DORA in Kraft: Was sich für die 22.000 Banken und Fintechs in Europa ab Januar 2025 ändert

Das Digital Operational Resilience Act (DORA, Verordnung EU 2022/2554) tritt am 17. Januar 2025 in Kraft und beendet eine zweijährige Vorbereitungszeit. Die Verordnung harmonisiert die Anforderungen an die digitale Resilienz für rund 22.000 Finanzinstitute in der Europäischen Union: Banken, Versicherungen, Rückversicherungen, Brokerage, Zahlungs- und E-Geld-Institutionen, Investitionsgesellschaften und Krypto-Asset-Anbieter.

Der Geltungsbereich beschränkt sich nicht auf traditionelle Institutionen. Auch frühphasige Fintechs, die als Zahlungsplattformen, digitale Kreditgeber, digitale Versicherungen oder Krypto-Asset-Börsen operieren, fallen in dieselben Kategorien und müssen dieselben Verpflichtungen wie große Banken erfüllen. Es gibt keine Ausnahmen aufgrund der Größe.

Die Fünf Säulen

TIC-Risikomanagement: Von den Instituten wird verlangt, dokumentierte Risikomanagementrahmen mit klarer Governance aufrechtzuerhalten, die vom Vorstand genehmigt werden. Es reicht nicht aus, einen CISO zu haben; es muss nachgewiesen werden, dass der Vorstand aktiv die Entscheidungen im Bereich Cyberrisiko überwacht.

Reaktion und Berichterstattung bei Vorfällen: Schwere TIC-Vorfälle müssen innerhalb festgelegter Fristen an die Aufsichtsbehörde gemeldet werden, wobei die Erstmitteilung innerhalb von 4 Stunden, ein Zwischenbericht innerhalb von 72 Stunden und ein abschließender Bericht innerhalb eines Monats erforderlich sind.

Risikomanagement von Dritten: Die Institute sind verantwortlich für die Risiken, die durch ihre Technologieanbieter, insbesondere Cloud-Anbieter, eingeführt werden. Verträge mit kritischen Anbietern müssen spezifische Klauseln bezüglich Audit, Dienstkontinuität und Ausstiegsplänen enthalten.

Resilienztests: Organisationen, die über bestimmte Schwellenwerte für systemische Relevanz hinausgehen, müssen alle drei Jahre Threat-Led Penetration Tests (TLPT) durchführen, wobei die Methodik TIBER-EU verwendet wird.

Informationsaustausch: Das DORA fördert formal den Austausch von Bedrohungsintelligenz zwischen Finanzinstituten und schafft rechtliche Rahmenbedingungen, die zuvor regulatorische Unklarheiten hinsichtlich vertraulicher Daten aufwiesen.

Die Benennung der 19 kritischen Anbieter

Am 18. November 2025 haben die europäischen Aufsichtsbehörden 19 TIC-Dienstanbieter unter DORA als kritisch eingestuft, darunter AWS, Microsoft Azure und Google Cloud. Diese Einstufung bedeutet, dass diese Anbieter direkten Inspektionen durch die europäischen Regulierungsbehörden unterliegen, unabhängig davon, wo sie ansässig sind. Zum ersten Mal erhalten die europäischen Finanzregulierungsbehörden formelle Befugnisse zur direkten Aufsicht über amerikanische Cloud-Infrastrukturen.

Die Strafen

Finanzinstitute, die den DORA nicht einhalten, können mit einer Geldbuße von bis zu 2 % des weltweiten Jahresumsatzes belegt werden. Für als kritisch eingestufte TIC-Anbieter können die Strafen bis zu 1 % des durchschnittlichen weltweiten Tagesumsatzes pro Tag der Nichteinhaltung betragen.

Was noch offen ist

Die praktische Umsetzung hat Unklarheiten aufgezeigt. Die Auslegung von "schwerem Vorfall" zu Berichterstattungszwecken, die genauen Kriterien für die Durchführung von TLPT-Tests für Zwischeninstitutionen und die Behandlung von Abhängigkeiten von Subunternehmern in komplexen technologischen Lieferketten werden von den zuständigen nationalen Behörden weiterhin geklärt.