DORA Finanzsektor IT-Sicherheit Compliance Regulierung

DORA-Verordnung: Was Finanzunternehmen jetzt umsetzen müssen

Nils Oehmichen
Von Nils Oehmichen Datenschutzberater & Geschäftsführer

Inhalt in Kürze

  • DORA (Digital Operational Resilience Act) gilt seit dem 17. Januar 2025 für alle beaufsichtigten Finanzunternehmen in der EU — ohne weitere Übergangsfrist.
  • Die Verordnung umfasst 5 Kernbereiche: IKT-Risikomanagement, Vorfallmeldung, Resilienztests, Drittanbieter-Management und Informationsaustausch.
  • Die BaFin ist zentrale Meldestelle und hat Erleichterungen für kleinere Unternehmen veröffentlicht.
  • Wer noch nicht begonnen hat, muss jetzt handeln: Die ersten BaFin-Prüfungen laufen bereits.

Seit dem 17. Januar 2025 gelten für Banken, Versicherungen und Zahlungsdienstleister neue Spielregeln. DORA — der Digital Operational Resilience Act — schreibt vor, wie Finanzunternehmen ihre IT gegen Ausfälle und Cyberangriffe absichern müssen. Nicht irgendwann. Jetzt.

Trotzdem haben viele Unternehmen die Umsetzung noch nicht abgeschlossen. Die BaFin prüft bereits. Wer die Anforderungen kennt, kann gezielt nachsteuern.

17.01.2025
DORA gilt — ohne Übergangsfrist
5 Säulen
IKT-Risikomanagement bis Informationsaustausch
1 % Tagesumsatz
Zwangsgeld für IKT-Drittanbieter pro Tag

Was ist DORA?

DORA ist eine EU-Verordnung (Verordnung 2022/2554), die digitale Betriebsresilienz im Finanzsektor einheitlich regelt. Vor DORA gab es ein Flickwerk aus nationalen Regeln und sektorspezifischen Leitlinien. Jetzt gilt ein Standard für alle.

Das Ziel: Finanzunternehmen sollen Cyberangriffe und IT-Ausfälle überstehen, ohne dass Kunden oder das Finanzsystem Schaden nehmen.

Wen betrifft DORA?

Kurz: Fast alle regulierten Finanzunternehmen. Konkret fallen darunter:

Betroffene Beispiele
Kreditinstitute Banken, Sparkassen, Volksbanken
Versicherungen Lebens-, Sach-, Rückversicherer
Zahlungsdienstleister Payment-Anbieter, E-Geld-Institute
Kapitalverwaltung Fondsgesellschaften, Vermögensverwalter
Krypto-Dienstleister Börsen, Wallet-Anbieter
IKT-Drittanbieter Cloud-Provider, Rechenzentren, SaaS-Anbieter für Finanzunternehmen
Achtung:

Auch wenn Sie kein Finanzunternehmen sind: Wenn Sie als IT-Dienstleister oder Cloud-Anbieter für Banken oder Versicherungen arbeiten, können Sie als „kritischer IKT-Drittanbieter" unter DORA fallen. Die BaFin führt ein Register.

Die 5 Säulen von DORA

  1. IKT-Risikomanagement: Ein vollständiges Framework zur Identifikation, Klassifizierung und Dokumentation aller IKT-Assets. Inklusive Schutzmaßnahmen, Erkennungsmechanismen und Wiederherstellungsplänen.
  2. Vorfallmeldung: Schwerwiegende IKT-Vorfälle müssen an die BaFin gemeldet werden — mit definierten Fristen und Formularen. Meldeprozess muss vorab stehen.
  3. Resilienztests: Regelmäßige Tests der digitalen Betriebsresilienz. Für systemrelevante Unternehmen: bedrohungsgeleitete Penetrationstests (TLPT) mindestens alle drei Jahre.
  4. Drittanbieter-Management: Alle Verträge mit IKT-Dienstleistern müssen in einem Informationsregister dokumentiert werden. Risikokonzentration bei einzelnen Anbietern ist zu vermeiden.
  5. Informationsaustausch: Freiwilliger Austausch von Cyber-Bedrohungsinformationen zwischen Finanzunternehmen — über sichere Kanäle und unter Wahrung des Datenschutzes.

DORA vs. NIS2: Was ist der Unterschied?

Kriterium DORA NIS2
Geltungsbereich Finanzsektor 18 Sektoren (Energie, Gesundheit, Transport, IT…)
Rechtsform EU-Verordnung (direkt gültig) EU-Richtlinie (nationale Umsetzung)
Aufsicht in DE BaFin BSI
Anwendbar seit 17. Januar 2025 6. Dezember 2025 (NIS2UmsuCG)
Verhältnis Lex specialis — geht vor Finanzsektor ausgenommen
Resilienztests Pflicht (inkl. TLPT) Empfohlen, nicht verpflichtend

Finanzunternehmen, die unter DORA fallen, sind von NIS2 ausgenommen. Aber: Wer beide Regelungen auf dem Schirm hat, findet erhebliche Synergien — gerade beim IKT-Risikomanagement und der Vorfallmeldung.

Aus der Praxis

Es trifft auch die kleineren Unternehmen. Wir hatten einen Mandanten — Zahlungsdienstleister mit 30 Mitarbeitern. Die dachten, DORA sei nur was für Deutsche Bank und Allianz. Dann kam die erste BaFin-Anfrage zum Informationsregister. In zwei Wochen hatten wir das aufgesetzt — aber der Stress war vermeidbar.

Nils Oehmichen Nils OehmichenDatenschutzberater bei frag.hugo

DORA umsetzen: Ihre Checkliste

  • IKT-Asset-Inventar erstellen. Alle IT-Systeme, Software und Dienstleister erfassen und klassifizieren.
  • Informationsregister aufbauen. Alle Verträge mit IKT-Drittanbietern dokumentieren — die BaFin stellt Vorlagen bereit.
  • Vorfallmeldeprozess definieren. Wer meldet was, in welcher Frist, an wen? Abläufe testen.
  • Resilienztests planen. Schwachstellenscans, Penetrationstests und Disaster-Recovery-Tests in den Kalender eintragen.
  • Schulungen durchführen. Geschäftsleitung und IT-Team müssen DORA-Anforderungen kennen.
  • Lückenanalyse durchführen. Was fehlt im Vergleich zu den DORA-Anforderungen? Maßnahmenplan erstellen.

DORA-Umsetzung für Hamburger Finanzunternehmen

Hamburg ist einer der größten Finanzstandorte Deutschlands — mit Haspa, Berenberg, zahlreichen Versicherungen und einem wachsenden FinTech-Ökosystem. Die BaFin-Anforderungen treffen hier auf eine besonders dichte Unternehmenslandschaft. Als IT-Sicherheitsberatung in Hamburg unterstützen wir Finanzunternehmen bei der DORA-Umsetzung: vom Informationsregister bis zum Resilienztest.

Das Wichtigste: DORA gilt seit Januar 2025 — ohne Übergangsfrist. Finanzunternehmen jeder Größe müssen IKT-Risikomanagement, Vorfallmeldung und Drittanbieter-Management nachweisen können. Die BaFin prüft bereits. Starten Sie mit dem Informationsregister und einer Lückenanalyse.

DORA-Umsetzung besprechen?

Im kostenlosen Erstgespräch prüfen wir Ihren Stand und zeigen konkrete nächste Schritte — pragmatisch und ohne Verkaufsdruck.

Kostenloses Erstgespräch buchen →

Häufige Fragen (FAQ)

Was ist die DORA-Verordnung?

DORA (Digital Operational Resilience Act) ist eine EU-Verordnung (2022/2554), die seit dem 17. Januar 2025 für alle beaufsichtigten Finanzunternehmen gilt. Sie schreibt einheitliche Anforderungen an IKT-Risikomanagement, Vorfallmeldung, Resilienztests und Drittanbieter-Management vor.

Wen betrifft DORA?

Praktisch alle regulierten Finanzunternehmen: Banken, Versicherungen, Zahlungsdienstleister, Kapitalverwaltungsgesellschaften, Krypto-Dienstleister und deren kritische IKT-Drittanbieter wie Cloud-Provider oder Rechenzentren.

Was ist der Unterschied zwischen DORA und NIS2?

DORA gilt speziell für den Finanzsektor und wird von der BaFin überwacht. NIS2 ist breiter und betrifft 18 Sektoren. Finanzunternehmen unter DORA sind von NIS2 ausgenommen (lex specialis), müssen aber vergleichbare Anforderungen erfüllen.

Welche Strafen drohen bei DORA-Verstößen?

Die BaFin kann Bußgelder verhängen und aufsichtsrechtliche Maßnahmen ergreifen. Für kritische IKT-Drittanbieter sind Zwangsgelder bis zu 1 Prozent des weltweiten Tagesumsatzes vorgesehen — täglich, bis der Verstoß behoben ist.

Gibt es Erleichterungen für kleinere Finanzunternehmen?

Ja. Die BaFin hat einen vereinfachten IKT-Risikomanagementrahmen veröffentlicht: keine Pflicht zur Bestellung eines Informationssicherheitsbeauftragten, geringere Dokumentationsanforderungen und vereinfachte Vorgaben zur Geschäftsfortführung.

Artikel teilen

Weiterlesen

Ähnliche Artikel

Nils Oehmichen

Über den Autor

Nils Oehmichen

Datenschutzberater & Geschäftsführer

Nils ist zertifizierter Datenschutzbeauftragter und Geschäftsführer der frag.hugo Informationssicherheit GmbH. Er berät mittelständische Unternehmen zu DSGVO, NIS2 und IT-Sicherheit – praxisnah und verständlich.

Nächster Schritt

Haben Sie Fragen?

Vereinbaren Sie ein unverbindliches Erstgespräch mit unseren Experten. Wir beraten Sie persönlich zu Datenschutz, NIS2 und IT-Sicherheit.

Erstgespräch buchen Weitere Artikel