DORA (Digital Operational Resilience Act)
Eine EU-Verordnung, die einheitliche Anforderungen an die Sicherheit von Netzwerk- und Informationssystemen im Finanzsektor festlegt. DORA ist seit dem 17. Januar 2025 verpflichtend und gilt für Banken, Versicherungen, Wertpapierfirmen und deren kritische IKT-Dienstleister.
Der Digital Operational Resilience Act (DORA) ist eine wegweisende EU-Verordnung, die sicherstellen soll, dass Finanzunternehmen IKT-bezogene Störungen standhalten, darauf reagieren und sich davon erholen können. Sie etabliert ein umfassendes Rahmenwerk auf fünf Säulen: IKT-Risikomanagement, Incident Reporting, Tests der digitalen operationellen Resilienz, Management von Drittparteienrisiken und Informationsaustausch.
DORA gilt für über 22.000 Finanzunternehmen in der EU, darunter Banken, Versicherungen, Zahlungsinstitute, Krypto-Asset-Dienstleister und kritische IKT-Drittanbieter. Die Verordnung verlangt, dass Organisationen robuste IKT-Risikomanagement-Frameworks implementieren, schwerwiegende Vorfälle an zuständige Behörden melden, regelmäßige Resilienztests einschließlich bedrohungsgeleiteter Penetrationstests (TLPT) durchführen und Register aller IKT-Drittdienstleister führen.
Für Finanzinstitute in Deutschland fungiert die BaFin als primäre Aufsichtsbehörde für die DORA-Compliance. Nicht-Compliance kann zu erheblichen Verwaltungsstrafen und Reputationsschäden führen.
Erfahren Sie mehr
Entdecken Sie, wie Matproof Ihnen bei der DORA (Digital Operational Resilience Act)-Compliance helfen kann.
Framework-Seite ansehenDORA Compliance nach Stadt
Verwandte Begriffe
IKT-Risikomanagement
Der Prozess der Identifizierung, Bewertung und Minderung von Risiken im Zusammenhang mit Informations- und Kommunikationstechnologiesystemen. Unter DORA müssen Finanzunternehmen ein umfassendes IKT-Risikomanagement-Framework unterhalten, das Identifizierung, Schutz, Erkennung, Reaktion und Wiederherstellung abdeckt.
Vorfallsmeldung
Der formale Prozess der Erkennung, Klassifizierung und Meldung IKT-bezogener Vorfälle an zuständige Behörden. DORA Artikel 17-23 legen spezifische Anforderungen für die Vorfallsklassifizierung, Erstmeldung, Zwischenberichte und Abschlussberichte an Aufsichtsbehörden fest.
TLPT (Bedrohungsgeleitete Penetrationstests)
Eine fortgeschrittene Form von Sicherheitstests, die von DORA Artikel 26-27 für bedeutende Finanzunternehmen vorgeschrieben wird. TLPT nutzt reale Bedrohungsinformationen, um gegnerische Taktiken zu simulieren und die Erkennungs-, Reaktions- und Wiederherstellungsfähigkeiten einer Organisation gegen realistische Angriffsszenarien zu testen.
BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht)
Deutschlands integrierte Finanzaufsichtsbehörde, zuständig für die Aufsicht über Banken, Versicherungen und den Wertpapierhandel. Die BaFin ist die primäre zuständige Behörde für DORA-Compliance in Deutschland und empfängt Vorfallsmeldungen und führt aufsichtliche Überprüfungen durch.
Drittparteien-Risikomanagement
Der Prozess der Identifizierung, Bewertung und Steuerung von Risiken aus der Auslagerung an Drittdienstleister. Gemäß DORA Artikel 28 müssen Finanzunternehmen ein Register aller IKT-Drittanbieter führen und kritische Anbieter gründlich prüfen.
Verwandte Artikel
Business Continuity Plan Examples: 4 Real-World Templates (2026)
Four concrete business continuity plan examples for IT outages, ransomware, pandemic, and supplier failure. Includes BIA template, recovery tables, and a free downloadable BCP template.
DORA Compliance Statistics 2026: 60+ Facts on Scope, Readiness, and Enforcement
Comprehensive DORA statistics with verified data on scope, compliance readiness, penalties, ICT third-party risk, cyber threats in finance, and costs. Updated for 2026.
10 Steps to DORA Compliance for Financial Institutions
A practical 10-step roadmap to achieving DORA compliance. From initial gap analysis to ongoing monitoring, each step includes actionable guidance and timeline e
12 DORA Incident Reporting Best Practices
12 best practices for DORA incident reporting. Covers classification accuracy, timeline management, communication templates, and continuous improvement of incid
Compliance automatisieren mit Matproof
DORA, SOC 2, ISO 27001 — Audit-bereit in Wochen, nicht Monaten.
Demo anfragen