Kurzfassung
DORA (Digital Operational Resilience Act) ist eine EU-Verordnung, die seit Januar 2025 gilt und Finanzinstitute sowie ihre kritischen IKT-Dienstleister zu einheitlichen Standards für digitale Betriebsstabilität verpflichtet.
Was ist DORA?
DORA ist eine EU-Verordnung für den Finanzsektor und nicht zu verwechseln mit den DevOps DORA Metrics, die zur Messung der Software-Lieferleistung eingesetzt werden. Diese Verordnung richtet sich speziell an Banken, Versicherungen, Investmentfirmen, Zahlungsdienstleister und ihre IKT-Lieferanten, die in der Europäischen Union tätig sind.
Die Verordnung legt Anforderungen in fünf Säulen fest: IKT-Risikomanagement, Meldung IKT-bezogener Vorfälle, Testen der digitalen Betriebsstabilität, Management von IKT-Drittparteienrisiken sowie Informationsaustausch. Organisationen müssen nachweisen, dass ihre kritischen Systeme IKT-Störungen standhalten, darauf reagieren und sich davon erholen können.
Ein zentrales Element ist die Einstufung kritischer IKT-Drittanbieter (CTPPs), die von den Europäischen Aufsichtsbehörden direkt beaufsichtigt werden können. Cloud-Anbieter, Rechenzentren und Softwarehersteller, die Finanzinstitute beliefern, können damit direkt regulatorisch geprüft werden.
Warum ist DORA relevant?
- Finanzsektor-Fokus: Gilt speziell für Banken, Versicherungen und Fintech-Unternehmen in der EU
- Drittpartei-Verantwortung: Anforderungen gelten auch für IKT-Lieferanten und Cloud-Dienstleister
- Pflichtprüfungen: Unternehmen müssen bedrohungsgeleitete Penetrationstests (TLPT) an kritischen Systemen durchführen
- Meldepflichten: IKT-bezogene Vorfälle müssen innerhalb definierter Fristen an die Aufsichtsbehörden gemeldet werden
- Durchsetzung: Verstöße können zu erheblichen Bußgeldern und Aufsichtsmaßnahmen führen