DORA-Verordnung: Pflichten für Banken und Finanzdienstleister seit Januar 2025

Die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor, kurz DORA, ist seit dem 17. Januar 2025 unmittelbar anwendbar. Sie richtet sich an 21 Kategorien von Finanzunternehmen, von der CRR-Bank bis zum Krypto-Dienstleister, und an deren kritische IKT-Drittparteien. Anders als die BAIT, VAIT und KAIT, die DORA in weiten Teilen ersetzt, gilt die Verordnung in jedem Mitgliedstaat ohne nationale Umsetzung. Die BaFin und die Deutsche Bundesbank sind die zuständigen Behörden in Deutschland und prüfen seit 2025 aktiv.

Dieser Artikel ordnet die Pflichten nach den fünf Säulen der Verordnung: IKT-Risikomanagement, Meldung schwerwiegender IKT-Vorfälle, Resilienztests, Management von Drittparteienrisiken und Informationsaustausch. Sie erhalten je Säule die maßgeblichen Artikel, die Fristen, die Dokumentationsanforderungen und die typischen Prüfungsschwerpunkte. Der Schwerpunkt liegt auf der praktischen Umsetzung in einem mittelständischen Finanzinstitut mit einer Bilanzsumme zwischen 1 und 50 Mrd. Euro.

Der Anwendungsbereich ist in Art. 2 DORA geregelt. Erfasst sind Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, Wertpapierfirmen, zentrale Verwahrer, zentrale Gegenparteien, Handelsplätze, Versicherungs- und Rückversicherungsunternehmen, Versicherungs- und Pensionsvermittler, Verwalter alternativer Investmentfonds, OGAW-Verwaltungsgesellschaften, Datenbereitstellungsdienste, Kryptodienstleister, Crowdfunding-Anbieter, Verbriefungszweckgesellschaften und mehrere weitere Kategorien. Auch Kleinanleger-Vermittler fallen unter die Verordnung, sofern sie nicht unter die Verhältnismäßigkeitsregel des Art. 16 fallen.

Die BaFin hat in ihrem Auslegungsschreiben vom Januar 2025 klargestellt, dass DORA die BAIT, VAIT, KAIT und ZAIT überwiegend ersetzt. Die Rundschreiben bleiben für Aspekte gültig, die DORA nicht regelt, etwa Auslagerungsvorgaben außerhalb des IKT-Bereichs. Für die Geschäftsleitung bedeutet das eine doppelte Pflicht in der Übergangsphase: Die DORA-Pflicht gilt unmittelbar, und Restbestände aus den Rundschreiben sind weiter zu beachten.

Für die Rolle des Informationssicherheitsbeauftragten verschiebt DORA den Schwerpunkt von der nationalen Aufsicht zur europäischen Harmonisierung. Eine Einordnung der Rolle finden Sie unter Informationssicherheitsbeauftragter (ISB). CIVAC ist Compliance-Plattform und Officer-as-a-Service. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen.

Art. 5 Abs. 2 DORA legt fest, dass das Leitungsorgan die Letztverantwortung für das IKT-Risikomanagement trägt. Die Geschäftsleitung muss die IKT-Strategie genehmigen, die IKT-Risikobereitschaft festlegen, ausreichende Ressourcen bereitstellen und mindestens einmal jährlich an einer Schulung zu IKT-Risiken teilnehmen. Die Schulung ist zu dokumentieren. Die Auslagerung der Verantwortung an einen Dienstleister ist ausgeschlossen. Die persönliche Haftung des Leitungsorgans ergibt sich zusätzlich aus § 93 AktG und § 43 GmbHG und kann durch eine D&O-Versicherung gemildert, aber nicht aufgehoben werden.

Der inhaltliche Rahmen für das IKT-Risikomanagement ergibt sich aus Art. 6 bis 16. Die Verordnung verlangt einen schriftlichen IKT-Risikomanagementrahmen, eine Inventarisierung aller IKT-Vermögenswerte, eine kontinuierliche Risikobewertung, ein Schutz- und Präventionssystem, ein Erkennungssystem, ein Geschäftsfortführungs- und Wiederherstellungssystem sowie einen Lern- und Verbesserungsprozess. Die Anforderungen werden in den Regulatory Technical Standards der ESAs konkretisiert, insbesondere in der Delegierten Verordnung (EU) 2024/1774. Der Rahmen umfasst dokumentierte Rollen, dokumentierte Eskalationspfade und ein Berichtswesen an das Leitungsorgan in mindestens jährlichem Turnus.

Verhältnismäßigkeit nach Art. 4 DORA erlaubt kleineren Instituten einen vereinfachten Rahmen. Die Schwellenwerte richten sich nach Bilanzsumme, Geschäftsmodell und Risikoprofil. Die BaFin prüft die Selbsteinstufung im Rahmen der laufenden Aufsicht. Eine Fehleinstufung führt zu Nachforderungen und zu einem Sonderprüfungstermin. Die Einstufung ist mit Begründung zu dokumentieren und jährlich zu prüfen. CIVAC Workspace führt den IKT-Risikomanagementrahmen mit Versionierung, Genehmigungsworkflow und Verknüpfung zu den 93 Controls der ISO/IEC 27001:2022 in einem Dossier zusammen.

Art. 19 DORA verpflichtet zur Meldung schwerwiegender IKT-Vorfälle an die zuständige Behörde. Das Meldeschema entspricht dem dreistufigen Modell, das aus der NIS-2-Richtlinie bekannt ist. Die Erstmeldung erfolgt unverzüglich, spätestens innerhalb von 4 Stunden nach Klassifizierung als schwerwiegend, und in jedem Fall innerhalb von 24 Stunden nach Kenntnisnahme. Die Zwischenmeldung folgt innerhalb von 72 Stunden, die Abschlussmeldung innerhalb eines Monats nach Behebung. Zusätzlich besteht die Pflicht zur Information betroffener Kunden, sofern der Vorfall eine erhebliche Auswirkung auf deren Vermögensinteressen hat.

Die Klassifizierung als schwerwiegend richtet sich nach den Schwellenwerten der Delegierten Verordnung (EU) 2024/1772. Maßgeblich sind unter anderem die Anzahl betroffener Kunden, die Dauer der Beeinträchtigung, der geografische Anwendungsbereich, der Datenverlust und die wirtschaftliche Auswirkung. Ein Vorfall ist auch schwerwiegend, wenn er die Bereitstellung kritischer oder wichtiger Funktionen beeinträchtigt. Daneben besteht eine freiwillige Meldung erheblicher Cyberbedrohungen, die in der Praxis zur Frühwarnung des Sektors beiträgt.

Die Meldung erfolgt in Deutschland über das BaFin-Portal MVP. Die Frist beginnt mit der internen Klassifizierung, nicht mit der ersten Auffälligkeit. Die Klassifizierungsentscheidung muss dokumentiert sein, damit die Frist nachvollziehbar bleibt. Frist läuft ab Kenntnis. CIVAC stellt den 24/72-Meldepfad als Audit-Vorlage bereit und führt die Klassifizierungsentscheidung, die Eskalationsprotokolle und die Behördenkommunikation in einem Dossier zusammen. Der Prüfer ruft an, der Nachweis liegt bereit.

DORA verlangt ein Programm für Resilienztests. Art. 24 DORA legt den Grundsatz fest, Art. 25 die Testarten, und Art. 26 das fortgeschrittene Threat-Led Penetration Testing für Großinstitute. Jedes Finanzunternehmen testet die kritischen IKT-Systeme mindestens einmal jährlich. Die Tests umfassen Vulnerability Scans, Open-Source-Analysen, Netzwerksicherheitstests, physische Sicherheitsbewertungen, Szenariobasierte Tests und Penetrationstests. Die Tester müssen fachlich und organisatorisch unabhängig sein, was insbesondere für interne Teams eine Trennlinie zur Linienorganisation erfordert.

Das Threat-Led Penetration Testing nach Art. 26 ist nur für bestimmte Institute verpflichtend. Die Auswahl trifft die Bundesbank zusammen mit der BaFin auf Basis der TIBER-EU-Methodik. Der Testzyklus beträgt drei Jahre. Während eines TLPT werden die Live-Produktionssysteme von einem akkreditierten externen Tester nach einem realistischen Bedrohungsszenario angegriffen. Die Ergebnisse fließen in einen verbindlichen Maßnahmenplan. Die Akkreditierung der Tester folgt den Vorgaben der ESAs und der Bundesbank, daneben gelten strenge Vertraulichkeits- und Eskalationsregeln zwischen den beteiligten Akteuren.

Die Testergebnisse werden dokumentiert und der Geschäftsleitung berichtet. Festgestellte Schwachstellen sind nach Risiko priorisiert zu beheben, mit dokumentierter Frist und verantwortlicher Stelle. Die BaFin prüft den Testplan, die Ergebnisberichte und den Maßnahmenfortschritt im Rahmen der laufenden Aufsicht. CIVAC verknüpft Testfunde mit dem Control-Katalog und mit dem IKT-Risikoinventar, sodass die Fortschrittskontrolle automatisch in den Quartalsbericht an die Geschäftsleitung einfließt. Audit-fest, dokumentiert.

Die Drittparteienkapitel sind der Teil der Verordnung mit dem größten Umsetzungsaufwand. Art. 28 DORA verpflichtet zu einer schriftlichen Strategie für IKT-Drittparteienrisiken, zu einem Informationsregister aller Verträge und zu einer Risikoanalyse vor Vertragsabschluss. Das Informationsregister meldet das Finanzunternehmen jährlich an die zuständige Behörde nach dem Format der Delegierten Verordnung (EU) 2024/2956. Die Pflicht zur Aktualisierung des Registers besteht bei jeder wesentlichen Änderung im Bestand kritischer oder wichtiger Verträge.

Art. 30 DORA listet die Mindestklauseln, die jeder IKT-Drittpartei-Vertrag enthalten muss. Dazu zählen Dienstleistungsbeschreibung, Standort der Datenverarbeitung, Verfügbarkeits- und Sicherheitsanforderungen, Berichts- und Prüfrechte, Notfall- und Beendigungsklauseln sowie ausreichende Übergangsregelungen. Verträge mit kritischen oder wichtigen Funktionen unterliegen erweiterten Anforderungen, darunter die volle Auditierbarkeit vor Ort, vertraglich abgesicherte Exit-Pläne und dokumentierte Stresstest-Ergebnisse des Dienstleisters.

Kritische IKT-Drittdienstleister, die von den ESAs als solche eingestuft werden, unterliegen einer eigenen europäischen Aufsicht nach Art. 31 bis 44. Die erste Liste hat die ESA im Jahr 2025 veröffentlicht. Für das beaufsichtigte Institut bedeutet das eine zusätzliche Berichtsschicht, weil Erkenntnisse aus der europäischen Aufsicht in das eigene Drittparteienrisikomanagement zurückfließen müssen. Eine Übersicht zur Rolle des Lieferanten-Auditors ergänzt die operative Seite. Die Pflichten zur Konzentrationsrisikoanalyse aus Art. 29 zwingen daneben zu einer expliziten Bewertung der Abhängigkeit von einzelnen Anbietern, insbesondere großen Cloud-Hyperscalern.

Art. 45 DORA fördert den freiwilligen Informationsaustausch zwischen Finanzunternehmen zu Cyberbedrohungen, Indikatoren der Kompromittierung, Taktiken, Techniken und Verfahren. Der Austausch erfolgt innerhalb anerkannter Vertrauensgemeinschaften, etwa über das deutsche FI-ISAC oder die europäischen Informationsaustauschformate. Der Austausch entlastet die Verteidigung gegen identische Angriffe in mehreren Instituten und verkürzt die Reaktionszeit nach erstmaliger Beobachtung eines neuen Angriffsmusters.

Die behördliche Zusammenarbeit ist in Art. 46 bis 56 geregelt. Die ESAs koordinieren die Aufsicht, die nationalen Behörden bleiben für die laufende Prüfung zuständig. In Deutschland teilen sich BaFin und Bundesbank die Zuständigkeit nach dem bekannten Modell aus dem Bankenaufsichtsrecht. Beide Behörden können Auskunfts-, Vorlage- und Vor-Ort-Prüfungsrechte ausüben. Daneben besteht ein Informationsfluss zum BSI als nationaler Cybersicherheitsbehörde, der über bestehende sektorale Kooperationsvereinbarungen abgewickelt wird.

Sanktionen sind in Art. 50 DORA geregelt und werden durch nationales Recht ergänzt. In Deutschland setzt das DORA-Begleitgesetz die nationalen Sanktionen um. Verstöße gegen das IKT-Risikomanagement, die Meldepflichten oder die Drittparteienregeln können mit Geldbußen, Veröffentlichung der Verstöße, Tätigkeitsverboten gegen verantwortliche Personen und mit Lizenzentzug geahndet werden. Die zivilrechtliche Haftung der Geschäftsleitung nach § 93 AktG und § 43 GmbHG bleibt zusätzlich bestehen, ebenso die strafrechtliche Verantwortung bei vorsätzlichem Unterlassen.

DORA verlangt einen IKT-Risikomanagementrahmen, definiert aber keine konkrete Norm. In der Praxis verwenden Institute den Control-Katalog der ISO/IEC 27001:2022 mit ihren 93 Controls als operative Grundlage. Die Norm liefert die Strukturierung in Anhang A, die zu den Anforderungen aus Art. 6 bis 16 DORA passt. Die BaFin akzeptiert ein nach 27001:2022 zertifiziertes ISMS als starkes Indiz für die Erfüllung der DORA-Pflichten, ersetzt aber nicht die DORA-spezifischen Anforderungen, insbesondere nicht die Meldepflichten aus Art. 19 und die Drittparteienregeln aus Art. 28 bis 30.

Das Verhältnis zu NIS-2 ist in Art. 1 Abs. 2 DORA klargestellt. Für Finanzunternehmen, die zugleich unter NIS-2 fallen, gilt DORA als Lex specialis. Eine Doppelmeldung ist nicht erforderlich, sofern die Meldung an die zuständige Finanzaufsicht den Anforderungen beider Regimes genügt. Das BSI und die BaFin haben dazu eine Verständigungsabsprache veröffentlicht, die den Informationsfluss zwischen beiden Behörden regelt und Doppelarbeit vermeidet.

Für Konzerne mit gemischten Tochtergesellschaften, etwa einer Bank und einem IT-Dienstleister, ergibt sich eine geteilte Architektur. Die Bank arbeitet unter DORA, der IT-Dienstleister unter NIS-2, der gemeinsame Group-CISO koordiniert beide. Die saubere Trennung der Berichtswege ist erfolgskritisch, weil Meldepflichten, Fristen und Adressaten unterschiedlich sind. CIVAC bildet die geteilte Architektur im Workspace ab und ordnet jede Control sowohl dem DORA-Artikel als auch dem § des NIS2UmsuCG zu. Audit-fest, dokumentiert, § -fest.

Die zentralen Fristen im Überblick: Geltung der Verordnung seit 17. Januar 2025. Erstmeldung schwerwiegender IKT-Vorfälle innerhalb von 4 bis 24 Stunden nach Klassifizierung, Zwischenmeldung innerhalb von 72 Stunden, Abschlussmeldung innerhalb eines Monats. Jährliche Vorlage des Informationsregisters der IKT-Drittpartei-Verträge an die BaFin. Jährliche Resilienztests, dreijähriger TLPT-Zyklus für betroffene Institute. Frist läuft ab Kenntnis. Die jährliche Genehmigung der IKT-Strategie durch das Leitungsorgan und die mindestens jährliche Schulung der Geschäftsleitung kommen hinzu.

Die nationale Sanktionsobergrenze richtet sich nach dem DORA-Begleitgesetz. Schwere Verstöße werden mit Bußgeldern im Millionenbereich geahndet, daneben treten Tätigkeitsverbote gegen verantwortliche Personen nach § 36 KWG und § 25c KWG analog. Die persönliche Haftung der Geschäftsleitung folgt aus § 93 AktG und § 43 GmbHG und kann durch eine D&O-Versicherung gemildert, aber nicht ausgeschlossen werden. Eine zusätzliche zivilrechtliche Haftung gegenüber Kunden ist denkbar, sofern die Verletzung der DORA-Pflichten zu einem konkreten Schaden geführt hat.

Die Geschäftsleitung trägt nach Art. 5 Abs. 2 DORA die Letztverantwortung. Die jährliche Schulungspflicht, die persönliche Genehmigung des Risikorahmens und die Berichterstattung an das Aufsichtsorgan sind nicht delegierbar. Eine sauber geführte Bestellurkunde für den ISB, eine dokumentierte Berichtslinie an das Vorstandsmitglied IT und ein jährlicher schriftlicher Bericht bilden die Mindestnachweise. Bestellurkunde, unterschrieben, abgelegt, belegbar. CIVAC liefert die Bestellurkunden-Vorlage, den Berichtslinien-Workflow und die jährliche Berichtsstruktur als einsatzbereite Audit-Vorlagen.

DORA ist seit dem 17. Januar 2025 in Kraft. Eine Übergangsphase gibt es nicht. Wer in der ersten BaFin-Sonderprüfung einen lückenhaften IKT-Risikorahmen, eine ungeklärte Meldekette oder ein unvollständiges Drittpartei-Register vorzeigt, verlängert die Prüfung und zieht Auflagen nach sich. Der schnellste Hebel ist eine strukturierte Bestandsaufnahme entlang der fünf Säulen, gefolgt von einer Lückenliste mit Eigentümer, Frist und Nachweis.

CIVAC ist Compliance-Plattform und Officer-as-a-Service. Der Workspace bringt 37 einsatzbereite Audit-Vorlagen, die 93 Controls der ISO/IEC 27001:2022, den 24/72-Meldepfad, das DORA-Informationsregister und die Bestellurkunden-Vorlage mit. Die Plattform läuft unter EU-Datenresidenz und wird unter einem zertifizierten ISO/IEC 27001:2022 ISMS betrieben. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software.

Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular. Ein erfahrener Beauftragter meldet sich binnen zwei Werktagen mit einem Scoping-Gespräch, einer Lückenliste und einem Vorschlag für die nächste BaFin-Prüfung.