DORA (Digital Operational Resilience Act)

DORA (Digital Operational Resilience Act) ist eine EU-Verordnung, die Finanzunternehmen verpflichtet, ihre IT und digitalen Prozesse so abzusichern, dass sie auch bei Cyberangriffen, Systemausfällen oder Problemen mit IT-Dienstleistern stabil weiterarbeiten können. Im Kern geht es um einheitliche Mindeststandards für IT-Risikomanagement, Incident-Meldungen, Tests der Widerstandsfähigkeit und das Management von IT-Drittrisiken.

Was bedeutet DORA konkret?

DORA ist Teil der EU-Strategie für einen resilienten Finanzmarkt. Die Verordnung richtet sich vor allem an Banken, Versicherungen, Zahlungsdienstleister, Wertpapierfirmen sowie wichtige IT-Dienstleister (z. B. Cloud-Provider), die diese Unternehmen unterstützen. Ziel ist, dass digitale Störungen nicht zu langen Ausfällen, Datenverlust oder Dominoeffekten im Finanzsystem führen.

Wie funktioniert DORA? (vereinfacht in 5 Bausteinen)

• ICT-Risikomanagement: Unternehmen müssen Risiken systematisch identifizieren, schützen, erkennen, reagieren und wiederherstellen (z. B. Backup-Strategie, Zugriffskontrollen, Notfallpläne).
• Incident Management & Meldepflichten: Schwere IT-Sicherheitsvorfälle müssen nach klaren Kriterien erfasst, klassifiziert und fristgerecht gemeldet werden.
• Resilienz-Tests: Regelmäßige Tests (z. B. Wiederanlauf-Tests, Penetrationstests) sollen zeigen, ob Systeme und Prozesse im Ernstfall halten.
• IT-Drittrisiko-Management: Strengere Anforderungen an Verträge, Überwachung und Exit-Pläne bei externen IT-Anbietern (z. B. Cloud, Outsourcing, Managed Services).
• Informationsaustausch: Unter bestimmten Rahmenbedingungen können Finanzunternehmen Bedrohungsinformationen teilen, um schneller zu reagieren.

Warum ist DORA wichtig – auch für kleine Unternehmen?

Viele kleine Unternehmen sind nicht direkt „DORA-pflichtig“. Trotzdem wirkt DORA oft indirekt: Wenn Sie als IT-Dienstleister, Softwareanbieter oder Outsourcing-Partner für Finanzkunden arbeiten, werden Anforderungen über Verträge und Lieferantenbewertungen an Sie weitergereicht. Typische Folgen sind strengere Sicherheitsfragebögen, Nachweise (z. B. ISMS-Policies), klarere SLAs sowie Anforderungen an Notfallbetrieb und Unterauftragnehmer.

Strategisch ist DORA ein Signal: Digitale Resilienz wird zur Management-Aufgabe. Wer heute eine IT-Strategie aufsetzt, sollte daher Themen wie Lieferantenabhängigkeiten, Ausfallszenarien, Wiederherstellungszeiten (RTO/RPO) und Security-by-Design fest einplanen – besonders, wenn Cloud und externe Tools genutzt werden.

Beispiele aus der Praxis

• Ein Zahlungsdienstleister nutzt einen Cloud-Provider: DORA fordert klare Vertragsklauseln zu Verfügbarkeit, Audit-Rechten, Datenstandorten und Exit (Provider-Wechsel).
• Eine Versicherung hat einen Cybervorfall: DORA verlangt definierte Prozesse, wann ein Vorfall „schwerwiegend“ ist, wie intern eskaliert wird und welche Meldungen an Behörden erfolgen.
• Ein IT-Systemhaus betreut eine Bank als Kunde: Die Bank verlangt u. a. dokumentierte Backup- und Restore-Tests, Incident-Prozesse und ggf. Nachweise zu Zugriffskontrollen.

In der Umsetzung überschneidet sich DORA häufig mit Themen wie IT-Compliance, Lieferantensteuerung und Sicherheitsorganisation. Für KI- und Automatisierungsprojekte (z. B. mit AI Governance oder bei sensiblen Daten auch Datenschutz (DSGVO/GDPR) & KI) bedeutet das: Resilienz, Logging, klare Verantwortlichkeiten und Drittanbieter-Risiken sollten von Anfang an mitgedacht werden.