KabeenKabeenIT Playbook
Découvrir Kabeen
Glossaire
DGlossaire

DORA

Digital Operational Resilience Act: EU-Verordnung, die Finanzinstituten strenge IT-Resilienz-Anforderungen auferlegt, in Kraft seit Januar 2025.

DORA (Digital Operational Resilience Act, EU-Verordnung 2022/2554) ist die EU-Verordnung, die Finanzinstituten und ihren kritischen IT-Dienstleistern verstärkte Anforderungen an die digitale operative Resilienz auferlegt. In Kraft seit dem 17. Januar 2025, hat sie einen direkten Einfluss auf die SI-Governance, die Cybersicherheit und das Management der IT-Lieferanten jeder in der EU tätigen Finanzeinheit.

Wer von DORA betroffen ist

  • Banken: .
  • Versicherungen: .
  • Investmentfirmen, Fondsmanager: .
  • Zahlungsdienstleister: .
  • Krypto-Asset-Plattformen: .
  • Marktinfrastrukturen: .
  • Bestimmte kritische IT-Dienstleister: .

Mehr als 22.000 Einheiten sind in Europa direkt betroffen.

Die fünf Säulen von DORA

### 1. IT-Risikomanagement

Implementierung eines dokumentierten IT-Risikomanagement-Rahmens, von der Direktion validiert, jährlich aktualisiert.

### 2. Management von IT-Vorfällen

Formales Verfahren zur Erkennung, Klassifizierung, Benachrichtigung und Meldung schwerer IT-Vorfälle. Benachrichtigung innerhalb von 4 Stunden für kritische Vorfälle.

### 3. Resilienz-Tests

Jährliches Testprogramm. Für die kritischsten Einheiten TLPT-Tests alle 3 Jahre.

### 4. Management der Risiken Dritter

Vollständige Kartografie der IT-Dienstleister, eingerahmte Verträge mit obligatorischen Klauseln.

### 5. Informationsaustausch

Freiwilliger Austausch von Informationen über Cyberbedrohungen.

Sanktionen

  • Geldbußen: bis zu 1 % des täglichen weltweiten Umsatzes.
  • Individuelle Sanktionen: für Führungskräfte.
  • Aussetzung der Tätigkeit: .

DORA und Anwendungskartografie

DORA verlangt explizit (Artikel 8) eine vollständige Kartografie der kritischen IT-Assets und ihrer Abhängigkeiten. Kabeen bietet einen lebenden Graphen des SI, der für die DORA-Konformität nutzbar ist.

DORA und [NIS2](/de/glossary/nis2)

DORA ist lex specialis gegenüber NIS2: die Finanzeinheiten unterliegen DORA für die Cybersicherheit, nicht NIS2.

Compliance-Roadmap

Typischer Ablauf in 12 bis 18 Monaten:

  1. Gap-Analyse.
  2. Kartografie der kritischen Assets.
  3. Vertragsprüfung der IT-Lieferanten.
  4. Stärkung des Risikomanagement-Rahmens.
  5. Einrichtung des Vorfall-Reportings.
  6. Resilienz-Testprogramm.
  7. Internes Audit.

Komplementäre Standards

  • ISO 27001: , ISO 22301, NIST CSF, TIBER-EU.

Questions fréquentes

Was ist DORA?

DORA (Digital Operational Resilience Act, EU-Verordnung 2022/2554) ist die EU-Verordnung, die Finanzinstituten verstärkte Anforderungen an die digitale operative Resilienz auferlegt. In Kraft seit dem 17. Januar 2025, deckt sie IT-Risikomanagement, Vorfälle, Resilienz-Tests, IT-Lieferanten und Informationsaustausch ab, mit Sanktionen bis zu 1 % des täglichen weltweiten Umsatzes.

Wer ist von DORA betroffen?

Mehr als 22.000 europäische Finanzeinheiten: Banken, Versicherungen, Fondsmanager, Zahlungsdienstleister, Krypto-Plattformen, Marktinfrastrukturen. Aber auch ihre kritischen IT-Lieferanten (Hyperscaler, strukturierende SaaS-Anbieter, Outsourcing-Anbieter), als solche von den europäischen Aufsichtsbehörden bezeichnet und einer direkten Kontrolle unterworfen.

Unterschied zwischen DORA und NIS2?

DORA und NIS2 teilen eine gemeinsame Logik, aber DORA ist lex specialis für den Finanzsektor: die Finanzeinheiten unterliegen DORA, nicht NIS2. NIS2 deckt 18 andere kritische Sektoren ab (Energie, Gesundheit, Verkehr, Wasser, öffentliche Verwaltung).

Wie wird man mit DORA konform?

Typischer Ablauf in 12 bis 18 Monaten: (1) Gap-Analyse, (2) Kartografie der kritischen Assets und Abhängigkeiten, (3) Vertragsprüfung der IT-Lieferanten mit obligatorischen Klauseln, (4) Stärkung des Risikomanagement-Rahmens und der BCP/DRPs, (5) Verfahren zur Benachrichtigung von Vorfällen (4h für kritische), (6) jährliches Resilienz-Testprogramm, (7) internes Audit und Jahresbericht.