DORA – Cybersicherheit für den Finanzsektor

Seit dem 17. Januar 2025 verpflichtet DORA Banken, Versicherungen, Zahlungsdienstleister und andere Finanzakteure dazu, ihre Informations- und Kommunikationstechnologien (IKT) gegen Risiken wie Cyberangriffe, Systemausfälle und Datenverluste abzusichern. Ziel ist es, sicherzustellen, dass Finanzdienstleistungen auch bei IT-Störungen stabil und zuverlässig bleiben. Dadurch wird auch das Vertrauen in die Stabilität und Sicherheit des europäischen Finanzsystems gestärkt. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) unterstützt beaufsichtigte Unternehmen bei der Umsetzung von DORA, unter anderem durch Informationsveranstaltungen und Fachartikel.

• Finanzdienstleistungen sollen auch in Krisen- oder Ausnahmesituationen funktionsfähig bleiben.
• Einheitliche, verbindliche Standards zu IT-Sicherheit in der gesamten EU – weniger Fragmentierung, mehr Klarheit.
• Cyberrisiken frühzeitig erkennen und Schäden vorbeugen.
• Regelmäßige Penetrationstests, Business-Continuity-Pläne und Notfallmaßnahmen, um im Ernstfall schnell und wirksam reagieren zu können.
• Vermeidung von Abhängigkeiten und Sicherheitslücken bei kritischen IT-Zulieferern, durch Regulierung von IT-Dienstleistern.
• Unternehmen müssen schwerwiegende IT-Störungen melden, damit Behörden schneller reagieren können und das gesamte Finanzsystem besser geschützt werden kann.

• Finanzunternehmen: Banken, Versicherungen, Rückversicherer, Zahlungsinstitute, E-Geld-Institute
• Wertpapier- & Börsenakteure: Wertpapierfirmen, Vermögensverwalter, Börsen, Handelsplätze, CCPs
• Krypto-Dienstleister: Anbieter von Krypto-Wallets, -Handel oder -Verwahrung
• Rating- & Auskunftsdienste: Ratingagenturen, Referenzdatenanbieter, Transaktionsregister
• Versicherungsvermittler: Unter bestimmten Voraussetzungen (z. B. Größe, Risikoexponierung)
• IKT-Drittanbieter: Cloud-Anbieter, IT-Sicherheitsfirmen, Softwarehäuser, Hosting-Provider

In solchen Fällen müssen auch sie bestimmte Anforderungen erfüllen – etwa in Bezug auf Informationssicherheit, Betriebsstabilität und Ausfallsicherheit. DORA betrifft IKT Dienstleister, wenn:

• kritische IT-Dienste für Finanzunternehmen bereitstellen (z. B. Cloud Computing, Datenanalyse, Netzwerkinfrastruktur),
• von der EU als „kritische IKT-Dienstleister“ benannt werden (z. B. große Cloud-Anbieter),

Diese Anbieter unterliegen dann einer direkten Überwachung durch europäische Aufsichtsbehörden (z. B. ESMA, EBA, EIOPA).

IKT-Dienstleister, die Teil der Lieferkette eines Finanzdienstleister sind, der unter DORA fällt, selbst aber nicht als kritisch eingestuft wurden, müssen indirekt DORA-Anforderungen erfüllen.

Nicht-finanzielle Unternehmen

•  B. Industrieunternehmen, Handelsunternehmen oder Start-ups ohne Finanzlizenz
• Ausnahme: Wenn sie als IKT-Drittanbieter für Finanzunternehmen tätig sind

Kleine Unternehmen außerhalb des Finanzsektors

•  B. lokale IT-Agenturen ohne relevante Finanzkunden
• Sie fallen nur dann unter DORA, wenn sie kritische IKT-Dienstleistungen für Finanzinstitute bereitstellen

IKT-Dienstleister, die nur unwesentliche Leistungen erbringen

•  B. Anbieter von E-Mail-Marketing, Webdesign, Bürosoftware
• Solange sie nicht geschäftskritisch für ein Finanzunternehmen sind, sind sie nicht betroffen

Nicht-EU-Unternehmen ohne Tätigkeiten in der EU

DORA gilt nur für Unternehmen, die in der EU Finanzdienstleistungen erbringen oder dort registriert sind. Eine vollständige Übersicht zu den Ausnahmen und Sonderregelungen findest du direkt in der DORA-Verordnung. Die BaFin stellt dazu hier eine FAQ-Seite mit weiteren Erläuterungen zur Verfügung.

In Deutschland hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die bisherigen nationalen IT-Vorgaben (z. B. BAIT, VAIT, KAIT, ZAIT) zugunsten von DORA schrittweise aufgehoben.

Mit Ablauf des 16. Januar 2025 gelten die Bankaufsichtlichen Anforderungen an die IT (BAIT) nicht mehr für Institute, die ab dem 17. Januar 2025 ein IKT-Risikomanagement nach Artikel 5 bis 15 oder Artikel 16 DORA umsetzen müssen. Diese Institute sind ab diesem Zeitpunkt aus dem Anwendungsbereich der BAIT ausgenommen.

Für Institute, die bislang der BAIT unterlagen und (noch) nicht zur Umsetzung eines IKT-Risikomanagements nach DORA verpflichtet sind sowie für Institute, die erst durch das Finanzmarktdigitalisierungsgesetz (FinmadiG) in den Anwendungsbereich fallen, gilt eine verlängerte Übergangsfrist bis zum 1. Januar 2027.

Mit Ablauf des 31. Dezember 2026 werden die BAIT vollständig aufgehoben. Hintergrund ist die Neufassung von § 1a Absatz 2 Kreditwesengesetz (KWG) durch das FinmadiG, wonach ab dem 1. Januar 2027 weitere Institute der DORA-Regulierung unterliegen.

IKT-Risikomanagement: Aufbau eines ganzheitlichen Rahmenwerks zur Identifikation, Bewertung und Steuerung von IT-Risiken – inklusive Schwachstellenanalysen, Notfallplänen, Monitoring und Zugriffsschutz.
Vorfallmanagement & Meldepflichten: Schwere IKT-Vorfälle müssen innerhalb definierter Fristen an die Aufsichtsbehörden gemeldet werden (u. a. Frühwarnung, Zwischen- und Abschlussbericht).
Tests digitaler Betriebsresilienz (z. B. TLPT): Regelmäßige Penetrationstests unter realitätsnahen Bedingungen prüfen, ob Systeme und Prozesse Angriffen standhalten – insbesondere bei systemrelevanten Unternehmen.
IKT-Drittanbieterrisiko: Unternehmen müssen Risiken aus der Zusammenarbeit mit IT-Dienstleistern systematisch steuern – vom Vertragsabschluss über Sicherheitsvorgaben bis zur Exit-Strategie. Alle Dienstleistungsbeziehungen sind in einem Informationsregister zu erfassen und unter bestimmten Voraussetzungen der Aufsicht zu melden.
Informationsaustausch zu Bedrohungen: DORA fördert den freiwilligen und strukturierten Austausch von Informationen über Cyberbedrohungen, Vorfälle und Gegenmaßnahmen zwischen regulierten Unternehmen. Ziel ist ein stärkeres gemeinsames Lagebild und eine bessere kollektive Resilienz im Finanzsektor.

Ausführliche Informationen dazu findest du in unserem Glossar-Artikel zu DORA-Anforderungen.

Zentrale Herausforderungen:

• IKT-Risikomanagement professionalisieren: Viele Unternehmen müssen erstmals ein umfassendes, dokumentiertes Rahmenwerk etablieren – inklusive Monitoring, Zugriffsschutz, Backups, Schwachstellenanalysen und Notfallplänen.
• Neue Meldeprozesse etablieren: Die Pflicht zur Dreifachmeldung von IKT-Vorfällen (Frühwarnung, Zwischen- und Abschlussbericht) erfordert klare Abläufe, Tools und Zuständigkeiten – oft unter hohem Zeitdruck.
• Lieferketten überwachen: DORA weitet die Verantwortung der Unternehmen auf ihre IKT-Dienstleister aus. Das bedeutet: Verträge müssen angepasst, Risiken laufend bewertet und Exit-Strategien vorbereitet werden.
• Technische Resilienz nachweisen: Durch Penetrationstests und TLPT (Threat-Led Penetration Testing) sind Unternehmen gezwungen, ihre Abwehrmechanismen regelmäßig unter realen Bedingungen zu testen – auch das ist ressourcenintensiv.
• Aufsichtskonforme Dokumentation & Prozesse: Alles – von Sicherheitsmaßnahmen über Meldewesen bis zu Dienstleisterverträgen – muss prüfbar dokumentiert und auf Anfrage aufsichtskonform vorgelegt werden.

Höhere IT-Sicherheit: Durch strukturierte Anforderungen an Risikoanalyse, Schutzmaßnahmen und Notfallpläne wird die technologische Resilienz deutlich verbessert.

Geringeres Ausfallrisiko: Unternehmen werden durch DORA verpflichtet, Schwachstellen frühzeitig zu erkennen und kritische Systeme abzusichern – das senkt das Risiko teurer IT-Ausfälle.

Einheitliche Standards in der EU: DORA ersetzt viele nationale Einzellösungen und schafft einen klaren, einheitlichen Rahmen – besonders hilfreich für grenzüberschreitend tätige Unternehmen.

Vertrauensgewinn bei Kund:innen & Partnerunternehmen: Ein robustes IKT-Risikomanagement stärkt das Vertrauen von Kund:innen, Geschäftspartner:innen und Investor:innen – besonders im B2B-Umfeld.

Frühwarnsystem durch Meldepflichten: Die Pflicht zur Meldung schwerwiegender IT-Störungen ermöglicht schnellere Reaktionen, auch von Behörden – ein Vorteil im Krisenfall.

Bessere Kontrolle über Drittanbieter: Durch die Anforderungen an IKT-Dienstleister erhalten Unternehmen mehr Transparenz und Sicherheit bei ausgelagerten Prozessen.

Schritt 1: DORA-Betroffenheit prüfen:
Klären, ob das eigene Unternehmen (oder verbundene IKT-Dienstleister) unter die DORA Verordnung fällt – ggf. mit juristischer oder regulatorischer Beratung.

Schritt 2: IKT-Risikomanagement aufbauen oder aktualisieren:
Ein umfassendes, dokumentiertes Rahmenwerk für IT-Risiken entwickeln, das präventive, überwachende und reaktive Maßnahmen enthält – inklusive Verantwortlichkeiten auf Managementebene.

Schritt 3: Meldeprozesse definieren:
Einen strukturierten Meldeprozess für schwerwiegende IKT-Vorfälle aufsetzen – mit Frühwarnung, Zwischen- und Abschlussbericht. Zuständigkeiten und Fristen müssen klar geregelt sein.

Schritt 4: Dienstleisterverträge überprüfen:
Bestehende IT-Dienstleistungsverträge auf DORA-relevante Inhalte prüfen (z. B. Unterstützungs- und Informationspflichten, Exit-Strategien) und ggf. anpassen.

Schritt 5: Informationsregister anlegen:
Alle IKT-Dienstleister-Beziehungen vollständig erfassen, insbesondere bei kritischen Funktionen – inklusive Subunternehmern. Die Daten müssen bis spätestens 28. April 2025 an die BaFin übermittelt werden.

Schritt 6: Sicherheits- und Belastungstests planen:
Regelmäßige Penetrationstests etablieren. Für systemrelevante Unternehmen: Vorbereitung auf TLPT (Threat-Led Penetration Testing) gemäß Aufsichtsanforderungen.

Schritt 7: Mitarbeitende sensibilisieren:
Awareness-Maßnahmen für IT-Risiken, Meldepflichten und neue Compliance-Vorgaben im Unternehmen durchführen.