Kittiphat/stock.adobe.com
Stand:geändert am 28.08.2025 DORA - Digital Operational Resilience Act
Inhalt
Mit DORA (Level 1), der Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act), hat die Europäische Union eine finanzsektorweite Regulierung für die Themen Cybersicherheit, IKT-Risiken und digitale operationale Resilienz geschaffen. Diese Verordnung trägt wesentlich dazu bei, den europäischen Finanzmarkt gegenüber Cyberrisiken und Vorfällen der Informations- und Kommunikationstechnologie (IKT) zu stärken.
Aktualisierungsübersicht
| Datum | Aktualisierung |
|---|---|
| 21.08.2025 | Veröffentlichung der Aufsichtsmitteilung „Hinweise zur Umsetzung von DORA mit vereinfachten IKT-Risikomanagementrahmen und IKT‑Drittparteienrisikomanagement“ und der Dokumentationsanforderungen vereinfachter IKT-Risikomanagementrahmen |
| 12.08.2025 | Veröffentlichung der Übersicht zu den DORA-Dokumentationsanforderungen in englischer Sprache |
| 01.08.2025 | Ergänzung von Informationen zum vereinfachten IKT-Risikomanagementrahmen (Art. 16 DORA): IKT-Risikomanagement |
| 03.06.2025 | Aktualisierung der Tabelle zu den Mindestvertragsinhalten aufgrund der Annahme des geänderten RTS zur Unterauftragsvergabe sowie Hinweisen zu Finanzunternehmen nach Art. 16 DORA und Kleinstunternehmen. |
| 13.05.2025 | Aktualisierung der FAQ zur Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle |
| 07.05.2025 | BaFin erklärt die Gemeinsamen Leitlinien für die Schätzung der von schwerwiegenden IKT-bezogenen Vorfällen verursachten aggregierten jährlichen Kosten und Verluste für anwendbar. |
| 05.05.2025 | Aktualisierung der FAQ zur Meldung der Beteiligung sowie der Beendigung der Beteiligung an Vereinbarungen zum freiwilligen Cyber-Informationsaustausch |
| 28.03.2025 | Aktualisierung der Fristen und Formate zur Einreichung der Informationsregister: Informationsregister und Anzeigepflichten |
Eine für alle(s)
So gut wie alle beaufsichtigten Finanzunternehmen des europäischen Finanzsektors fallen unter DORA. Diese Verordnung führt verschiedene Anforderungen hinsichtlich Cybersicherheit, des Umgangs mit IKT-Risiken sowie der digitalen operationalen Resilienz zusammen.
Die BaFin und die Deutsche Bundesbank haben die Umsetzung von DORA begleitet, insbesondere durch Anpassung der Aufsichts- und Verwaltungspraxis und durch Implementierung von eigenen IT-Prozessen und -Systemen im Rahmen von DORA. So ist jetzt beispielsweise die BaFin in Deutschland der nationale Melde-Hub für IKT-Vorfälle im Finanzsektor. Außerdem nimmt die BaFin verpflichtende Anzeigen im Rahmen des IKT-Drittparteienrisikomanagements entgegen und analysiert sie mit Blick auf potenzielle Risiken für den Finanzsektor.
Die BaFin unterstützt beaufsichtigte Finanzunternehmen bei der Umsetzung von DORA – beispielsweise mit Veranstaltungen, Gesprächen mit Expertinnen und Experten und dieser Informationsseite. Hier sind die wichtigsten Informationen zu DORA und deren Umsetzung zusammengestellt. Die Website wird laufend aktualisiert.
Veranstaltungshinweis:IT-Aufsicht im Finanzsektor - das erste Jahr DORA
Am 04. Dezember 2025 findet die BaFin-Veranstaltung " IT-Aufsicht im Finanzsektor - das erste Jahr DORA " als digitale Konferenz statt.
Nähere Informationen finden Sie hier.
Regelungsinhalt
DORA soll die digitale operationale Resilienz des gesamten europäischen Finanzsektors in diesen sechs wesentlichen Bereichen stärken:
- IKT-Risikomanagement (Kapitel II, Artikel 5 bis 16)
- Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle (Kapitel III, Artikel 17 bis 23)
- Testen der digitalen operationalen Resilienz einschließlich Threat-led Penetration Testing (TLPT) (Kapitel IV, Artikel 24 bis 27)
- Management des IKT-Drittparteienrisikos, einschließlich Informationsregister und Anzeigepflichten (Kapitel V, Abschnitt I, Artikel 28 bis 30)
- Überwachungsrahmen für kritische IKT-Drittdienstleister (Kapitel V, Abschnitt II, Artikel 31 bis 44)
- Vereinbarungen über den Austausch von Informationen sowie Cyberkrisen- und Notfallübungen (Kapitel VI, Artikel 44 und Kapitel VII, Artikel 49)
Weitere Einzelheiten zu den sechs wesentlichen Bereichen von DORA finden Sie auf den oben verlinkten thematischen Unterseiten. Hinweise zur technischen Umsetzung von regulatorischen Anforderungen über die Melde- und Veröffentlichungsplattform der BaFin finden Sie auf der Unterseite MVP Fachverfahren „Digital Operational Resilience Act (DORA)“.
DORA findet seit dem 17. Januar 2025 Anwendung.
Die drei Europäischen Aufsichtsbehörden – die EU-Wertpapieraufsichtsbehörde (European Securities and Markets Authority – ESMA), die EU-Bankenaufsichtsbehörde (European Banking Authority – EBA) und die EU-Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (European Insurance and Occupational Pensions Authority – EIOPA), haben gemeinsam dazu technische Regulierungsstandards, Implementierungsstandards und Leitlinien erarbeitet, um die Anwendung von DORA in allen Sektoren weiter zu konkretisieren, vgl. die Tabelle DORA - Level 2 und 3 unten.
Neben DORA wurde zeitgleich eine DORA-Änderungsrichtlinie mit dem Ziel veröffentlicht, sektorale europäische Richtlinien konsistent mit den Anforderungen von DORA zu halten. So wurden beispielsweise TLPT unter DORA in den SREP-Prozess der Eigenkapitalrichtlinie (Capital Requirements Directive – CRD) aufgenommen. Die DORA-Änderungsrichtlinie ändert die europäischen Richtlinien 2009/65/EG (OGAW-Richtlinie), 2009/138/EG (Solvency II Richtlinie), 2011/61/EU (AIFM-Richtlinie), 2013/36/EU (Eigenkapitalrichtlinie; CRD), 2014/59/EU (Abwicklungsrichtlinie), 2014/65/EU (MiFID II), (EU) 2015/2366 (PSD II) und (EU) 2016/2341 (EbAV-II-Richtlinie).
Zum Hintergrund
Das Europäische Parlament und der Europäische Rat haben am 14. Dezember 2022 DORA, die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act), beschlossen. Die Verordnung wurde am 27. Dezember 2022 im Amtsblatt der europäischen Union veröffentlicht und wird seit dem 17. Januar 2025 angewendet.
Die Europäische Kommission hatte den Legislativvorschlag zu DORA am 24. September 2020 als Teil des Pakets zur Digitalisierung des Finanzsektors vorgelegt. Dieses Paket umfasst auch einen Rechtsakt über Märkte für Kryptowerte (Markets in Crypto-Assets Regulation – MiCAR, Verordnung (EU) 2023/1114), einen Vorschlag über eine Pilotregelung für auf Distributed-Ledger-Technologie (DLT) basierende Marktinfrastrukturen sowie eine Strategie für ein digitales Finanzwesen.
Übrigens: Der deutsche Finanzsektor und die Aufsicht waren schon gut auf DORA vorbereitet, denn einzelne Instrumente, die die BaFin in der Vergangenheit bereits geschaffen hat, um die IKT-Sicherheit des deutschen Finanzsektors zu erhöhen, finden sich in DORA wieder: harmonisierte Anforderungen an das IKT-Risikomanagement für die einzelnen Finanzsektoren (BAIT, ZAIT, VAIT, KAIT), vereinheitlichte Auslagerungsanzeigen, Überwachungsrahmen für IT-Mehrmandantendienstleister und vereinheitlichte Strukturen für das Meldewesen von IKT-bezogenen Vorfällen.
Umsetzung in Deutschland
Das Gesetz über die Digitalisierung des Finanzmarktes (Finanzmarktdigitalisierungsgesetz – FinmadiG) wurde am 27. Dezember 2024 im Bundesgesetzblatt veröffentlicht und ist noch 2024 in Kraft getreten. Dieses Gesetz dient der zusammengefassten Durchführung bzw. Umsetzung der Europäische Verordnung MiCAR, der Neufassung der EU-Geldtransferverordnung (Transfer of Funds Regulation, Verordnung (EU) 2023/1113) sowie des europäischen DORA-Pakets (Digital Operational Resilience Act, Verordnung (EU) 2022/2554 und Richtlinie (EU) 2022/2556).
Weitere Informationen zur technischen Umsetzung von DORA bei der BaFin finden Sie hier.
Delegierte Rechtsakte, Regulierungs- und Durchführungsstandards zu DORA sowie gemeinsame Leitlinien (Level 2 und 3)
DORA als europäische Verordnung ist entsprechend dem im Finanzsektor üblichen Lamfalussy-Verfahren der Basisrechtsakt (Level 1). DORA legt grundlegende Anforderungen fest und enthält Ermächtigungen für Konkretisierungen durch delegierte Rechtsakte, technische Regulierungsstandards (Regulatory Technical Standard, RTS) und technische Durchführungsstandards (Implementing Technical Standard, ITS) (Level 2) sowie gemeinsame Leitlinien (Joint Guidelines) der drei ESAs (EBA, EIOPA und ESMA) (Level 3).
Zu DORA gibt es die folgenden Level 2/3-Texte:
| Kurztitel | Link | |
|---|---|---|
| IKT-Risikomanagement | ||
| RTS (regulärer und vereinfachter) IKT-Risikomanagementrahmen (Art. 15, 16 Abs. 3 DORA) | Delegierte Verordnung (EU) 2024/1774 | |
| Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle | ||
| RTS Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen (Art. 18 Abs. 3 DORA) | Delegierte Verordnung (EU) 2024/1772 | |
| RTS Inhalt und Fristen für Meldungen von schwerwiegenden IKT-bezogenen Vorfällen (Art. 20 lit. a DORA) | Delegierte Verordnung (EU) 2025/301 | |
| ITS Standardformulare, Vorlagen und Verfahren für Meldungen von schwerwiegenden IKT-bezogenen Vorfällen (Art. 20 lit. b DORA) | Durchführungsverordnung (EU) 2025/302 | |
| Gemeinsame Leitlinien Schätzung Kosten/Verluste von schwerwiegenden IKT-bezogenen Vorfällen (Art. 11 Abs. 11 DORA) | JC 2024 34 | |
| Testen der digitalen operationalen Resilienz einschließlich Threat-led Penetration Testing (TLPT) | ||
| RTS zu Threat-Led Penetration Testing (TLPT) (Art. 26 Abs. 11 DORA) | Delegierte Verordnung (EU) 2025/1190 | |
| Management des IKT-Drittparteienrisikos | ||
| RTS Leitlinie zur Nutzung von IKT-Dienstleistungen (Art. 28 Abs. 10 DORA) | Delegierte Verordnung (EU) 2024/1773 | |
| RTS Untervergabe von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen (Art. 30 Abs. 5 DORA) | Delegierte Verordnung (EU) 2025/532 | |
| Informationsregister und Anzeigepflichten | ||
| ITS zur Erstellung einer Standardvorlage für das Informationsregister (Art. 28 Abs.9 DORA) | Durchführungsverordnung (EU) 2024/2956 | |
| Überwachungsrahmen für kritische IKT-Drittdienstleister | ||
| Delegierter Rechtsakt Kriterien Einstufung IKT-DDL für als für FU kritisch (Art. 31 Abs. 6 i.V.m. Art. 57 DORA) | Delegierte Verordnung (EU) 2024/1502 | |
| RTS Harmonisierung Voraussetzungen der Durchführung der Überwachungstätigkeiten (Art. 41 DORA) | Delegierte Verordnung (EU) 2025/295 | |
| RTS zu der Zusammensetzung der JETs (Art. 41 DORA) | Delegierte Verordnung (EU) 2025/420 | |
| Delegierter Rechtsakt Höhe der zu erhebenden Überwachungsgebühren (Art. 43 Abs. 2 i.V.m. Art. 57 DORA) | Delegierte Verordnung (EU) 2024/1505 | |
| Gemeinsame Leitlinien Zusammenarbeit zwischen den ESA und zuständigen Behörden (Art. 32 Abs. 7 DORA) | JC/GL/2024/36 | |
Außerdem wurde ein Bericht zur Zentralisierung des Meldewesens veröffentlicht.
Auf den thematischen Unterseiten dieser Informationsseite finden Sie teilweise weitergehende Informationen zu den einzelnen Rechtstexten.
DORA: Veröffentlichungen der BaFin
- BaFin Hinweise geben Mehrwert (21.08.2025)
- Aufsichtsmitteilung „Hinweise zur Umsetzung von DORA mit vereinfachten IKT-Risikomanagementrahmen und IKT‑Drittparteienrisikomanagement“ (21.08.2025)
- Dokumentationsanforderungen vereinfachter IKT‑Risikomanagementrahmen (21.08.2025)
- Vorbereitung auf DORA: "Zacken zugelegt" (17.01.2025)
- Nicht jede Konzentration ist ein Risiko (07.01.2025)
- Dokumentationsanforderungen regulärer IKT-Risikomanagementrahmen (17.12.2024)
- Übersicht der BaFin schafft „Mehrwert für alle Beteiligten (17.12.2024)
- Simulierte Angriffe im Dienst der Sicherheit (07.11.2024)
- Aufsichtsmitteilung „Hinweise zur Umsetzung von DORA im IKT-Risikomanagement und IKT-Drittparteienrisikomanagement“ inkl. Übersicht Mindestvertragsbestandteile (08.07.2024)
- „Von Altbewährtem lösen“ (08.07.2024)
- Transparenz dank Meldepflicht (18.06.2024)
- „Machen Sie sich jetzt startklar für DORA“ (08.05.2024)
- Auslagerungen im Finanzsektor: Mehr Transparenz schafft Sicherheit (11.04.2024)
- DORA: Der Countdown läuft (27.02.2024)
- „Doch, die BaFin erlaubt das!“ (22.02.2024)
- DORA bietet große Chancen (05.12.2023)
- „Der regulatorische Druck kann die Digitalisierung der Finanzindustrie vorantreiben“ (25.07.2023)
- Grenzüberschreitende Probleme? Grenzüberschreitende Lösungen – durch DORA (22.09.2022)
- MiCA und DORA: BaFin zu Fortschritten bei den Trilogverhandlungen (20.07.2022)
DORA: Was müssen Sie wissen?
Sollten Sie Fragen rund um das Thema DORA haben, wenden Sie sich bitte an unser zentrales Funktionspostfach:
Kontakt:Fragen rund um DORA
E-Mail: DORA@bafin.de
Auslegungsfragen zur europäischen Verordnung DORA und den delegierten Verordnungen und Durchführungsverordnungen können bei den europäischen Aufsichtsbehörden (EBA, EIOPA und ESMA) über die bestehenden Prozesse zu Questions & Answers (Q&A) eingereicht werden.
Die Antworten können entweder auf den einzelnen Seiten der ESAs eingesehen werden (EIOPA Search QAs - European Union (europa.eu), EBA Search for Q&As | European Banking Authority (europa.eu), ESMA Search a question | European Securities and Markets Authority (europa.eu)) oder in dem Dashboard für Joint-Q&As (hier: joint Q&As (europa.eu)).
Außerdem vermittelt der folgende Fragenkatalog zu DORA, ohne Anspruch auf Vollständigkeit, einen ersten Überblick über die wichtigsten Fragestellungen zu DORA und deren Umsetzung. Themenspezifische Fragen finden Sie auf den jeweiligen Unterseiten.
