/ Blog DE
Die neue DORA-Verordnung tritt in Kraft: Das müssen Unternehmen jetzt tun!

Die neue DORA-Verordnung tritt in Kraft: Das müssen Unternehmen jetzt tun!

Oktober 2025
Autor: Stefan Lutz

Die DORA-Verordnung hebt die digitale Resilienz im Finanzsektor auf ein einheitliches EU-Niveau. Seit 17. Januar 2025 müssen beaufsichtigte Finanzunternehmen und beteiligte IKT-Drittdienstleister klare Vorgaben zu Governance, IKT-Risikomanagement, Vorfallmanagement, Tests und Auslagerungen erfüllen.

Was ist der Digital Operational Resilience Act (DORA)?

DORA (Digital Operational Resilience Act) ist eine EU-Verordnung (EU) 2022/2554. Sie verpflichtet Finanzinstitute und relevante Dienstleister, digitale Widerstandsfähigkeit („resilience“) gegenüber Cyberangriffen und IKT-Vorfällen systematisch aufzubauen. Die Verordnung legt Anforderungen an Governance, IKT-Risikomanagement, Testverfahren sowie Regelungen zu Auslagerungen und ein harmonisiertes Meldewesen fest.

In Deutschland fungiert die BaFin als zentraler Melde-Hub für Informations- und Kommunikationstechnologie (IKT) Vorfälle. Zusätzliche Level-2-Rechtsakte (u. a. RTS) konkretisieren Detailanforderungen an Prozesse und Schwellenwerte.

Was regelt die DORA-Verordnung?

Die DORA-Verordnung schafft einheitliche, verbindliche Regeln für die Sicherheit von Netzwerk- und Informationssystemen in Finanzunternehmen.

Die Kernelemente sind: IKT-Risikomanagement (inkl. Backup und Recovery), Meldepflichten für schwerwiegende IKT-Vorfälle, digitale Resilienztests, Management von IKT-Drittdienstleistern samt Vertragsanforderungen sowie ein EU-weiter Aufsichtsrahmen für kritische IKT-Dienste.

Ab welchem Zeitpunkt tritt die DORA-Verordnung in Kraft?

Die Anwendung der DORA-Verordnung, das sogenannte Level 1, begann am 17. Januar 2025. Die europäischen Aufsichtsbehörden (EBA, EIOPA und ESMA) sowie die BaFin flankieren die Umsetzung mit Leitlinien, technischen Standards und nationalen Prozessen. Damit ist der regulatorische Rahmen gesetzt – für Unternehmen bedeutet dies jedoch erst den Beginn einer umfassenden Transformation.

Wie hängen DORA und NIS zusammen?

DORA ist sektorspezifisch (Finanzsektor) und als Verordnung unmittelbar geltend. NIS2 ist eine Richtlinie mit breiterem, sektorenübergreifendem Fokus auf Cyber Sicherheit. Sie wird national umgesetzt. Beide Rechtsakte greifen ineinander: DORA verweist auf Zusammenarbeit mit NIS-Strukturen, sie ergänzen sich inhaltlich.

Welche Organisationen betrifft die DORA-Verordnung

Die DORA-Verordnung gilt breit im Finanzsektor: u. a. für Kreditinstitute, Zahlungs- und E-Geld-Institute, Wertpapierfirmen, Handelsplätze, Zentralverwahrer, Zentrale Gegenparteien, (Rück-)Versicherer, Versicherungsvermittler, Einrichtungen der betrieblichen Altersversorgung, Datenbereitstellungsdienste sowie (je nach Tätigkeit) Krypto-Dienstleister – und für IKT-Drittdienstleister (einschließlich potenziell kritischer Anbieter).

In Deutschland werden durch das Finanzmarktdigitalisierungsgesetz FinmadiG weitere Institute ab 1. Januar 2027 einbezogen.

Roadmap: Das passiert nach dem Inkrafttreten

In den kommenden Monaten und Jahren werden weitere Konkretisierungen folgen, die für Finanzunternehmen verbindlich umzusetzen sind. Insbesondere gilt es, die sogenannten Level-2-Rechtsakte zu beachten:

Die europäischen Aufsichtsbehörden veröffentlichen hierzu fortlaufend Regulierungsstandards wie die Regulatory Technical Standards (RTS) und Implementing Technical Standards (ITS). Diese enthalten konkrete Vorgaben zum Risikomanagement, zu Meldepflichten oder zu Testszenarien.

In 2025 und 2026 liegt der Schwerpunkt auf der praktischen Umsetzung dieser Detailregelungen. Finanzunternehmen und IKT-Drittdienstleister müssen ihre internen Prozesse, Systeme und Verträge konsequent anpassen. Parallel dazu sind Testphasen und Audits vorgesehen, bei denen Aufsichtsbehörden die Einhaltung der Vorgaben überprüfen.

Ein weiterer wichtiger Meilenstein ist der 1. Januar 2027: Ab diesem Zeitpunkt wird der Anwendungsbereich durch das deutsche Finanzmarktdigitalisierungsgesetz (FinmadiG) erweitert, sodass zusätzliche Finanzinstitute und Organisationen unter die DORA-Verordnung fallen. Für die betroffenen Unternehmen ist es daher entscheidend, rechtzeitig Vorbereitungen zu treffen.

Ihre Roadmap sollte daher folgende Schritte berücksichtigen:

  • Sofortmaßnahmen: Gap-Analyse durchführen, die Governance-Strukturen anpassen und Verantwortlichkeiten klären.
  • Mittelfristig (2025–2026): Umsetzung der RTS/ITS in konkrete Policies, der Aufbau des Informationsregisters für Drittdienstleister sowie Testen der Resilienzmechanismen und Anpassung des
  • Langfristig (ab 2027): Erweiterung des Anwendungsbereichs berücksichtigen, zusätzliche Bereiche einbeziehen und kontinuierliche Prüfungen zur Einhaltung etablieren.

Sofort-Prioritäten für Ihr Unternehmen

Ein zentraler erster Schritt zur Umsetzung der DORA-Verordnung ist die DORA-Gap-Analyse mit anschließender Roadmap. Dabei werden Ihre bestehenden Standards – etwa BAIT, KAIT oder ZAIT systematisch mit den Vorgaben der Verordnung abgeglichen. Aus den identifizierten Lücken entsteht ein Maßnahmenplan, der Verantwortlichkeiten klar zuordnet und die Grundlage für eine strukturierte Umsetzung bildet.

1. Die Governance schärfen

Unternehmen müssen sicherstellen, dass die Zuständigkeiten für IKT-Risiken eindeutig festgelegt sind. Dazu gehört auch die Definition von Resilienz-Kennzahlen, mit denen die Widerstandsfähigkeit messbar gemacht wird.

Gleichzeitig sollten transparente Berichtswege etabliert werden, damit relevante Informationen über Risiken, Vorfälle und Maßnahmen jederzeit bis auf Vorstandsebene gelangen und dort entschieden werden können.

2. Das Risikomanagement vereinheitlichen

Ein zentrales Ziel ist es, das Risikomanagement im Unternehmen ganzheitlich zu gestalten. Das bedeutet: IT-Sicherheit und Business Continuity Management (BCM) dürfen nicht länger getrennt nebeneinanderstehen, sondern müssen als ein integriertes System verstanden und betrieben werden.

Alle Risiken, ob technischer Natur (z. B. Cyberbedrohungen, Systemausfälle) oder geschäftsrelevant (z. B. Prozessunterbrechungen, Abhängigkeiten von Dienstleistern), werden einheitlich bewertet und in gemeinsamen Prozessen gesteuert. So wird sichergestellt, dass Notfallpläne, Sicherheitsvorkehrungen und Wiederanlaufstrategien nicht isoliert entwickelt, sondern aufeinander abgestimmt sind.

3. Vorfälle melden

Prozesse für Erkennung, Klassifizierung, Eskalation und Einhaltung der Meldefristen etablieren (inkl. Kommunikationstechnologie-Krisenabläufen). Unternehmen sind verpflichtet, ein effektives Vorfallmanagement aufzubauen.

Besonders wichtig ist die Einhaltung der Meldefristen gegenüber den Aufsichtsbehörden. Auch Abläufe für Krisenkommunikation, insbesondere über digitale Kanäle, müssen vorab geplant und regelmäßig getestet werden, um im Ernstfall schnell und strukturiert reagieren zu können.

4. Drittdienstleister & Informationsregister

Müssen ihre Verträge konsequent an DORA anpassen, etwa durch klare Audit- und Zugriffsrechte sowie durch definierte Exit-Szenarien. Ergänzend verlangt die Verordnung ein vollständiges Informationsregister, das sämtliche ausgelagerte Funktionen, inklusive ihrer Kritikalität, dokumentiert. So behalten Unternehmen jederzeit den Überblick über Abhängigkeiten und Risiken in der Zusammenarbeit mit externen Partnern.

5. Resilienz testen & Maßnahmen ableiten

Dazu gehören interne Kontrollen, technische Überprüfungen und – bei besonders kritischen Einheiten – auch Threat-Led Penetration Tests (TLPT). Die Ergebnisse dieser Tests dienen nicht zum Selbstzweck, sondern müssen konsequent in konkrete Maßnahmen überführt werden, um die Resilienz dauerhaft zu verbessern.

6. Dokumentation & Nachweise erstellen

Schließlich verlangt die DORA-Verordnung ein konsequentes Testen der digitalen Resilienz. Diese Tests sollten für die relevanten Einheiten frühzeitig geplant und in den Jahreskalender aufgenommen werden, um die Widerstandsfähigkeit gegen Cyberangriffe und dadurch die Cybersicherheit nachhaltig zu stärken.

Dies beinhaltet eine Umfassende Dokumentation aller relevanten Prozesse, Maßnahmen und Ergebnisse. Unterlagen müssen jederzeit vor den Aufsichtsbehörden vorgelegt werden können. Parallel dazu sollten interne Richtlinien kontinuierlich aktualisiert werden, um geänderte regulatorische Vorgaben, neue Risiken und technische Entwicklungen zu berücksichtigen.

Welche Sanktionen kann ein Verstoß mit sich ziehen?

DORA ist mehr als nur ein Rahmenwerk mit Empfehlungen: Sie enthält verbindliche Pflichten, deren Nichteinhaltung erhebliche Konsequenzen haben kann. Finanzunternehmen als auch IKT-Drittdienstleister müssen daher mit spürbaren Sanktionen rechnen, wenn sie gegen die Vorgaben verstoßen.

Für Finanzunternehmen gilt: Die Mitgliedstaaten legen angemessene verwaltungsrechtliche Sanktionen und Abhilfemaßnahmen fest. Aufseher können u. a. Anordnungen treffen und Verstöße veröffentlichen. Die genauen Bußen sind national geregelt und müssen wirksam, verhältnismäßig und abschreckend sein.

Für kritische IKT-Drittdienstleister gilt: Der EU-leitende Aufsichtsbeamte kann periodische Zwangsgelder bis zu 1% des durchschnittlichen weltweiten Tagesumsatzes (je Tag, max. 6 Monate) verhängen und bei gravierenden Risiken Leistungsbeschränkungen anordnen.

DORA-Praxisbeispiel: Cyberangriff auf Online-Banking

Der Digital Operational Resilience Act (DORA) verpflichtet Finanzunternehmen, ihre digitalen Systeme gegen Ausfälle, Angriffe und Datenmissbrauch abzusichern. CIAM (Customer Identity & Access Management) unterstützt diese Anforderungen technisch, indem es sichere und nachvollziehbare Kundenzugänge bereitstellt. Funktionen wie Multi-Faktor-Authentifizierung, Risk-based Authentication, Consent-Management und Audit-Trails tragen direkt zur Cyberresilienz, Zugriffssicherheit und Compliance bei.

Kurz gesagt: CIAM ist kein DORA-Ziel an sich, aber ein zentrales technisches Werkzeug, um die in DORA geforderte Sicherheit und Stabilität digitaler Kundenservices umzusetzen.

Die Ausgangslage

Stellen wir uns vor, ein Finanzunternehmen wird Opfer eines Ransomware-Angriffs. Das Online-Banking-System fällt vollständig aus und Kundendaten und Zugänge sind potenziell gefährdet.

Reaktion nach DORA-Verordnung

Das Risikomanagement analysiert:

  • den technischen Schaden von betroffenen Systemen
  • die Wiederherstellungszeiten
  • sowie Sicherheitslücken.

Das Business Continuity Management (BCM) prüft die geschäftlichen Folgen:

  • Kundenkommunikation
  • alternative Kanäle
  • und regulatorische Meldepflichten.

Begleitend dazu greifen die Notfallpläne. Diese enthalten eine technische und organisatorische Vorgehensweise, um den Betrieb und die Compliance sicherzustellen.

Der Vorteil eines (C)IAM

  • Multi-Faktor-Authentifizierung und Betrugserkennung erschweren unbefugte Zugriffe.
  • Bot-Net-Detection blockiert automatisierte Angriffe.
  • Zentrale Identitäts- und Zugriffsverwaltung ermöglicht schnelle Klassifizierung kompromittierter Konten und sichere Wiederherstellung der Nutzerzugänge.
  • Kontinuierliches Reporting und Auditing ermöglicht die lückenlose Nachvollziehbarkeit von Zugriffberechtigungen, erkennt Anomalien und unterstützt die Widerherstellungsprozesse

Nutzen im DORA-Kontext

Mit dem cidaas (C) IAM wird die digitale Widerstandsfähigkeit gestärkt:

  • Schutz vor Angriffen durch moderne Identity- und Access-Lösungen.
  • Stabile und sichere Kundenkanäle auch im Krisenfall.
  • Erfüllung der Compliance-Anforderungen der DORA-Verordnung durch integrierte Sicherheits- und Meldeprozesse.

DORA-Verordnung und cidaas – Identity, Resilienz und Compliance vereint

Im Rahmen der DORA-Verordnung wird digitale Resilienz im Finanzsektor ganzheitlich adressiert. Maßnahmen zur Authentifizierung, Zugriffskontrolle und Identitätsverwaltung gewinnen dadurch an strategischer Bedeutung.

(C)IAM-Plattform wie cidaas kann hier eine Schlüsselrolle einnehmen: Sie ermöglicht eine sichere, standardbasierte Verwaltung digitaler Identitäten über alle Kanäle hinweg und stärkt damit das Risikomanagement und die Ausfallsicherheit im Unternehmen.

cidaas setzt auf etablierte Standards wie OAuth 2.0 und OpenID Connect, kombiniert mit Multifaktor-Authentifizierung, Betrugserkennung und Bot-Net-Detection, um unbefugte Zugriffe frühzeitig zu erkennen und zu blockieren.

Insbesondere für Finanzunternehmen, die neben der DORA-Verordnung zusätzlich Anforderungen aus PSD2, NIS2 oder anderen regulatorischen Vorgaben erfüllen müssen, bietet cidaas Vorteile: Es unterstützt sowohl Compliance als auch ein positives Kundenerlebnis, ohne in Konflikt mit Vorgaben zur Sicherheit und Datenintegrität zu geraten.

Darüber hinaus kann cidaas dazu beitragen, Drittdienstleister-Schnittstellen resilient zu sichern – eine bedeutende Komponente von DORA im Umgang mit ausgelagerten IKT-Funktionen. Mit einer zentralen Identitätsplattform lässt sich transparenter kontrollieren, welche Nutzer, Systeme oder Partner auf kritische Ressourcen zugreifen dürfen. Vorfälle lassen sich dadurch effizienter klassifizieren und melden.

cidaas stärkt die digitale Widerstandsfähigkeit Ihres Unternehmens, indem es technische Vorgaben moderner Authentifizierung umsetzt und zugleich die Einhaltung der DORA-Verordnung unterstützt – ein Synergieeffekt aus Resilienz, Regulierung und operativer Sicherheit.

Haben Sie Fragen zu cidaas oder Ihren Möglichkeiten als Unternehmen in der Finanzbranche? Treten Sie gerne mit uns in Kontakt!