dora-de2026-03-099 min Lesezeit

DORA Verordnung: Der vollstandige Leitfaden fur deutsche Finanzunternehmen

Inhaltsverzeichnis

  1. 01Was ist die DORA Verordnung?
  2. 02Wen betrifft die DORA Verordnung?
  3. 03Die 5 Saeulen der DORA Verordnung
  4. 04DORA und bestehende deutsche Regulierung
  5. 05DORA und Penetrationstests: Was jetzt verlangt wird
  6. 06Sanktionen und Durchsetzung
  7. 07Umsetzung in der Praxis: Ihre naechsten Schritte
  8. 08Fazit: DORA ist kein Projekt, sondern ein Dauerzustand

DORA Verordnung: Der vollstaendige Leitfaden fuer deutsche Finanzunternehmen

Seit dem 17. Januar 2025 ist die DORA Verordnung (Digital Operational Resilience Act) in Kraft - und betrifft praktisch jedes Finanzunternehmen in Deutschland. Wer bis heute keine Massnahmen ergriffen hat, bewegt sich auf duennem Eis.

Dieser Artikel ist der umfassendste deutschsprachige Leitfaden zur DORA EU Verordnung. Er richtet sich an CISOs, Compliance Officers und IT-Verantwortliche in Banken, Versicherungen, Zahlungsdienstleistern und Wertpapierfirmen. Sie erfahren, was die Verordnung konkret fordert, wie sie sich von bestehenden deutschen Regularien wie MaRisk und BAIT unterscheidet - und was Sie jetzt tun muessen.

Was ist die DORA Verordnung?

Die DORA (Verordnung (EU) 2022/2554) ist eine europaeische Verordnung zur Staerkung der digitalen operationalen Resilienz im Finanzsektor. Anders als eine EU-Richtlinie gilt sie unmittelbar in allen Mitgliedstaaten - auch in Deutschland. Eine nationale Umsetzung in deutsches Recht ist nicht erforderlich.

Das Ziel: Finanzunternehmen sollen IKT-Risiken (Informations- und Kommunikationstechnologie) systematisch managen, Cyberangriffe ueberstehen und den Geschaeftsbetrieb auch bei schweren Stoerungen aufrechterhalten koennen.

Zeitlicher Rahmen

  • 16. Januar 2023: Inkrafttreten der Verordnung
  • 17. Januar 2025: Anwendungsbeginn - alle Anforderungen sind ab diesem Datum verbindlich
  • Laufend: Die Europaeischen Aufsichtsbehoerden (ESAs) veroeffentlichen technische Regulierungsstandards (RTS) und Implementierungsleitlinien

Die Uebergangsfrist ist abgelaufen. Wer noch nicht compliant ist, riskiert aufsichtsrechtliche Massnahmen.

Wen betrifft die DORA Verordnung?

Der Geltungsbereich der DORA ist bewusst breit gefasst. Betroffen sind ueber 20 Kategorien von Finanzunternehmen, darunter:

  • Kreditinstitute (Banken, Sparkassen, Genossenschaftsbanken)
  • Versicherungsunternehmen und Rueckversicherer
  • Zahlungsdienstleister und E-Geld-Institute
  • Wertpapierfirmen und Kapitalverwaltungsgesellschaften
  • Boersen und Handelsplaetze
  • Zentralverwahrer und zentrale Gegenparteien
  • Ratingagenturen
  • Crowdfunding-Dienstleister
  • Einrichtungen der betrieblichen Altersversorgung

Besonders wichtig: Auch IKT-Drittdienstleister, die kritische oder wichtige Funktionen fuer Finanzunternehmen erbringen, fallen unter das neue Aufsichtsregime. Cloud-Anbieter, Rechenzentren, Softwareanbieter und Managed-Service-Provider muessen sich darauf einstellen, dass ihre Kunden DORA-konforme Vertragsklauseln und Auditrechte einfordern.

Proportionalitaetsprinzip

Die DORA kennt ein Proportionalitaetsprinzip: Kleinere und weniger komplexe Finanzunternehmen muessen nicht denselben Detailgrad in der Umsetzung erreichen wie systemrelevante Grossbanken. Die Grundanforderungen gelten jedoch fuer alle.

Die 5 Saeulen der DORA Verordnung

Die DORA gliedert sich in fuenf zentrale Themenbereiche, die zusammen einen geschlossenen Rahmen fuer die digitale operationale Resilienz bilden.

1. IKT-Risikomanagement (Artikel 5-16)

Dies ist das Fundament der DORA. Finanzunternehmen muessen ein umfassendes IKT-Risikomanagement-Framework etablieren, das folgende Elemente umfasst:

  • IKT-Risikostrategie: Genehmigt durch die Geschaeftsleitung, regelmaessig ueberprueft
  • IKT-Asset-Management: Vollstaendiges Inventar aller IKT-Systeme, -Anwendungen und -Infrastrukturen
  • Schutz und Praevention: Technische und organisatorische Sicherheitsmassnahmen (Verschluesselung, Zugriffskontrolle, Netzwerksegmentierung)
  • Erkennung: Mechanismen zur fruehzeitigen Erkennung anomaler Aktivitaeten und Cyberbedrohungen
  • Reaktion und Wiederherstellung: Business-Continuity-Plaene, Disaster-Recovery-Verfahren, Backup-Strategien
  • Lernen und Weiterentwicklung: Lessons-Learned-Prozesse nach Vorfaellen und Tests

Die Geschaeftsleitung traegt die volle Verantwortung fuer das IKT-Risikomanagement. Das ist keine delegierbare Aufgabe - Vorstaende und Geschaeftsfuehrer muessen das Framework genehmigen und seine Wirksamkeit ueberwachen.

2. IKT-Vorfallsmanagement und -meldung (Artikel 17-23)

Finanzunternehmen muessen schwerwiegende IKT-bezogene Vorfaelle an die zustaendige Aufsichtsbehoerde melden - in Deutschland ist das die BaFin. Die Meldepflichten umfassen:

  • Erstmeldung: Innerhalb von 4 Stunden nach Klassifizierung des Vorfalls (spaetestens 24 Stunden nach Erkennung)
  • Zwischenmeldung: Innerhalb von 72 Stunden mit aktualisierten Informationen
  • Abschlussmeldung: Innerhalb eines Monats nach Behebung des Vorfalls

Die Klassifizierungskriterien fuer schwerwiegende Vorfaelle umfassen unter anderem die Anzahl betroffener Kunden, die Dauer der Dienstunterbrechung, den geografischen Umfang und die Auswirkung auf kritische Funktionen.

3. Testen der digitalen operationalen Resilienz (Artikel 24-27)

Die DORA schreibt regelmaessige Tests der IKT-Systeme vor. Dies umfasst zwei Ebenen:

Basistests (fuer alle Finanzunternehmen):

  • Schwachstellenanalysen und -scans
  • Open-Source-Analysen
  • Netzwerksicherheitsbewertungen
  • Lueckenanalysen (Gap-Assessments)
  • Ueberpruefung der physischen Sicherheit
  • Quellcode-Reviews (soweit praktikabel)
  • Szenariobasierte Tests
  • Kompatibilitaetstests
  • Leistungstests
  • End-to-End-Tests
  • Penetrationstests

Bedrohungsgeleitete Penetrationstests - TLPT (fuer systemrelevante Unternehmen):

  • Alle drei Jahre durchzufuehren (Artikel 26)
  • Basierend auf dem TIBER-EU-Framework
  • Muessen von externen, qualifizierten Testern durchgefuehrt werden
  • Umfassen Live-Produktionssysteme
  • Die BaFin hat mit TIBER-DE bereits ein nationales Framework etabliert

4. IKT-Drittparteirisikomanagement (Artikel 28-44)

Einer der anspruchsvollsten Bereiche der DORA betrifft das Management von Risiken, die durch IKT-Dienstleister entstehen. Konkret muessen Finanzunternehmen:

  • Ein Register aller IKT-Drittdienstleister fuehren (einschliesslich Unterauftragnehmer)
  • Vor Vertragsabschluss eine Risikoanalyse durchfuehren
  • Vertragliche Mindestanforderungen sicherstellen (darunter Auditrechte, Kuendigungsklauseln, Exit-Strategien)
  • Die Konzentrationsrisiken bewerten (Abhaengigkeit von einzelnen Anbietern)
  • Ausstiegsstrategien vorhalten fuer den Fall, dass ein kritischer Dienstleister ausfaellt

Fuer kritische IKT-Drittdienstleister (etwa grosse Cloud-Provider) etabliert die DORA zudem ein EU-weites Aufsichtsregime durch die Europaeischen Aufsichtsbehoerden.

5. Informationsaustausch (Artikel 45)

Die DORA foerdert den freiwilligen Austausch von Informationen und Erkenntnissen ueber Cyberbedrohungen zwischen Finanzunternehmen. Dieser Austausch soll:

  • Innerhalb vertrauenswuerdiger Gemeinschaften stattfinden
  • Personenbezogene Daten schuetzen
  • Wettbewerbsrechtliche Vorgaben einhalten
  • Die kollektive Abwehrfaehigkeit des Finanzsektors staerken

DORA und bestehende deutsche Regulierung

Fuer deutsche Finanzunternehmen ist die DORA nicht das erste Regelwerk zu IKT-Risiken. Es gibt bereits ein gewachsenes Geflecht aus BaFin-Vorgaben:

MaRisk (Mindestanforderungen an das Risikomanagement)

Die MaRisk regeln seit Jahren das Risikomanagement in Kreditinstituten und Finanzdienstleistungsinstituten. Der Abschnitt AT 7.2 befasst sich mit technisch-organisatorischer Ausstattung. Die DORA geht jedoch deutlich weiter:

  • MaRisk: Prinzipienbasiert, Fokus auf Gesamtbanksteuerung
  • DORA: Detaillierte, granulare Anforderungen spezifisch fuer IKT-Risiken

BAIT (Bankaufsichtliche Anforderungen an die IT)

Die BAIT konkretisiert die MaRisk-Anforderungen zur IT fuer Banken. Viele BAIT-Themen finden sich in der DORA wieder - allerdings auf europaeischer Ebene und teilweise strenger:

Thema BAIT DORA
IKT-Risikomanagement Kapitel 1-3 Artikel 5-16
Informationssicherheit Kapitel 4 Artikel 9-10
Auslagerungen/Drittparteien Kapitel 9 Artikel 28-44
Testen Teilweise Artikel 24-27 (detaillierter)
Vorfallsmeldung Ueber MaSI Artikel 17-23 (strenger)

KAIT und VAIT

Neben den BAIT gibt es sektorspezifische Anforderungen:

  • KAIT: Kapitalverwaltungsaufsichtliche Anforderungen an die IT (fuer KVGs)
  • VAIT: Versicherungsaufsichtliche Anforderungen an die IT (fuer Versicherungen)

Mit der DORA werden diese sektorspezifischen Unterschiede teilweise vereinheitlicht. Die DORA setzt den uebergeordneten europaeischen Rahmen - die nationalen Regelwerke bleiben bestehen, soweit sie nicht im Widerspruch stehen.

Was bedeutet das in der Praxis?

Wenn Ihr Unternehmen bereits BAIT-konform ist, haben Sie eine gute Ausgangsbasis. Trotzdem gibt es Luecken:

  • Drittparteiregister: Die DORA fordert ein detaillierteres Register als die BAIT
  • Vorfallsmeldung: Kuerzere Meldefristen und strengere Klassifizierungskriterien
  • TLPT: Bedrohungsgeleitete Penetrationstests waren bisher nur fuer TIBER-DE-Teilnehmer relevant
  • Geschaeftsleitungsverantwortung: Expliziter und weitreichender als in den MaRisk

DORA und Penetrationstests: Was jetzt verlangt wird

Ein Bereich, der bei vielen Unternehmen Handlungsbedarf erzeugt, ist das Thema Penetrationstests. Die DORA unterscheidet klar zwischen zwei Testebenen:

Regulaere Penetrationstests

Alle betroffenen Finanzunternehmen muessen regelmaessig Penetrationstests durchfuehren - mindestens einmal jaehrlich fuer kritische Systeme. Diese Tests muessen:

  • Von qualifizierten internen oder externen Testern durchgefuehrt werden
  • Anerkannte Standards und Methodiken verwenden
  • Dokumentiert und der Aufsicht auf Anfrage vorgelegt werden koennen
  • Festgestellte Schwachstellen zeitnah behoben werden

TLPT (Threat-Led Penetration Testing)

Fuer systemrelevante Finanzunternehmen kommt die Koenigsdisziplin hinzu: bedrohungsgeleitete Penetrationstests nach Artikel 26. Diese:

  • Simulieren reale Angriffsszenarien auf Basis aktueller Bedrohungsinformationen
  • Werden auf Live-Produktionssystemen durchgefuehrt
  • Erfordern spezialisierte externe Tester (Red Teams)
  • Muessen alle drei Jahre durchgefuehrt werden
  • Die BaFin bestimmt, welche Unternehmen TLPT durchfuehren muessen

Warum KI-gestuetzte Penetrationstests sinnvoll sind

Klassische manuelle Penetrationstests sind teuer (ab EUR 15.000 pro Engagement), zeitaufwaendig und liefern nur eine Momentaufnahme. Gerade vor dem Hintergrund der DORA-Anforderungen an regelmaessige und dokumentierte Tests bietet KI-gestuetztes Penetration Testing erhebliche Vorteile:

  • Hoehere Testfrequenz: Automatisierte Tests koennen woechentlich oder sogar taeglich laufen
  • Konsistente Dokumentation: Automatisch generierte Berichte, die DORA-Anforderungen erfuellen
  • Breitere Abdeckung: KI-Systeme koennen mehr Angriffsflaechen in kuerzerer Zeit pruefen
  • Kosteneffizienz: Deutlich guenstiger als manuelle Tests bei hoeherem Testumfang

Matproof kombiniert KI-gestuetzte Penetrationstests mit automatisierter Compliance-Dokumentation - perfekt abgestimmt auf die DORA-Anforderungen.

Sanktionen und Durchsetzung

Die DORA selbst definiert keinen einheitlichen Bussgeldrahmen - die Durchsetzung liegt bei den nationalen Aufsichtsbehoerden. In Deutschland bedeutet das:

  • Die BaFin ist zustaendig fuer die Ueberwachung und Durchsetzung
  • Sanktionen koennen Verwaltungsstrafen, oeffentliche Ruegen und Anordnungen zur Maengelbeseitigung umfassen
  • Bei Verstoessen gegen Meldepflichten oder das IKT-Risikomanagement drohen empfindliche Bussgelder
  • Die BaFin kann Geschaeftsleitern persoenliche Massnahmen auferlegen

Hinzu kommt die Haftung der Geschaeftsleitung: Vorstaende und Geschaeftsfuehrer, die das IKT-Risikomanagement vernachlaessigen, koennen persoenlich zur Verantwortung gezogen werden.

Umsetzung in der Praxis: Ihre naechsten Schritte

1. Gap-Analyse durchfuehren

Vergleichen Sie Ihren aktuellen Stand mit den DORA-Anforderungen. Nutzen Sie die RTS und ITS der ESAs als Massstab. Identifizieren Sie Luecken in den Bereichen:

  • IKT-Risikomanagement-Framework
  • Drittparteiregister und -vertraege
  • Vorfallsmanagement und Meldestrukturen
  • Testprogramm (insbesondere Penetrationstests)
  • Business Continuity und Disaster Recovery

2. Governance-Strukturen anpassen

Stellen Sie sicher, dass die Geschaeftsleitung eingebunden ist und ihre Verantwortung wahrnimmt. Richten Sie klare Berichtslinien ein und definieren Sie Rollen und Verantwortlichkeiten.

3. IKT-Drittparteiregister aufbauen

Erfassen Sie alle IKT-Dienstleister, bewerten Sie deren Kritikalitaet und pruefen Sie die bestehenden Vertraege auf DORA-Konformitaet. Planen Sie Nachverhandlungen fuer kritische Vertraege.

4. Testprogramm etablieren

Implementieren Sie ein umfassendes Testprogramm, das regelmaessige Penetrationstests, Schwachstellenscans und - falls zutreffend - TLPT umfasst.

5. Technologie einsetzen

Compliance-Management-Plattformen wie Matproof erleichtern die Umsetzung erheblich. Anstatt die DORA-Anforderungen in Tabellen und Dokumenten zu verwalten, bietet eine spezialisierte Plattform:

  • Automatisierte Gap-Analyse gegen alle DORA-Anforderungen
  • Integriertes Drittparteiregister mit Risikobewertung
  • Vorfallsmanagement mit automatisierten Meldeworkflows
  • KI-gestuetzte Penetrationstests mit DORA-konformer Berichterstattung
  • Kontinuierliches Monitoring des Compliance-Status

Fazit: DORA ist kein Projekt, sondern ein Dauerzustand

Die DORA Verordnung ist seit Januar 2025 geltendes Recht. Finanzunternehmen in Deutschland stehen nicht mehr vor der Frage, ob sie DORA umsetzen - sondern wie schnell sie verbleibende Luecken schliessen koennen.

Die gute Nachricht: Wer bereits MaRisk- und BAIT-konform arbeitet, hat eine solide Basis. Die schlechte Nachricht: Die DORA geht in mehreren Bereichen deutlich weiter - insbesondere beim Drittparteimanagement, bei den Meldefristen und bei den Testanforderungen.

Entscheidend ist, die DORA nicht als einmaliges Projekt zu betrachten. Digitale operationale Resilienz ist ein fortlaufender Prozess, der in die Unternehmenssteuerung integriert werden muss. Tools wie Matproof helfen dabei, diesen Prozess zu automatisieren und den Ueberblick zu behalten - damit Sie sich auf Ihr Kerngeschaeft konzentrieren koennen.

Matproof ist die europaeische Compliance-Management-Plattform fuer Finanzunternehmen. Mit integrierter DORA-Unterstuetzung, KI-gestuetzten Penetrationstests und automatisierter Nachweisfuehrung deckt Matproof alle fuenf DORA-Saeulen ab. Jetzt Demo vereinbaren

DORA VerordnungDORA EU VerordnungDORA Verordnung deutschDORA BaFinDORA FinanzunternehmenDigital Operational Resilience Act

Bereit, Compliance zu vereinfachen?

Werden Sie in Wochen audit-ready, nicht Monaten. Sehen Sie Matproof in Aktion.

Demo anfordern