DORA

Digital Operational Resilience Act (DORA)

In einer zunehmend digitalisierten Welt ist die Widerstandsfähigkeit gegenüber IT-Risiken zu einem entscheidenden Erfolgsfaktor geworden – besonders im Finanzsektor. Cyberangriffe, Systemausfälle und Datenlecks sind nicht mehr nur theoretische Risiken, sondern reale Bedrohungen, die Unternehmen und Märkte ins Wanken bringen können. Genau hier setzt die neue EU-Verordnung DORA – Digital Operational Resilience Act an. Sie schafft einen einheitlichen Rechtsrahmen zur digitalen Resilienz für Finanzunternehmen und deren IT-Dienstleister – und betrifft somit auch kleine und mittlere Unternehmen (KMU) in Deutschland.

Was ist DORA?

Der Digital Operational Resilience Act (DORA) ist eine EU-weite Verordnung, die am 16. Januar 2023 in Kraft getreten ist. Ihr Ziel ist es, die digitale Betriebsstabilität im europäischen Finanzsektor zu stärken. Die Verordnung schreibt verbindliche Maßnahmen zur Absicherung der Informations- und Kommunikationstechnologie (IKT) vor. Dazu gehören beispielsweise ein strukturiertes IKT-Risikomanagement, klare Regeln zur Meldung von Sicherheitsvorfällen und Vorgaben für den Umgang mit IT-Dienstleistern.

DORA ist dabei keine Richtlinie, sondern eine Verordnung, was bedeutet: Sie gilt unmittelbar in allen EU-Mitgliedstaaten, ohne dass nationale Gesetze erforderlich wären. Die Verpflichtungen aus DORA müssen ab dem 17. Januar 2025 vollständig umgesetzt sein.

Welche Folgen hat es, wenn DORA nicht eingehalten wird?

Unternehmen, die DORA nicht fristgerecht oder unzureichend umsetzen, riskieren empfindliche Konsequenzen. Dazu zählen unter anderem:

  • Verwaltungsstrafen und Sanktionen durch die zuständigen Aufsichtsbehörden (z. B. BaFin, EZB)

  • Haftungsrisiken für Geschäftsführende und Vorstände bei grober Fahrlässigkeit

  • Reputationsschäden, insbesondere bei öffentlich bekannt gewordenen Sicherheitslücken oder Datenpannen

  • Ausschluss von Geschäftsbeziehungen, z. B. wenn Banken keine Verträge mehr mit nicht-konformen Dienstleistern abschließen dürfen

Gerade für KMU, die im Bereich IT-Services oder Cloud-Dienstleistungen tätig sind, kann eine fehlende DORA-Compliance existenzbedrohend sein. Denn größere Kunden im Finanzsektor dürfen nur noch mit IKT-Drittanbietern zusammenarbeiten, die ihre Resilienz nachweislich absichern.

Welche Vorteile bringt DORA mit sich?

Trotz der Pflichten bringt DORA auch handfeste Vorteile – insbesondere für kleinere Unternehmen, die sich zukunftsfähig aufstellen wollen. Dazu zählen:

  • Stärkung der IT-Sicherheit: Unternehmen bauen systematisch Schutzmechanismen gegen Cyberrisiken und Datenverluste auf.

  • Erhöhte Transparenz und Kontrolle: Durch strukturierte Prozesse und Dokumentationen entsteht mehr Übersicht über digitale Risiken.

  • Mehr Vertrauen bei Geschäftspartnern und Kunden: Unternehmen, die DORA umsetzen, signalisieren hohe Sicherheitsstandards und Professionalität.

  • Bessere Marktchancen: DORA-konforme Anbieter haben bessere Chancen bei Ausschreibungen und Kooperationen mit regulierten Finanzunternehmen.

Gerade im Wettbewerb kann DORA also als Qualitätsmerkmal und strategischer Vorteil genutzt werden – besonders, wenn sich KMU frühzeitig auf die Anforderungen einstellen.

Für welche Unternehmen ist DORA relevant?

DORA richtet sich vordergründig an Akteure im europäischen Finanzsystem – darunter Banken, Versicherungen, Wertpapierfirmen und Zahlungsdienstleister. Doch auch IKT-Dienstleister und Cloud-Provider, die digitale Dienstleistungen für diese Unternehmen bereitstellen, sind betroffen.

Für KMU bedeutet das: Wenn Sie IT-Services, Hosting, Cloud-Infrastrukturen oder andere digitale Dienste für Finanzunternehmen erbringen, könnten Sie unter die Regelungen von DORA fallen – insbesondere, wenn Ihr Unternehmen als „kritischer Drittanbieter“ eingestuft wird. Auch kleinere Finanzdienstleister selbst, etwa FinTechs oder Versicherungs-Startups, müssen DORA umsetzen.

Welche Mindestanforderungen stellt DORA?

Die Verordnung formuliert konkrete Anforderungen an die digitale Resilienz – und die betreffen nicht nur große Konzerne, sondern auch kleinere Anbieter. Die fünf zentralen Pflichtbereiche sind:

  1. IKT-Risikomanagement
    Unternehmen müssen ein umfassendes System zur Bewertung, Überwachung und Steuerung von IKT-Risiken einführen. Dazu zählen unter anderem die Absicherung von Netzwerken, die Risikoanalyse von IT-Prozessen sowie die Schulung von Mitarbeitenden.

  2. Meldung von IKT-Vorfällen
    Schwerwiegende IT-Zwischenfälle müssen innerhalb definierter Fristen an die Aufsichtsbehörden gemeldet werden. Unternehmen müssen dazu interne Prozesse etablieren, um Vorfälle zu erkennen, zu bewerten und zu dokumentieren.

  3. Digitale Resilienztests
    Unternehmen müssen ihre IKT-Systeme regelmäßig testen – beispielsweise durch Penetrationstests, Red-Team-Übungen oder Notfalltests. Ziel ist es, Schwachstellen proaktiv zu identifizieren und zu beheben.

  4. Drittparteienmanagement
    Die Nutzung externer IT-Dienstleister unterliegt strengen Anforderungen. Verträge müssen klar geregelt, Risiken bewertet und regelmäßige Überprüfungen durchgeführt werden. Auch das Exit-Management muss vorbereitet sein.

  5. Informationsaustausch
    Unternehmen werden dazu ermutigt, sich über Bedrohungen und Vorfälle auszutauschen, um voneinander zu lernen und kollektive Resilienz zu fördern. Dabei gelten jedoch strenge Datenschutz- und Sicherheitsvorgaben.

Welche Sektoren sind betroffen?

DORA betrifft über 20 verschiedene Kategorien regulierter Unternehmen im Finanzwesen, darunter:

  • Banken und Sparkassen

  • Versicherungen und Rückversicherer

  • Zahlungs- und E-Geldinstitute

  • Wertpapierfirmen und Investmentgesellschaften

  • Krypto-Dienstleister

  • Pensionsfonds und Versorgungseinrichtungen

  • Handelsplatzbetreiber

  • Datenbereitstellungsdienste

  • Zentrale Gegenparteien

  • Und IKT-Drittanbieter, die mit diesen Organisationen zusammenarbeiten

Insbesondere in technologischen Lieferketten wird DORA damit zu einem wichtigen Thema – auch für Unternehmen, die bislang nicht direkt reguliert waren.

Ab wann gilt DORA?

Die Übergangsfrist läuft noch – doch der Stichtag ist klar: Ab dem 17. Januar 2025 müssen alle betroffenen Unternehmen die Anforderungen von DORA vollständig umgesetzt haben. Die Zeit bis dahin sollte sinnvoll genutzt werden, denn die Vorbereitungen – von Risikoanalysen über Vertragsprüfungen bis zu technischen Tests – können mehrere Monate in Anspruch nehmen.

Bedeutung von DORA für den Mittelstand

Für viele mittelständische Unternehmen stellt DORA eine große Herausforderung dar: Im Vergleich zu Konzernen verfügen sie oft über geringere personelle und finanzielle Ressourcen für IT-Sicherheit und Compliance. Umso wichtiger ist es, strukturiert und frühzeitig zu handeln.

Gerade im Mittelstand sind viele Unternehmen als Dienstleister in der Finanzbranche tätig – sei es als IT-Partner, Softwareentwickler oder Anbieter von Cloudlösungen. Hier bringt DORA die Chance, sich als zuverlässiger und sicherer Partner zu positionieren. Wer jetzt investiert, stellt nicht nur die Weichen für regulatorische Konformität, sondern auch für nachhaltiges Wachstum im digitalen Zeitalter.

Fordert DORA eine Zertifizierung?

DORA schreibt keine formale Zertifizierungspflicht vor – etwa im Sinne einer ISO-Norm. Allerdings wird die Einhaltung der Vorgaben durch Prüfberichte, Audits, Tests und Dokumentationen überprüft. In der Praxis kann eine Zertifizierung nach etablierten Standards wie ISO/IEC 27001 oder TISAX hilfreich sein, um die Konformität mit DORA nachzuweisen und Vertrauen bei Geschäftspartnern zu schaffen. Sie ersetzt jedoch nicht die spezifischen Anforderungen der Verordnung, sondern ergänzt diese lediglich.

Fazit

DORA ist weit mehr als nur ein weiteres Regelwerk – es ist ein Meilenstein für die digitale Sicherheit im europäischen Finanzwesen. Für kleine und mittlere Unternehmen in Deutschland bedeutet das: Wer vorbereitet ist, schützt nicht nur sich selbst, sondern wird auch zum bevorzugten Partner für regulierte Kunden. Es ist höchste Zeit, die eigene digitale Resilienz zu überprüfen – und sich gezielt auf die kommenden Anforderungen vorzubereiten.