DORA — IT-Definition
Digital Operational Resilience Act: EU-Verordnung, die Finanzinstituten strenge IT-Resilienz-Anforderungen auferlegt, in Kraft seit Januar 2025.
DORA (Digital Operational Resilience Act, EU-Verordnung 2022/2554) ist die EU-Verordnung, die Finanzinstituten und ihren kritischen IT-Dienstleistern verstärkte Anforderungen an die digitale operative Resilienz auferlegt. In Kraft seit dem 17. Januar 2025, hat sie einen direkten Einfluss auf die SI-Governance, die Cybersicherheit und das Management der IT-Lieferanten jeder in der EU tätigen Finanzeinheit.
Wer von DORA betroffen ist
- •Banken: .
- •Versicherungen: .
- •Investmentfirmen, Fondsmanager: .
- •Zahlungsdienstleister: .
- •Krypto-Asset-Plattformen: .
- •Marktinfrastrukturen: .
- •Bestimmte kritische IT-Dienstleister: .
Mehr als 22.000 Einheiten sind in Europa direkt betroffen.
Die fünf Säulen von DORA
### 1. IT-Risikomanagement
Implementierung eines dokumentierten IT-Risikomanagement-Rahmens, von der Direktion validiert, jährlich aktualisiert.
### 2. Management von IT-Vorfällen
Formales Verfahren zur Erkennung, Klassifizierung, Benachrichtigung und Meldung schwerer IT-Vorfälle. Benachrichtigung innerhalb von 4 Stunden für kritische Vorfälle.
### 3. Resilienz-Tests
Jährliches Testprogramm. Für die kritischsten Einheiten TLPT-Tests alle 3 Jahre.
### 4. Management der Risiken Dritter
Vollständige Kartografie der IT-Dienstleister, eingerahmte Verträge mit obligatorischen Klauseln.
### 5. Informationsaustausch
Freiwilliger Austausch von Informationen über Cyberbedrohungen.
Sanktionen
- •Geldbußen: bis zu 1 % des täglichen weltweiten Umsatzes.
- •Individuelle Sanktionen: für Führungskräfte.
- •Aussetzung der Tätigkeit: .
DORA und Anwendungskartografie
DORA verlangt explizit (Artikel 8) eine vollständige Kartografie der kritischen IT-Assets und ihrer Abhängigkeiten. Kabeen bietet einen lebenden Graphen des SI, der für die DORA-Konformität nutzbar ist.
DORA und [NIS2](/de/glossary/nis2)
DORA ist lex specialis gegenüber NIS2: die Finanzeinheiten unterliegen DORA für die Cybersicherheit, nicht NIS2.
Compliance-Roadmap
Typischer Ablauf in 12 bis 18 Monaten:
- Gap-Analyse.
- Kartografie der kritischen Assets.
- Vertragsprüfung der IT-Lieferanten.
- Stärkung des Risikomanagement-Rahmens.
- Einrichtung des Vorfall-Reportings.
- Resilienz-Testprogramm.
- Internes Audit.
Komplementäre Standards
- •ISO 27001: , ISO 22301, NIST CSF, TIBER-EU.
Häufig gestellte Fragen
Was ist DORA?
+
DORA (Digital Operational Resilience Act, EU-Verordnung 2022/2554) ist die EU-Verordnung, die Finanzinstituten verstärkte Anforderungen an die digitale operative Resilienz auferlegt. In Kraft seit dem 17. Januar 2025, deckt sie IT-Risikomanagement, Vorfälle, Resilienz-Tests, IT-Lieferanten und Informationsaustausch ab, mit Sanktionen bis zu 1 % des täglichen weltweiten Umsatzes.
Wer ist von DORA betroffen?
+
Mehr als 22.000 europäische Finanzeinheiten: Banken, Versicherungen, Fondsmanager, Zahlungsdienstleister, Krypto-Plattformen, Marktinfrastrukturen. Aber auch ihre kritischen IT-Lieferanten (Hyperscaler, strukturierende SaaS-Anbieter, Outsourcing-Anbieter), als solche von den europäischen Aufsichtsbehörden bezeichnet und einer direkten Kontrolle unterworfen.
Unterschied zwischen DORA und NIS2?
+
DORA und NIS2 teilen eine gemeinsame Logik, aber DORA ist lex specialis für den Finanzsektor: die Finanzeinheiten unterliegen DORA, nicht NIS2. NIS2 deckt 18 andere kritische Sektoren ab (Energie, Gesundheit, Verkehr, Wasser, öffentliche Verwaltung).
Wie wird man mit DORA konform?
+
Typischer Ablauf in 12 bis 18 Monaten: (1) Gap-Analyse, (2) Kartografie der kritischen Assets und Abhängigkeiten, (3) Vertragsprüfung der IT-Lieferanten mit obligatorischen Klauseln, (4) Stärkung des Risikomanagement-Rahmens und der BCP/DRPs, (5) Verfahren zur Benachrichtigung von Vorfällen (4h für kritische), (6) jährliches Resilienz-Testprogramm, (7) internes Audit und Jahresbericht.
Alle Begriffe
5R-Methode
Eine Strategie bei der Anwendungsrationalisierung zur Bestimmung des besten Ansatzes für das Anwendungsmanagement.
8R-Methode
Eine erweiterte Version der 5R-Methode für Application Portfolio Management und Migrationsstrategien.
Anwendung
Ein Computerprogramm oder eine Reihe von Programmen zur Rationalisierung von Geschäftsabläufen.
Architektur
Bezieht sich auf die Struktur und das Verhalten von IT-Systemen, Prozessen und Infrastruktur innerhalb einer Organisation.
Brauchen Sie Hilfe bei der Kartierung Ihrer IT-Landschaft?
Kabeen hilft Ihnen, Ihr Anwendungsportfolio zu inventarisieren, zu analysieren und zu optimieren.