Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor. Geltend seit 17. Januar 2025. Regelt IKT-Risikomanagement, Vorfallsmeldung, Resilienz-Tests, Drittparteienrisiko und Informationsaustausch für Finanzinstitute und kritische IKT-Drittdienstleister.
DORA ist eine regulatorische Schicht für Finanzinstitute und kritische IKT-Drittdienstleister. Die Compliance liegt bei den Rechts-, Compliance- und Risikomanagementberatern des Mandanten. Die kommerzielle Schicht trägt mehrere Berührungspunkte für IKT-Drittdienstleister, die Finanzkunden beliefern: technische Dokumentation für Kundenaufsichtsberichte, vertragliche Klauseln in IKT-Verträgen, Sicherheitsdokumentation für Auditzwecke, Vorfallsbenachrichtigungssysteme.
Für US-Cloud- und SaaS-Anbieter, die EU-Finanzinstitute beliefern, ist DORA-Compliance Teil der Markteintrittsarchitektur in den EU-Finanzsektor. Die Vertragsstruktur, die Sicherheits-Whitepaper und die Auditbereitschaft sind Teil der kommerziellen Schicht, die in Abstimmung mit den Compliance-Beratern des Mandanten gebaut wird.
Laut ESMA und der koordinierten Veröffentlichungen der drei Europäischen Aufsichtsbehörden (ESAs) ist DORA der erste umfassende horizontale Resilienzrahmen für den EU-Finanzsektor. Die Designation kritischer IKT-Drittdienstleister beginnt 2025 und 2026.
Die Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act, DORA). Sie gilt seit dem 17. Januar 2025. Sie regelt die digitale operationelle Resilienz von Finanzinstituten und kritischen IKT-Drittdienstleistern auf EU-Ebene.
Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, Wertpapierfirmen, zentrale Gegenparteien, Handelsplätze, Zentralverwahrer, Verwalter alternativer Investmentfonds, Versicherungs- und Rückversicherungsunternehmen, Kryptodienstleister, Pensionsfonds und weitere Finanzakteure. Zusätzlich kritische IKT-Drittdienstleister unter direkter Aufsicht.
IKT-Risikomanagement (Säule 1). Meldung von IKT-bezogenen Vorfällen (Säule 2). Tests der digitalen operationalen Resilienz, einschließlich bedrohungsorientierter Penetrationstests (Säule 3). Management des Drittparteienrisikos im IKT-Bereich (Säule 4). Informationsaustausch und Threat Intelligence Sharing (Säule 5).
Aufsichtsbehörden in den Mitgliedstaaten verhängen Strafen gemäß nationalem Recht. Für kritische IKT-Drittdienstleister direkt unter ESA-Aufsicht (EBA, EIOPA, ESMA) Strafen bis zu 1 Prozent des durchschnittlichen Tagesumsatzes pro Tag für maximal sechs Monate.
Indirekt. US-Cloud-Anbieter und SaaS-Anbieter, die EU-Finanzinstitute beliefern, fallen unter die DORA-Drittparteien-Anforderungen, die die Finanzinstitute selbst auferlegen müssen. Direkt unter ESA-Aufsicht fallen sie nur, wenn sie als 'kritischer IKT-Drittdienstleister' designiert werden. Diese Designation erfolgt durch ESAs anhand definierter Kriterien (Anhang zur Verordnung).
DORA ist lex specialis für den Finanzsektor und geht NIS2 für regulierte Finanzakteure vor. NIS2 bleibt anwendbar für nicht-finanzielle wesentliche und wichtige Einrichtungen. Für Finanzinstitute, die in NIS2-Bereiche eingreifen (etwa als Anbieter wesentlicher Dienste), kann eine Doppelqualifikation entstehen.
Dieser Glossareintrag ist eine sachliche Definition. Keine Rechtsberatung. Keine Steuerberatung. Keine regulatorische Beratung. Für verbindliche Auslegung von Anwendungsbereich, Schwellenwerten und Pflichten sind die zuständigen Aufsichtsbehörden und die eigenen Rechts- und Compliance-Berater des Mandanten verantwortlich. Global Marketing Agency unterstützt die kommerzielle Umsetzung innerhalb des regulatorischen Rahmens, der durch diese Berater gesetzt wird.
Auf dieser Seite zitierte Quellen: Verordnung (EU) 2022/2554 (Volltext), ESMA DORA-Übersicht, EBA DORA-Bereich, EIOPA DORA.