleranz endete nach dem Datum des Inkrafttretens der DORA im Januar 2025. Finanzinstitute müssen bei wesentlichen Verstößen mit Bußgeldern rechnen; das konkrete Sanktionssystem variiert je nach Art des Instituts und ist in den Artikeln 50 bis 54 der Verordnung (EU) 2022/2554 festgelegt. Die nationalen zuständigen Behörden führen aktive aufsichtsrechtliche Überprüfungen durch, und die EZB hat im Juli 2025 ihre Leitlinien zum Cloud-Outsourcing veröffentlicht.
