DORA Verordnung: Vollständiger Umsetzungsleitfaden für Finanzunternehmen 2026
1. Mai 2026
24 Min. Lesezeit
DORA
Die DORA-Verordnung (Digital Operational Resilience Act, Verordnung (EU) 2022/2554) ist seit dem 17. Januar 2025 in der EU verbindlich anwendbar und schreibt deutschen Finanzunternehmen ein einheitliches Rahmenwerk für digitale Betriebsstabilität vor. Sie betrifft rund 22.000 Finanzunternehmen in Deutschland — von Banken über Versicherer bis zu Krypto-Dienstleistern und Investmentfirmen — sowie deren kritische IKT-Drittanbieter. Aufsichtsbehörde ist primär die BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht), ergänzt durch die Deutsche Bundesbank und auf europäischer Ebene EBA, EIOPA und ESMA. Bei Verstößen drohen Bußgelder bis zu 1 % des weltweiten Tagesumsatzes — und für betroffene IKT-Anbieter sogar Geldbußen, die direkt von den Aufsichtsbehörden verhängt werden.
Kerntatsachen
Geltungsbereich: alle Finanzunternehmen nach EU-Definition — Banken, Versicherer, Investmentfirmen, Krypto-Asset-Dienstleister, Crowdfunding-Plattformen, Zahlungsdienste.
Fünf Säulen: IKT-Risikomanagement, IKT-Vorfallsmanagement, digitale operative Resilienztests, IKT-Drittparteien-Risiko, Informationsaustausch zu Cyberbedrohungen.
Vorfallsmeldung: initial binnen 24 Stunden, Zwischenmeldung 72 Stunden, Abschlussmeldung 1 Monat an die BaFin.
TLPT-Pflicht: „Threat-Led Penetration Tests" alle 3 Jahre für signifikante Finanzunternehmen — durchgeführt nach TIBER-DE-Methodik.
Persönliche Verantwortung der Geschäftsleitung — sie muss die digitale Betriebsstabilitätsstrategie freigeben und überwachen.
IKT-Drittparteien-Register ist Pflicht — jeder kritische IKT-Anbieter muss dokumentiert und vertraglich gebunden sein.
Bußgelder: Verstöße können mit bis zu 1 % des durchschnittlichen weltweiten Tagesumsatzes geahndet werden, dies für jeden Tag der fortgesetzten Verletzung.
Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung — anwendbar in allen Mitgliedstaaten ohne Umsetzungsgesetz. Sie wurde am 14. Dezember 2022 verabschiedet, am 27. Dezember 2022 im EU-Amtsblatt veröffentlicht und gilt seit dem 17. Januar 2025 verbindlich.
DORA ist die erste sektorspezifische Cyber-Resilienz-Verordnung auf EU-Ebene und konsolidiert verstreute Regelwerke wie die Bankaufsichtlichen Anforderungen an die IT (BAIT), die Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) und die Zahlungsverkehraufsichtlichen Anforderungen an die IT (ZAIT) zu einem einheitlichen EU-Rahmen.
Warum DORA?
Drei Entwicklungen haben die DORA-Initiative ausgelöst:
Steigende IKT-Abhängigkeit: Finanzdienstleistungen werden zunehmend durch Cloud, Outsourcing und Fintech-Partnerschaften erbracht — zugleich nehmen Cyber-Vorfälle exponentiell zu.
Fragmentierte EU-Regulierung: Vor DORA hatten alle 27 Mitgliedstaaten unterschiedliche IKT-Aufsichtsregelwerke — inkonsistent und ineffektiv gegen grenzüberschreitende Bedrohungen.
Konzentrationsrisiko bei Cloud-Anbietern: Drei Hyperscaler (AWS, Microsoft Azure, Google Cloud) bedienen den Großteil der EU-Finanzbranche — ein Ausfall hätte systemische Auswirkungen.
Kennzahl
22.000 deutsche Finanzunternehmen fallen direkt unter DORA. Hinzu kommen mehrere Hundert kritische IKT-Drittanbieter, die ab 2026 unmittelbar von der ESA-Aufsicht (Joint Supervisory Forum) beaufsichtigt werden.
Wer ist betroffen?
DORA folgt einem weiten Begriff des „Finanzunternehmens". Etwa 22.000 deutsche Unternehmen in 20 Kategorien fallen direkt unter die Verordnung.
Art. 4 DORA wendet das Verhältnismäßigkeitsprinzip an. Kleine Finanzunternehmen (z. B. Mikro-Versicherer, kleine Krypto-Dienstleister) erfüllen DORA nach einem vereinfachten Rahmen — größere Institute mit höherem Risikoprofil unterliegen deutlich strengeren Pflichten.
Über die direkten Adressaten hinaus erfasst DORA auch deren kritische IKT-Drittanbieter indirekt durch Vertragspflichten und direkt — wenn sie als „kritisch" eingestuft werden — durch eine Aufsicht der Joint Supervisory Forum (ESMA, EBA, EIOPA gemeinsam).
Die fünf Säulen von DORA
DORA strukturiert seine Anforderungen in fünf inhaltliche Säulen, die zusammen einen vollständigen Resilienz-Rahmen bilden.
Die erste Säule ist das Fundament — sie definiert ein vollständiges IKT-Risikomanagement-Framework.
Zentrale Anforderungen
Art.
Anforderung
Praktische Umsetzung
Art. 5
Strategie für digitale operative Resilienz
von der Geschäftsleitung freigegeben, mind. jährlich überprüft
Art. 6
IKT-Risikomanagement-Rahmenwerk
Methodik, Rollen, Risikoappetit
Art. 7
IKT-Systeme, Protokolle und Werkzeuge
Inventar, Sicherheitsanforderungen
Art. 8
Identifizierung
Asset-Inventar, Risikobewertungen
Art. 9
Schutz und Vorbeugung
technische und organisatorische Maßnahmen
Art. 10
Erkennung
Monitoring, Anomalieerkennung
Art. 11
Reaktion und Wiederherstellung
Incident-Response, Business Continuity
Art. 12
Sicherungs-, Wiederherstellungs- und Wiederanlauf-Strategie
RTO / RPO, Restore-Tests
Art. 13
Lernen und Weiterentwicklung
Post-Incident-Reviews, KPIs
Art. 14
Kommunikation
interne und externe Krisenkommunikation
Art. 16
Vereinfachter IKT-Risikomanagement-Rahmen
für Mikrounternehmen
Verantwortung der Geschäftsleitung (Art. 5 Abs. 2)
Die Geschäftsleitung ist verpflichtet, die digitale operative Resilienz-Strategie persönlich freizugeben und zu überwachen. Konkret bedeutet das:
Schriftliche Strategie mit Risikoappetit, Zielen, Verantwortlichkeiten
Mindestens jährliche Überprüfung der Strategie
Berichterstattung an die BaFin auf Anfrage
Schulung der Geschäftsleitungsmitglieder zu IKT-Risiken
Die Geschäftsleitung kann die operative Umsetzung delegieren, aber nicht die Verantwortung. Bei kritischen Verstößen droht persönliche Haftung der Vorstandsmitglieder.
Säule 2 — IKT-Vorfallsmanagement
Die zweite Säule definiert ein standardisiertes Verfahren zur Erkennung, Klassifizierung, Meldung und Bewältigung von IKT-Vorfällen.
Klassifizierungskriterien (Art. 18)
Ein Vorfall ist als „schwerwiegend" zu klassifizieren, wenn mehrere der folgenden Kriterien erfüllt sind:
Kundenwirkung — Anzahl betroffener Kunden, Wert der betroffenen Transaktionen
Dauer und Verbreitung — geographischer und zeitlicher Umfang
Datenbetrachtung — Art und Volumen der betroffenen Daten
Wirtschaftliche Auswirkungen — direkte und indirekte Verluste
Kritikalität — Auswirkung auf kritische Funktionen
Die delegierte Verordnung 2024/1772 spezifiziert die quantitativen Schwellenwerte für jedes Kriterium.
Meldepflichten (Art. 19)
Schwerwiegende IKT-Vorfälle müssen an die BaFin in drei Stufen gemeldet werden:
Stufe
Frist
Inhalt
Erstmeldung
24 Stunden ab Klassifizierung
Grobeinordnung, voraussichtliche Auswirkungen
Zwischenmeldung
72 Stunden ab Klassifizierung
aktualisierte Einschätzung, Maßnahmen
Abschlussmeldung
1 Monat nach Vorfall
Wurzelursache, Lessons Learned, Maßnahmen
Die Meldung erfolgt über das BaFin-MVP-Portal (Meldeverfahren MaRisk und MVP) im standardisierten Format der ESA-Implementing Technical Standards.
Informationspflichten gegenüber Kunden
Wenn ein Vorfall wesentliche Auswirkungen auf finanzielle Interessen der Kunden hat, ist das Finanzunternehmen verpflichtet, die Kunden unverzüglich zu informieren (Art. 19 Abs. 5). Inhalt:
Art und Umfang des Vorfalls
voraussichtliche Auswirkungen
empfohlene Schutzmaßnahmen für Kunden
Säule 3 — Resilienztests
DORA fordert ein mehrstufiges Testprogramm zur Überprüfung der digitalen Betriebsstabilität.
Allgemeine Tests (Art. 25)
Alle Finanzunternehmen müssen mindestens jährlich Tests ihrer kritischen IKT-Systeme durchführen. Die Liste umfasst:
Schwachstellenscans
Open-Source-Analyse
Sicherheitsbewertungen
Szenario-basierte Tests
Kompatibilitäts- und Leistungstests
Threat-Led Penetration Testing (TLPT) — Art. 26
Signifikante Finanzunternehmen müssen alle 3 Jahre einen TLPT durchführen — eine fortgeschrittene Form des Penetrationstests, die reale Bedrohungsszenarien simuliert.
Anforderung
Detail
Methodik
TIBER-DE (Threat Intelligence-based Ethical Red Teaming Deutschland)
In Deutschland fallen ca. 150–200 Finanzunternehmen unter die TLPT-Pflicht.
Säule 4 — Drittparteien
DORA-Säule 4 ist die größte Veränderung gegenüber bisherigen IT-Aufsichtsregeln. Sie schafft direkte aufsichtsrechtliche Kontrolle über kritische IKT-Drittanbieter.
Anforderungen an Verträge mit IKT-Drittanbietern (Art. 30)
Verträge müssen mindestens enthalten:
vollständige Beschreibung der erbrachten IKT-Dienstleistungen
Service-Levels mit messbaren KPIs
Standorte der Datenverarbeitung (mit Drittlandbezug)
Verfügbarkeits-, Authentizitäts- und Integritätsanforderungen
Subunternehmerketten mit Genehmigungspflicht
Audit- und Inspektionsrechte für Finanzunternehmen und Aufsichtsbehörden
Notfall- und Wiederherstellungspläne
Exit-Strategie und Datenmigration
Konzentrationsrisiko (Art. 29)
Finanzunternehmen müssen das Konzentrationsrisiko ihrer IKT-Lieferanten aktiv steuern. Praktisch:
Inventarisierung aller IKT-Drittanbieter mit Risikobewertung
Bewertung der Substituierbarkeit kritischer Anbieter
Multi-Cloud- bzw. Multi-Vendor-Strategien für kritische Funktionen
Stresstests der Exit-Szenarien
Aufsicht über kritische IKT-Drittanbieter
Anbieter wie AWS, Microsoft Azure, Google Cloud werden ab 2026 von der Joint Supervisory Forum der drei Europäischen Aufsichtsbehörden direkt beaufsichtigt — ein Novum im EU-Aufsichtsrecht. Diese Anbieter müssen:
ein vollständiges IKT-Risikomanagement nach DORA-Standard nachweisen
regelmäßige Berichte an die ESAs einreichen
Vor-Ort-Inspektionen dulden
bei Mängeln Korrekturmaßnahmen umsetzen
Säule 5 — Informationsaustausch
Die fünfte Säule fördert den freiwilligen Austausch von Cyberbedrohungsinformationen zwischen Finanzunternehmen — anonymisiert und in geschlossenen Vertrauensgruppen.
In Deutschland ist die zentrale Plattform das Financial Sector Information Sharing and Analysis Centre Deutschland (FS-ISAC DE), das in Kooperation mit der Bundesbank betrieben wird. Mitgliedschaft ist kostenpflichtig (5.000–25.000 EUR/Jahr je nach Größe), liefert aber wertvolle Echtzeit-Bedrohungsinformationen.
BaFin-Aufsicht
Die BaFin ist die zuständige nationale Behörde für DORA in Deutschland. Sie kooperiert eng mit der Deutschen Bundesbank (gemeinsame Aufsicht für bedeutende Banken) und den europäischen Aufsichtsbehörden.
Nationale Konkretisierungen
DORA wird in Deutschland durch das Finanzmarktdigitalisierungsgesetz (FinMaDiG) und ergänzende BaFin-Rundschreiben umgesetzt. Wichtigste deutsche Konkretisierungen:
Quelle
Inhalt
FinMaDiG
Anpassung des KWG, VAG und WpHG an DORA
MaRisk-AT 7.2
spezifische IKT-Anforderungen (in Kraft)
BAIT / VAIT / ZAIT
werden schrittweise durch DORA abgelöst
BaFin-Auslegungs- und Anwendungshinweise
konkrete Praxis-Vorgaben
TIBER-DE-Rahmenwerk
TLPT-Methodik
Aufsichtsmaßnahmen
Die BaFin verfügt über umfassende Eingriffsbefugnisse:
Abruf von Berichten und Dokumenten
Vor-Ort-Inspektionen
Anordnungen zur Mängelbehebung
Bußgeldverfahren
Vorstandsfunktions-Untersagung in schweren Fällen
öffentliche Bekanntmachung von Verstößen
Bußgelder
DORA Art. 50 schreibt einen Mindeststandard für nationale Sanktionen vor. Deutschland setzt diese im KWG, VAG und WpHG um.
Höhe der möglichen Sanktionen
Verstoß
Sanktion
Wesentlicher Verstoß durch Finanzunternehmen
Geldbuße bis 10 % weltweiter Jahresumsatz, Vorstandshaftung
Tagessatz-Geldbuße für andauernde Verstöße
bis 1 % des täglichen weltweiten Umsatzes pro Tag
Verstoß durch kritischen IKT-Drittanbieter
direkte ESA-Sanktion bis 1 % weltweiter Tagesumsatz
Persönliche Verantwortung Geschäftsleitung
Geldbuße bis 5 Mio. EUR, Funktionsverbot
Öffentliche Bekanntmachung
reputationsschädigende Veröffentlichung
Erste Bußgeldpraxis 2025
Seit Inkrafttreten haben bereits mehrere EU-Aufsichtsbehörden Sanktionsverfahren eingeleitet — typische Verstöße:
fehlende oder unvollständige IKT-Drittparteien-Register
nicht eingehaltene Vorfallmeldefristen (24/72 Std.)
Vorstandsbeschluss zur DOR-Strategie nicht dokumentiert
TLPT-Pflicht für signifikante Unternehmen nicht umgesetzt
12-Monats-Umsetzungsplan
Für Unternehmen, die DORA noch nicht vollständig umgesetzt haben — der bewährte Plan über 12 Monate.
DORA und NIS2 überschneiden sich in vielen Aspekten — sind aber nicht deckungsgleich.
Kernunterschiede
Aspekt
DORA
NIS2
Geltungsbereich
Finanzsektor
sektorübergreifend (18 Sektoren)
Form
Verordnung (direkt anwendbar)
Richtlinie (nationales Umsetzungsgesetz)
Aufsichtsbehörde DE
BaFin / Bundesbank
BSI
Vorfallmeldung
24/72/30 Tage
24/72/30 Tage
Penetrationstest-Pflicht
TLPT alle 3 Jahre für signifikante Unternehmen
nicht spezifisch
Drittparteien-Aufsicht
direkte ESA-Aufsicht über kritische IKT-Anbieter
indirekt durch Lieferketten-Pflichten
Lex specialis
DORA hat Vorrang im Finanzsektor
NIS2 gilt sekundär
Welche Verordnung gilt?
Reines Finanzunternehmen: nur DORA
Finanzunternehmen mit zusätzlichen NIS2-relevanten Aktivitäten: DORA für Finanzdienstleistungen, NIS2 für andere Sektoren-Aktivitäten
IKT-Drittanbieter für Finanzen + andere Sektoren: DORA-Aufsicht für Finanzkunden, NIS2 für andere Sektoren
FAQ
Seit wann gilt DORA?
Die DORA-Verordnung ist seit dem 17. Januar 2025 in der gesamten EU verbindlich anwendbar.
Welche Unternehmen sind betroffen?
Alle Finanzunternehmen nach EU-Definition — Banken, Versicherer, Investmentfirmen, Krypto-Asset-Dienstleister, Zahlungsdienste und weitere. Insgesamt etwa 22.000 deutsche Unternehmen.
Welche Behörde ist in Deutschland zuständig?
Primär die BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht), in Kooperation mit der Deutschen Bundesbank für signifikante Banken.
Was ist ein TLPT?
Ein Threat-Led Penetration Test ist ein fortgeschrittener Penetrationstest, der reale Bedrohungsszenarien simuliert. In Deutschland nach der TIBER-DE-Methodik durchgeführt — Pflicht alle 3 Jahre für signifikante Finanzunternehmen.
Welche Meldefristen gelten?
Bei schwerwiegenden IKT-Vorfällen: 24 Std. Erstmeldung, 72 Std. Zwischenmeldung, 1 Monat Abschlussmeldung an die BaFin über das MVP-Portal.
Müssen alle IKT-Lieferanten DORA erfüllen?
Direkte DORA-Pflicht haben nur Finanzunternehmen. IKT-Drittanbieter werden indirekt über Vertragspflichten erfasst. Kritische IKT-Drittanbieter unterliegen ab 2026 einer direkten ESA-Aufsicht.
Wie wird DORA mit BAIT/VAIT/ZAIT verknüpft?
DORA löst BAIT, VAIT und ZAIT schrittweise ab. Übergangsweise gelten beide parallel — die BaFin gibt im Konfliktfall DORA Vorrang.
Was kostet DORA-Compliance?
Stark größenabhängig. KMU-Bank: 150.000–400.000 EUR Implementierung. Mittelgroße Versicherer: 400.000–1,2 Mio. EUR. Großbanken: mehrere Mio. EUR, plus jährliche Kosten für Tests und IKT-Drittparteien-Aufsicht.
Was passiert bei Verstößen?
Geldbußen bis 1 % des weltweiten Tagesumsatzes, persönliche Geschäftsleitungs-Bußgelder bis 5 Mio. EUR, in schweren Fällen Funktionsverbot für Vorstandsmitglieder, öffentliche Bekanntmachung.
Reicht eine bestehende ISO 27001 für DORA?
Nein — ISO 27001 deckt etwa 60–70 % der DORA-Anforderungen ab, aber nicht die Säulen 2 (BaFin-Meldepflicht), 3 (TLPT) und 4 (IKT-Drittparteien-Aufsicht-Anforderungen).
DORA ist die bedeutendste Veränderung der Finanz-IT-Aufsicht seit MaRisk. Sie fordert ein vollständiges, dokumentiertes und gelebtes IKT-Resilienz-Programm — von der Geschäftsleitungs-Strategie bis zur granularen IKT-Drittparteien-Verwaltung.
Drei strategische Empfehlungen für eine erfolgreiche Umsetzung:
Erstens, Geschäftsleitungs-Engagement von Tag 1. Die DORA-Strategie ist nicht delegierbar — wer die Geschäftsleitung nicht früh einbindet, verliert Monate beim Erreichen der Compliance.
Zweitens, das IKT-Drittparteien-Register als zentralen Pfeiler etablieren. Die meisten Aufsichtsmaßnahmen knüpfen an den Drittanbieter-Risiken an — wer hier sauber dokumentiert, ist auch in den anderen Säulen typischerweise weiter.
Drittens, Synergien mit ISO 27001, NIS2 und BSI-IT-Grundschutz nutzen. Wer integriert plant, vermeidet doppelte Audits, doppelte Dokumentation und doppelte Tools.
Vision Compliance unterstützt Banken, Versicherer und Wertpapierdienstleister bei der DORA-Umsetzung als Teil unserer Finanz-Compliance-Beratung — von der GAP-Analyse über das IKT-Risikomanagement-Rahmenwerk bis zum TLPT-Programm. Wir verbinden BaFin-Aufsichtspraxis mit ISO-27001- und NIS2-Expertise, um Mehrfachaufwände zu vermeiden — ergänzt durch DORA-Schulungen für Vorstand und IKT-Verantwortliche. Sprechen Sie uns an für ein kostenloses DORA-Reifegrad-Assessment — wir bewerten Ihren aktuellen Status und erstellen einen konkreten 12-Monats-Plan.
Robert Lozo, mag. iur., is a Partner at Vision Compliance specializing in EU regulatory compliance. He advises organizations on GDPR, NIS2, AI Act, and financial regulation, delivering audit-ready documentation and compliance roadmaps across regulated industries.
