Der Digital Operational Resilience Act (DORA) ist ein regulatorisches Rahmenwerk der EU und gilt seit dem 17. Januar 2025 in allen EU-Mitgliedstaaten unmittelbar als Recht. Das Hauptziel von DORA besteht darin, die digitale Transformation von Finanzdienstleistungen zu sichern und zu unterstützen. Für Unternehmen, die inmitten stetig wachsender Cyberbedrohungen tätig sind, ist ein fundiertes Verständnis der DORA-Anforderungen heute unerlässlich.
DORA im Detail verstehen
DORA repräsentiert einen Paradigmenwechsel in der Art und Weise, wie Finanzunternehmen die digitale Widerstandsfähigkeit sicherstellen. Die Verordnung erfordert das aktive Mitwirken des Top-Managements bei der Definition und Umsetzung der notwendigen Maßnahmen zur Stärkung der digitalen Resilienz.
Viele Unternehmen stehen vor Herausforderungen beim Übergang von manuellen zu digitalen Prozessen. Die Implementierung robuster Maßnahmen im Risikomanagement und deren Automatisierung kann die Effizienz der Compliance-Prozesse deutlich verbessern.
Geltungsbereich und Anwendbarkeit
Der Geltungsbereich von DORA erstreckt sich nicht nur auf traditionelle Finanzinstitute, sondern umfasst eine breite Palette von Unternehmen. Folgende Entitäten fallen unter die Verordnung:
Auch Drittanbieter aus Nicht-EU-Ländern, die Finanzunternehmen in der EU beliefern, müssen DORA einhalten und gegebenenfalls eine Tochtergesellschaft innerhalb der EU gründen.
Die 5 Säulen von DORA
DORA strukturiert seine Anforderungen rund um fünf Kernbereiche, die zusammen ein vollständiges Rahmenwerk für die digitale operative Resilienz bilden.
| SÄULE | INHALT |
|---|---|
| 1. IKT-Risikomanagement | Unternehmen müssen Frameworks zur Identifizierung, Bewertung und Minderung von IKT-Risiken einrichten und kontinuierlich überwachen. |
| 2. Meldung von IKT-Vorfällen | Schwerwiegende Vorfälle müssen klassifiziert und fristgerecht an die zuständigen Behörden gemeldet werden. |
| 3. Tests zur digitalen Resilienz | Regelmäßige Resilienztests, einschließlich bedrohungsbasierter Penetrationstests (TLPT), sind verpflichtend. |
| 4. Risikomanagement für Drittanbieter | Finanzunternehmen müssen IKT-Drittanbieter sorgfältig prüfen, überwachen und klar definierte Ausstiegsstrategien bereithalten. |
| 5. Informationsaustausch | DORA fördert den branchenweiten Austausch von Informationen über Cyberbedrohungen und Schwachstellen. |
Regulatorische Aufsicht
Die Europäischen Aufsichtsbehörden (ESAs) übernehmen die zentrale Rolle in der Regulierungsaufsicht. Konkret sind dies:
Im November 2025 haben die ESAs erstmals eine Liste kritischer IKT-Drittanbieter (CTPPs) veröffentlicht.
Diese Unternehmen unterliegen nun einem direkten Aufsichtsrahmen der europäischen Regulatoren. In Deutschland ist die BaFin die zuständige nationale Aufsichtsbehörde.
IKT-Register: Eine zentrale Pflicht
Unter Artikel 28(3) DORA sind Finanzunternehmen verpflichtet, ein vollständiges Register ihrer vertraglichen Vereinbarungen mit IKT-Drittanbietern zu führen. Dieses Register muss auf Einzel-, Teilkonzern- und Konzernebene verfügbar sein. Es dient:
Die Frist für die erste Einreichung der Register bei den nationalen Behörden endete am 30. April 2025. Wer die Register noch nicht eingereicht hat, sollte dies mit der zuständigen Aufsichtsbehörde klären.
Ein Vertragsmanagement-Tool kann diesen Prozess erheblich beschleunigen. Mithilfe von KI-gestützter Klauselextraktion lassen sich IKT-relevante Vertragsklauseln automatisch identifizieren, klassifizieren und für das Register aufbereiten.
Sanktionen bei Nichteinhaltung
Bei Verstößen gegen DORA drohen empfindliche Bußgelder:
Diese Sanktionen liegen zwar unterhalb der DSGVO-Maximalstrafen, sind aber durch ihre tagesbasierte Berechnung potenziell sehr hoch. Eine frühzeitige und konsequente Compliance ist daher wirtschaftlich sinnvoll.
Die Rolle der Rechtsabteilung bei der DORA-Compliance
Rechtsabteilungen nehmen bei der DORA-Umsetzung eine Schlüsselrolle ein. Sie sind das Bindeglied zwischen den regulatorischen Anforderungen und der operativen Umsetzung im Unternehmen. Die wichtigsten Aufgaben im Überblick:
IKT-Anbieter identifizieren und Verträge prüfen
Vorfallsmeldung strukturieren
Governance-Prozesse stärken
Das Entity Management kann Rechtsabteilungen dabei helfen, Konzernstrukturen und Mandate übersichtlich abzubilden. So lassen sich Vorfallsmeldungen gezielt an die richtigen Stellen und Behörden adressieren.
Nächste Schritte zur DORA-Compliance
In der stetig komplexer werdenden Welt regulatorischer Anforderungen ist ein umfassendes Verständnis von DORA unerlässlich. Ganz gleich, ob es sich um ein Finanzinstitut oder einen IKT-Dienstleister handelt: Die Einhaltung von DORA ist entscheidend für die digitale Widerstandsfähigkeit und den langfristigen Erfolg.
Die DiliTrust Governance Suite unterstützt Rechtsabteilungen dabei, die DORA-Anforderungen effizient zu erfüllen. Ob IKT-Register via Vertragsmanagement, Vorfallsverfolgung via Entity Management oder strukturierte Governance-Prozesse: die Module lassen sich einzeln oder als integrierte Suite nutzen.
Erfahren Sie in unserem Webinar zur DORA-Compliance für Rechtsabteilungen, wie Ihr Unternehmen die wichtigsten Anforderungen praxisnah umsetzen kann.
Entdecken Sie jetzt unser innovatives Angebot!
