Digital Operational Resilience Act (DORA): Alles, was Versicherer und Finanzunternehmen jetzt wissen müssen

Holger Dülberg Holger Dülberg
31.03.2026
Lesezeit 7 min

Diese Themenseite unterstützt Unternehmen dabei, DORA zu verstehen, praktische Umsetzungsschritte abzuleiten und den Übergang in eine regelkonforme, digitale Betriebsstabilität erfolgreich zu meistern.

DORA Verordnung für Versicherer und FInanzunternehmen

Hintergründe

Die Digitalisierung des Finanzsektors schreitet rasant voran. Prozesse werden automatisiert, Datenvolumina wachsen exponentiell und Abhängigkeiten von IT und Cloud-Dienstleistungen steigen kontinuierlich. Gleichzeitig nimmt die Bedrohungslage durch Cyberangriffe, Systemausfälle und digitale Betriebsstörungen zu.

Mit dem Digital Operational Resilience Act (DORA) hat die Europäische Union erstmals einen einheitlichen und verbindlichen Rechtsrahmen geschaffen, der sicherstellt, dass Finanzunternehmen sowie deren IT-Dienstleister (in der Verordnung auch IKT-Dienstleister genannt) digitale Risiken beherrschen und auch unter Stressbedingungen widerstandsfähig bleiben.

Digitale Risiken umfassen alle Gefahren, die aus der Nutzung von IT-Systemen und digitalen Dienstleistern entstehen, von Cyberangriffen über Systemausfälle bis hin zu kritischen Abhängigkeiten. Stressbedingungen beschreiben Situationen, in denen diese Risiken unter hohem Zeit-, Ressourcen- oder Krisendruck bewältigt werden müssen. DORA stellt sicher, dass Finanzunternehmen und IKT-Dienstleister hierfür europaweit einheitliche, überprüfbare Standards einhalten.

1. Was ist DORA?

Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung (EU 2022/2554), die fast alle beaufsichtigten Unternehmen und Institute des europäischen Finanzsektors (im Folgenden Finanzunternehmen genannt) verpflichtet, ihre technischen und organisatorischen Strukturen so zu gestalten, dass sie Angriffen, Systemausfällen und Störungen standhalten.

DORA ist seit Januar 2023 in Kraft und ab dem 17. Januar 2025 verbindlich anzuwenden. Anders als Richtlinien muss eine Verordnung nicht in nationales Recht überführt werden, sie gilt unmittelbar und vollständig.

Ziel von DORA ist es:

  • Cyber‑ und IT‑Risiken im Finanzsektor systematisch zu reduzieren

  • Die Widerstandsfähigkeit digitaler Infrastrukturen zu erhöhen

  • Finanzmarktstabilität über alle EU‑Länder hinweg zu harmonisieren

  • Das Risiko systemischer Ausfälle durch Drittanbieter zu minimieren

  • Transparenz und Konsistenz im Umgang mit Sicherheitsvorfällen zu schaffen

DORA umfasst den gesamten Lifecycle digitaler Risiken: Von Prävention über Monitoring bis hin zu Reaktion, Wiederherstellung und Nachweisführung.

Zeitstrahl DORA Verordnung: Wann gilt was?

Zeitstrahl zur DORA-Verordnung

2. Für wen gilt DORA?

DORA richtet sich an nahezu alle europäischen Finanzmarktakteure. Dazu zählen insbesondere:

  • Versicherungsunternehmen und Rückversicherer

  • Banken, Kreditinstitute und Wertpapierfirmen

  • Zahlungsdienste, E Geld Institute

  • Kapitalverwaltungsgesellschaften

  • Betriebliche Altersvorsorgeeinrichtungen

  • Handelsplätze und Börsen

  • Ratingagenturen

  • Crowdfunding und Fintech Plattformen

Darüber hinaus betrifft DORA IKT-Drittdienstleister, also Anbieter, deren IT-Services kritische oder wichtige Funktionen eines Finanzunternehmens unterstützen, wie etwa Rechenzentren, Cloud-Anbieter, Software-Hersteller oder ManagedServiceProvider.

Besonders relevant: Wenn ein Finanzunternehmen wesentliche Funktionen mithilfe externer IT-Services erbringt, gelten diese Anbieter automatisch als Teil des DORA Regelungsrahmens.

Die 5 Säulen der DORA-Verordnung

5 Säulen der DORA-Verordnung

3. Die zentralen Anforderungen der DORA-Verordnung

DORA gliedert sich in fünf große Themenblöcke, die eng miteinander verwoben sind.

3.1 IKT Risikomanagement

Jedes Finanzunternehmen muss ein effektives IT Risikomanagement Framework etablieren, das Folgendes umfasst:

  • Strategien, Prozesse und Richtlinien

  • Verantwortlichkeiten auf Management Ebene

  • Maßnahmen für Schutz, Prävention und Abwehr

  • Regelmäßige Risikoanalysen

  • Systeme zur Erkennung von Schwachstellen

  • Dokumentationspflichten und Nachweisanforderungen

Das Risikomanagement muss kontinuierlich gepflegt und an neue Bedrohungen angepasst werden. Unternehmen müssen nachweisen können, dass digitale Risiken methodisch bewertet, gesteuert und überwacht werden.

3.2 IKT-Vorfallmanagement & Meldepflichten

DORA fordert ein robustes Framework zur Erkennung, Klassifizierung, Behandlung und Meldung von IKT bezogenen Vorfällen. Dazu gehören:

  • Ein standardisiertes Incident Management System

  • Klare Kriterien zur Einstufung der Vorfallsart

  • Vorgaben für Meldefristen an Aufsichtsbehörden

  • Interne Berichtswege und Kommunikationsprozesse

  • Forensische Dokumentation

Besonders wichtig: Signifikante IKT Vorfälle müssen in abgestuften Meldeketten an die zuständige Behörde übermittelt werden, teilweise innerhalb von 24 Stunden.

3.3 Resilienztests und TLPT

DORA verpflichtet Finanzunternehmen dazu, ihre digitale Betriebsstabilität regelmäßig zu testen. Dazu gehören:

  • Technische Tests (z. B. Penetrationstests)

  • Funktionale Tests (z. B. Notfall und Wiederherstellungsübungen)

  • Table top Exercises

  • Disaster Recovery Szenarien

Für besonders kritische Institute gilt zusätzlich: Threat Led Penetration Testing (TLPT): Ein tiefgreifender, realitätsnaher Stresstest unter kontrollierten Bedingungen.

3.4 Management von IKT-Drittparteirisiken

Hier liegt einer der größten Schwerpunkte von DORA, da der EU-Finanzmarkt stark von externen IT-Dienstleistern abhängig ist.

Unternehmen müssen sicherstellen, dass:

  • Sämtliche IKT-Dienstleister sorgfältig bewertet werden

  • Verträge verbindliche Mindestanforderungen erfüllen

  • Risiken aus Auslagerungen systematisch gesteuert werden

  • Alternativen & Exit Strategien definiert sind

  • Abhängigkeiten transparent dokumentiert werden

Wichtig: Das Informationsregister gemäß Art. 28 DORA. Betroffene Unternehmen müssen das Informationsregister vom 9. bis 30. März 2026 einreichen.

3.5 Das Informationsregister gemäß ITS 2024/2956

Alle Finanzunternehmen müssen ein vollständiges Register sämtlicher IKT-Dienstleistungen führen. Dieses umfasst:

  • Alle IT bezogenen Verträge und Unterverträge

  • Risiko-Klassifizierungen

  • Kritikalität der Funktionen

  • Leistungsumfang & Verantwortlichkeiten

  • Lokationen der Datenhaltung

  • Exit Szenarien und Notfallkonzepte

  • KPIs & Kontrollmechanismen

Das Register muss auf Verlangen der Behörde sofort lieferbar sein, ohne Nacharbeiten.

4. DORA in der Praxis: So setzen Unternehmen die Anforderungen um

Die Umsetzung von DORA ist ein Transformationsprojekt, das strategische, technische und organisatorische Elemente umfasst. Der folgende Leitfaden dient als Orientierung für Versicherer und Finanzdienstleister.

4.1 Schritt 1: Gap-Analyse

Erster Schritt jeder DORA Umsetzung ist eine systematische Bestandsaufnahme:

  • Was ist bereits vorhanden?

  • Welche Risiken bestehen?

  • Wo fehlen Richtlinien oder Prozesse?

  • Welche Dienstleister erfüllen die Anforderungen nicht?

  • Wie vollständig ist die Dokumentation?

Das Ergebnis sollte ein klarer Maßnahmenplan mit Prioritäten sein.

4.2 Schritt 2: Aufbau oder Erweiterung des IKT-Risikomanagements

Unternehmen müssen sicherstellen, dass:

  • Rollen & Verantwortlichkeiten definiert sind

  • Management-Commitment dokumentiert ist

  • Alle Richtlinien formalisiert wurden

  • Monitoring-Mechanismen implementiert sind

  • Berichterstattung standardisiert erfolgt

4.3 Schritt 3: Incident Response & Reporting anpassen

Viele Unternehmen unterschätzen die Anforderungen an die Meldewege. Diese müssen:

  • automatisierbar

  • nachvollziehbar dokumentiert

  • intern abgestimmt

  • technisch unterstützt

  • regulatorisch konform

sein.

4.4 Schritt 4: Resilienztests etablieren

Ein strukturierter Testplan umfasst:

  • Jährliche Tests für Notfall & Wiederherstellungsprozesse

  • Regelmäßige technische Sicherheitstests

  • TLPT für besonders kritische Firmen

Die Dokumentation ist hier ein wesentlicher Erfolgsfaktor.

4.5 Schritt 5: Informationsregister erstellen

Der Aufbau des Registers ist arbeitsintensiv, aber essenziell. Ein vollständiges Register enthält:

  • Alle Verträge

  • Alle Dienstleister

  • Alle Unterauftragnehmer

  • Klassifizierungen

  • Risikobewertungen

  • Monitoring-Prozesse

  • Exit-Strategien

4.6 Schritt 6: Verträge mit IKT-Dienstleistern aktualisieren

DORA schreibt bestimmte Mindestinhalte vor, u. a.:

  • Sicherheitsmaßnahmen

  • Audit Rechte

  • Berichtspflichten

  • Notfallkommunikation

  • Exit-Regelungen

Bestehende Verträge müssen oft nachverhandelt werden.

5. Rollenbasierte Anforderungen

DORA ist keine rein technische oder regulatorische Aufgabe, sondern verteilt konkrete Pflichten und Verantwortlichkeiten auf mehrere Rollen im Unternehmen, die gemeinsam die digitale Resilienz sicherstellen müssen.

5.1 CIO / IT-Leitung

  • Verantwortung für technische Umsetzung

  • Sicherstellung der Betriebsstabilität

  • Einführung geeigneter Monitoring-Tools

5.2 Compliance & Risikomanagement

  • Überwachung der regulatorischen Vorgaben

  • Reporting an Management & Behörden

  • Sicherstellung der Dokumentation

5.3 Einkauf

  • Einbindung von DORA-Vorgaben in Beschaffungsprozesse

  • Bewertung neuer Dienstleister

  • Vertragskonformität sicherstellen

5.4 Fachbereiche (z. B. Rechnungswesen)

  • Sensibilisierung für IT-Abhängigkeiten

  • Mitwirkung an Risikoanalysen

  • Erfassung kritischer Prozesse

6. Vergleich: DORA vs. NIS2 vs. CRA vs. DSGVO

Die DORA-Verordnung steht nicht isoliert, sondern ist Teil eines zunehmend komplexen regulatorischen Rahmens rund um IT-Sicherheit, digitale Resilienz und Datenschutz. Viele Unternehmen sind parallel mit weiteren Vorgaben wie NIS2, dem Cyber Resilience Act (CRA) oder der DSGVO konfrontiert. Ein strukturierter Vergleich hilft dabei, die Zielsetzung, den Anwendungsbereich und die konkreten Pflichten der einzelnen Regelwerke einzuordnen und Überschneidungen ebenso wie Abgrenzungen klar zu verstehen.

Regulierung

Fokus

Zielgruppe

Kernpunkt

DORA

IT-Risiken & digitale Betriebsstabilität

Finanzsektor & IT-Dienstleister

Einheitliche Resilienz-Standards

NIS2

Kritische Infrastrukturen und Cypersecurity

Kritis-Sektoren

Schutz vor Cyper-Bedrohungen

CRA

IT-Sicherheit in Produkten

Hersteller digitaler Produkte

Produktsicherheit & Updates

DSGVO

Schutz personenbezogener Daten

Alle Unternehmen

Datenschutz & Rechte der Betroffenen

DORA überschneidet sich teilweise mit NIS2 / DSGVO, geht jedoch viel tiefer in operative IT-Risiken.

Wichtig: Bitte bedenken Sie, dass dieser Artikel nur eine grobe Einordnung der DORA-Verordnung ist. Wir geben keine Rechtsberatung, noch erklären wir Ihnen, wie Sie DORA in Ihrer Organisation umsetzen können.

7. Häufig gestellte Fragen (FAQ)

Was ist die DORA-Verordnung?

Ein EU Rechtsrahmen für digitale Resilienz im Finanzsektor.

Ab wann gilt DORA?

Ab 17. Januar 2025 verbindlich.

Für wen gilt DORA?

Für nahezu alle Finanzunternehmen und deren IKT-Dienstleister.

Was ist das Informationsregister?

Eine vollständige Dokumentation aller IKT-Dienstleistungen eines Unternehmens.

Was passiert bei Nicht-Umsetzung?

Es drohen Sanktionen, Bußgelder, Einschränkungen und Reputationsschäden.

8. Wie Diamant Software Versicherungen & Finanzunternehmen unterstützt

Diamant Software ist seit vielen Jahren Partner von Unternehmen, die BaFin reguliert sind. Daher unterstützen wir Sie:

  • Bei der DORA konformen Dokumentation

  • Durch verlässliche und auditierbare IKT-Dienstleistungen

  • Mit klaren Sicherheits- und Compliance-Artefakten

  • Mit strukturierten Informationen zu Betrieb, Hosting & Datenhaltung

Unsere Lösungen sind darauf ausgelegt, zentrale Anforderungen von DORA effizient zu unterstützen:

  • Nachvollziehbarkeit & Dokumentation

  • Betriebsstabilität

  • Audit-Story

  • Kontrollmechanismen

  • Transparenz der IT-Architektur

Direkt zum Trust Center

9. Downloads & Ressourcen

DORA-Checkliste: So werden Sie DORA - ready

Ein kompakter Leitfaden, der Unternehmen innerhalb von 30–60 Minuten eine erste Standortbestimmung ermöglicht.

  • Muster Informationsregister (strukturiert)

  • Ideal als Startpunkt für die interne DORA-Dokumentation

  • Mit Best Practices und Handlungsempfehlungen

Checkliste: So werden Sie DORA-ready - Jetzt herunterladen

10. Fazit: DORA macht die digitale Resilienz messbar & erreichbar

Der Digital Operational Resilience Act ist eine der wichtigsten regulatorischen Veränderungen für den Finanzsektor seit der DSGVO. Er zwingt Unternehmen dazu, digitale Risiken ganzheitlich zu betrachten – und schafft gleichzeitig die Chance, Strukturen, Systeme und Prozesse zu professionalisieren.

Mit der richtigen Vorbereitung, klaren Verantwortlichkeiten und verlässlichen IKT Partnern wird DORA nicht zum Risiko, sondern zum Wettbewerbsvorteil.