Digital Operational Resilience Act (DORA) - Harmonisierung der finanziellen Stabilität in Europa

Der stark informationsgeprägte Finanzsektor konnte durch den Einsatz von Informations- und Kommunikationstechnologien (IKT) große Effizienzgewinne erzielen. Finanztransaktionen wie die Kreditvergabe, der Aktienhandel oder Giralgeld-Buchungen basieren nahezu ausschließlich auf Informationen. Funktionierende Informations- und Kommunikationssysteme sind für Finanzunternehmen daher so wichtig wie das Nervensystem für den menschlichen Organismus.

Ein Ausfall kritischer Systeme kann existenzbedrohend sein und die Stabilität des gesamten Sektors gefährden. Technologische Abhängigkeiten und Risiken sind deshalb in den Fokus der Regulierungsbehörden und des Risikomanagements der Finanzinstitute gerückt.

Die finanzielle Stabilität in Europa

Nicht nur durch die zunehmende Abhängigkeit von IKT, auch durch die steigende Anzahl an Cyberangriffen und die konflikthafte geopolitische Lage konzentrieren sich die europäischen Regulierungsbehörden zunehmend auf technologische Risiken im Finanzsektor.

Als Teil des Digital Finance Packages (DFP) veröffentlichte die Europäische Kommission im September 2020 den Entwurf des Digital Operational Resilience Act (DORA) – einen neuen Regulierungsrahmen für den Finanzsektor. Die finale EU-Verordnung ist am 16. Januar 2023 in Kraft getreten. Seit dem 17. Januar 2025 ist die Umsetzung für alle Finanzmarktteilnehmer in der EU verbindlich.

Die Regulatory Technical Standards (RTS) und Implementing Technical Standards (ITS) wurden inzwischen vollständig veröffentlicht – in zwei Stufen, jeweils sechs und zwölf Monate vor Anwendungsbeginn.

Die Auswirkungen von DORA

DORA baut weitgehend auf bestehenden Anforderungen verschiedener europäischer Regulierungsbehörden auf und fasst diese in einer konsolidierten EU-Verordnung zusammen. Sie schafft einen objektiven, sektorweiten Standard für das Risikomanagement von IKT-Systemen – mit klaren Anforderungen für alle EU-Mitgliedsstaaten.

Gerade für international tätige Finanzinstitute ermöglicht DORA nicht nur regulatorische Vereinheitlichung, sondern auch finanzielle und administrative Effizienzgewinne.

DORA verlagert den Fokus: Weg von bloßer Prävention – hin zu operativer Resilienz. Finanzunternehmen müssen in der Lage sein, auch bei schwerwiegenden Störungen den Betrieb aufrechtzuerhalten. Dafür greift DORA auf etablierte Frameworks zurück und definiert Standards in folgenden Bereichen.

Zentrale Inhalte von DORA im Überblick

1. IKT-Risikomanagement

• Verbindlicher Rahmen für Governance, Schutzmaßnahmen und Frühwarnsysteme
• Klare Verantwortlichkeit der Geschäftsleitung für IKT-Risiken
• Integration von Business-Continuity- und Recovery-Plänen
• Permanente Identifikation, Bewertung und Dokumentation von Risiken
• Jährliche Berichterstattung über die Leistungsfähigkeit des IKT-Risikomanagements
   

2. Testen der digitalen Widerstandfähigkeit

• Risikobasierte Belastungstests und Penetrationstests (TLPT)
• Beteiligung und Koordination mit kritischen Drittanbietern
• Verpflichtung zur Behebung erkannter Schwachstellen
• Definition der Testverfahren, -häufigkeiten und Priorisierung
   

3. Berichterstattung über IKT-Vorfälle

• Etablierung eines europaweit einheitlichen Meldeverfahrens
• Pflicht zur Klassifizierung und Ursachenanalyse schwerwiegender Vorfälle
• Berichte an eine zentrale ESA-Stelle statt an nationale Behörden
• Abbau redundanter Meldepflichten
   

4. Management der IKT-Drittanbieter

• Registrierung aller Dienstleister und Outsourcing-Verträge
• Bewertung nach Kritikalität und Abhängigkeit
• Verpflichtung zur Ausstiegsstrategie und Notfallplanung
• Aufsicht durch eine der drei ESA - EBA (European Banking Authority) , EIOPA (European Insurance and Occupational Pensions Authority), ESAM (European Securities and Markets Authority) - inklusive Inspektionsrecht und Bußgeldrahmen (bis zu 1 % des weltweiten Tagesumsatzes täglich, max. sechs Monate)
   

So unterstützen wir Sie bei der DORA-Umsetzung

Da DORA für alle Finanzmarktteilnehmer gilt, beginnt jede Umsetzung mit einer präzisen GAP-Analyse: Wo stehen wir? Was fehlt? Was kostet es, compliant zu werden?

Wir empfehlen: Nicht auf Audits warten – aktiv vorbereiten.

Die Anforderungen sind umfassend, aber mit einem strukturierten Projektvorgehen und iterativer Umsetzung gut zu meistern.

Seit dem 17. Januar 2025 sind alle DORA-Vorgaben verbindlich umzusetzen. Erste Prüfungen durch Aufsichtsbehörden haben begonnen – mit Fokus auf Vollständigkeit, Governance-Strukturen und Nachweispflichten. Viele Institute nutzen die aktuelle Phase, um ihre Systeme nachzuschärfen und Learnings aus dem ersten Halbjahr in die Plattform- und Prozessoptimierung zu überführen.

Die Essenz von DORA liegt darin, regulatorische Resilienz nicht als Momentaufnahme, sondern als dauerhafte, strategische Aufgabe und Kulturwandel im Finanzsektor zu verankern.