Key Facts

  • DORA = EU-Verordnung zur digitalen Resilienz. Verpflichtet Finanzunternehmen ihre IT-Systeme so abzusichern, dass sie Betriebsstörungen überstehen und schnell wiederherstellen können
  • Geltung: EU-weit, auch für IT-Dienstleister, die Finanzunternehmen bei der Umsetzung unterstützen.
  • Ergänzt durch: Weitere technische und aufsichtliche Detailregeln werden von der EU-Kommission und den Aufsichtsbehörden (EBA, EIOPA, ESMA) entwickelt, um die Vorgaben präzise umzusetzen (Level 2/3).
  • In Deutschland: DORA ersetzt mit Inkraftteten ab dem 17. Januar 2025 größtenteils die bisherigen BAIT (Übergangsfrist 1. Januar 2027).

Mit der Verordnung (EU) 2022/2554, bekannt als Digital Operational Resilience Act (DORA), verpflichtet die Europäische Union Finanzunternehmen dazu, ihre digitale Widerstandsfähigkeit deutlich zu stärken.

Ziel ist es, sicherzustellen, dass Banken, Versicherungen und andere Finanzakteure auch bei Cyberangriffen, IT-Ausfällen oder anderen Störungen funktionsfähig bleiben.

§ Artikel 1 DORA (auszugsweise):

Diese Verordnung legt einheitliche Anforderungen an die Sicherheit der Netz- und Informationssysteme fest, auf die sich Finanzunternehmen stützen.

Wen betrifft DORA?

DORA gilt für eine breite Gruppe von Finanzunternehmen – darunter:

  • Kreditinstitute (Banken),
  • Versicherungsunternehmen,
  • Wertpapierfirmen und
  • IKT-Dienstleister (Informations- und Kommunikationstechnologie), die diesen Unternehmen technische Leistungen anbieten.

Sie wird durch weitere „Level-2- und Level-3-Rechtsakte“ der europäischen Aufsichtsbehörden (ESAs) ergänzt.

Diese konkretisieren viele Detailvorgaben – zum Beispiel, wie Risikoanalysen, Tests und Meldepflichten im IT-Bereich genau umzusetzen sind.

💡Was sind „Level-2-“ und „Level-3-Rechtsakte“?

Das EU-Rechtssystem, ist oft in mehreren Ebenen („Levels“) aufgebaut ist.

Die Idee: Die EU erlässt zuerst allgemeine Regeln, und die Details werden später von Fachbehörden oder der EU-Kommission ergänzt.

Level 1 – Basisrechtsakt

  • Das ist die eigentliche Verordnung oder Richtlinie – hier also DORA (EU-Verordnung 2022/2554).
  • Sie legt die grundsätzlichen Pflichten und Ziele fest (z. B. dass Finanzunternehmen widerstandsfähige IT-Systeme haben müssen).

Level 2 – Konkretisierende Rechtsakte

  • Diese werden meist von der EU-Kommission erlassen.
  • Sie enthalten technische oder organisatorische Detailregeln, etwa:
    • Welche Meldeformate zu verwenden sind,
    • Wie Tests zur IT-Resilienz ablaufen müssen,
    • Oder welche Sicherheitsstandards gelten.
  • Sie sind rechtlich verbindlich und gelten direkt in allen Mitgliedstaaten.

Level 3 – Leitlinien und Empfehlungen

  • Diese kommen von den europäischen Aufsichtsbehörden (ESAs), z. B.
    • EBA (Bankenaufsicht),
    • EIOPA (Versicherungsaufsicht),
    • ESMA (Wertpapieraufsicht).
  • Sie sollen den nationalen Aufsichtsbehörden (wie BaFin und Bundesbank) helfen, die Regeln einheitlich auszulegen.
  • Sie sind nicht unmittelbar bindend, werden in der Praxis aber de facto beachtet, weil sich Institute daran orientieren müssen.