Who does DORA apply to?

DORA applies to virtually all EU financial entities: banks, insurance companies, investment firms, payment providers, crypto-asset service providers, and critically, their ICT third-party service providers.

What is the DORA incident reporting deadline?

DORA has the tightest reporting deadline of any EU regulation: an initial report within 4 hours, an intermediate report within 72 hours, and a final report within 1 month.

Does DORA apply to ICT service providers?

Yes, ICT third-party service providers that serve financial entities must comply with DORA contractual requirements (Article 30). Critical ICT providers are subject to direct oversight by European Supervisory Authorities.

DORA

Gesetz zur digitalen Betriebssicherheit

Wenn die IT-Systeme Ihrer Bank ausfallen, ist das nicht nur lästig – es stellt ein systemisches Risiko dar

Der „Digital Operational Resilience Act“ (DORA) ist die Antwort der EU auf eine einfache Frage: Was passiert, wenn die IT des Finanzsektors ausfällt? DORA schafft einen einheitlichen Rahmen für das IKT-Risikomanagement, die Meldung von Vorfällen, Resilienztests und das Risikomanagement in Bezug auf Dritte für den gesamten EU-Finanzsektor. Denn wenn eine Bank, ein Versicherer oder ein Zahlungsdienstleister ausfällt, handelt es sich nicht nur um ein IT-Problem – es ist ein systemisches Risiko.

Geltungsbereich

Praktisch alle Finanzunternehmen in der EU: Banken, Versicherungsgesellschaften, Wertpapierfirmen, Zahlungsdienstleister, Anbieter von Krypto-Asset-Dienstleistungen und – ganz entscheidend – deren externe IKT-Dienstleister. Wenn Sie Cloud-, Software- oder Datendienste für den Finanzsektor erbringen, gilt die DORA auch für Sie.

Geografische Reichweite

EU-weite Verordnung mit unmittelbarer Wirkung. Gilt für alle in der EU zugelassenen Finanzinstitute und deren kritische IKT-Dienstleister, unabhängig vom Standort der Dienstleister.

Gültig seit

17. Januar 2025

Zweck

Damit der Finanzsektor Störungen im Zusammenhang mit der IKT standhalten, darauf reagieren und sich davon erholen kann. Stellen Sie sich das als einen Fitnesstest für die IT-Infrastruktur Ihrer Bank vor – und der Trainer ist die Europäische Aufsichtsbehörde, also sollten Sie das besser ernst nehmen.

Zu Ihrer Rolle springen:

Finanzinstitut

Sie sind ein beaufsichtigtes Finanzunternehmen: Bank, Versicherungsgesellschaft, Wertpapierfirma, Zahlungsinstitut, E-Geld-Institut, Wertpapierzentrale, Ratingagentur oder Krypto-Asset-Dienstleister. Wenn Sie über eine Finanzlizenz in der EU verfügen, gilt die DORA für Sie.

Ihre Pflichten

Einführung und Pflege eines umfassenden Rahmenwerks für das IKT-Risikomanagement (Art. 5–16)
Einstufung und Meldung schwerwiegender IKT-Vorfälle: Erstmeldung innerhalb von 4 Stunden, Zwischenbericht innerhalb von 72 Stunden, Abschlussbericht innerhalb von 1 Monat (Art. 17–23)
Führen Sie regelmäßig Tests zur digitalen Betriebsstabilität durch, einschließlich bedrohungsorientierter Penetrationstests (TLPT) für bedeutende Einrichtungen (Art. 24–27)
Steuerung von Risiken durch Drittanbieter im IKT-Bereich mittels strukturierter Sorgfaltsprüfung, vertraglicher Anforderungen und laufender Überwachung (Art. 28–44)
An Vereinbarungen zum Informationsaustausch über Cyberbedrohungen teilnehmen (Art. 45)
Stellen Sie sicher, dass das Leitungsorgan die letztendliche Verantwortung für IKT-Risiken übernimmt – einschließlich Schulungen (Art. 5.2)
Führen Sie ein Verzeichnis aller Vereinbarungen mit Dritten im Bereich der Informations- und Kommunikationstechnologie (Art. 28.3)
Erfassen Sie IKT-Ressourcen, Systeme und Abhängigkeiten – auch über Konzernstrukturen hinweg (Art. 8)

Wichtige Artikel

Art. 5–16 – Rahmenwerk für das IKT-Risikomanagement§§ 17–23 – Einstufung und Meldung von Vorfällen§§ 24–27 – Prüfung der digitalen Widerstandsfähigkeit§§ 28–44 – Haftpflichtmanagement§ 45 – Informationsaustausch

Profi-Tipp

Die Frist von vier Stunden für die Erstmeldung ist die kürzeste in allen EU-Vorschriften. Richten Sie eine automatisierte Erkennung von Vorfällen ein und halten Sie vorformulierte Vorlagen bereit. Erfassen Sie außerdem schon jetzt Ihre IKT-Abhängigkeiten – wenn ein Vorfall eintritt, müssen Sie wissen, welcher Anbieter betroffen ist und was die Verträge über dessen Verpflichtungen besagen.

Externer IT-Dienstleister

Sie erbringen IKT-Dienstleistungen für Finanzinstitute: Cloud-Infrastruktur, Kernbankensoftware, Zahlungsabwicklung, Datenanalyse, Cybersicherheitsdienste oder IT-Outsourcing. Wenn der Finanzsektor auf Ihre Systeme angewiesen ist, hat die DORA Ihnen etwas mitzuteilen – insbesondere, wenn Sie von den europäischen Aufsichtsbehörden als „kritischer“ IKT-Anbieter eingestuft wurden.

Ihre Pflichten

Unterstützung von Finanzinstituten bei der Einhaltung der Vorschriften durch Bereitstellung angemessener Informationen und Nachweise (Art. 28–30)
Akzeptieren Sie Vertragsklauseln, die folgende Punkte abdecken: Leistungsbeschreibungen, Datenstandorte, Sicherheitsmaßnahmen, Unterstützung bei Vorfällen, Prüfungsrechte und Ausstiegsstrategien (Art. 30)
Meldung von Vorfällen, die Kunden von Finanzinstituten betreffen, unverzüglich (Art. 30.2e)
Falls als systemrelevant eingestuft: Unterstellung unter die direkte Aufsicht der europäischen Aufsichtsbehörden (Art. 31–44)
Falls dies von entscheidender Bedeutung ist: Gewährleistung angemessener Sicherheitsstandards, Durchführung von Bewertungen und Übermittlung von Risikoinformationen an die Behörden (Art. 33–36)
Stellen Sie sicher, dass Vereinbarungen über die Vergabe von Unteraufträgen die Fähigkeit des Finanzinstituts zur Einhaltung der Vorschriften nicht beeinträchtigen (Art. 30.2a)

Wichtige Artikel

Art. 28 – Allgemeine Grundsätze für das Risiko durch Dritte im Bereich der Informations- und Kommunikationstechnologie§ 30 – Wesentliche Vertragsbestimmungen§§ 31–44 – Aufsichtsrahmen für kritische Anbieter

Profi-Tipp

Wenn Sie im Finanzsektor tätig sind, sollten Sie jetzt damit beginnen, Ihre Verträge auf die Anforderungen von Artikel 30 der DORA zu überprüfen. Finanzinstitute werden diese Anforderungen an Sie weitergeben – seien Sie lieber proaktiv als reaktiv. DORA-konforme Vertragsvorlagen zeugen von Professionalität und sparen Verhandlungszeit.

Wie Euregas Ihnen helfen kann

Verfügbare Tools

IKT-Risikobewertungen – strukturierte Bewertungen im Einklang mit den Anforderungen von DORA, Artikel 5–16
Vorfallmanagement – Verfolgen Sie IKT-Vorfälle mit automatischen Erinnerungen zu den Fristen von 4 Stunden und 72 Stunden
Risikomanagement in Bezug auf Dritte (Art. 28–44) – Bewertung und Überwachung von IKT-Dienstleistern

KI-gestützte Funktionen

Semantische Suche in den Artikeln und Erwägungsgründen der DORA
Durch KI vorab ausgefüllte Fallschritte für DORA-bezogene Compliance-Fälle

Hinweis

Das DORA-Modul bietet manuelle, strukturierte Arbeitsabläufe. KI-gestützte Funktionen (z. B. Einstufung des Schweregrads von Vorfällen, automatisierte TLPT-Abgrenzung) sind für zukünftige Versionen geplant.

Alle Beispiele sind fiktiv und dienen lediglich der Veranschaulichung.