Seit dem 17. Januar 2025 gilt der Digital Operational Resilience Act (DORA) — die EU-Verordnung, die den IKT-Risikorahmen für den gesamten Finanzsektor vereinheitlicht. DORA ist unmittelbar anwendbares EU-Recht — keine nationale Umsetzung erforderlich, keine Übergangsfrist mehr.

Wer ist von DORA betroffen?

DORA gilt für ein breites Spektrum von Finanzunternehmen — über 20 Kategorien, darunter:

  • Kreditinstitute (Banken)
  • Wertpapierfirmen und Handelsplätze
  • Versicherungsunternehmen und Rückversicherer
  • OGAW- und AIF-Verwaltungsgesellschaften
  • Zahlungsinstitute und E-Geld-Institute
  • Zentrale Gegenparteien (CCPs) und Zentralverwahrer
  • Ratingagenturen und Datenmeldedienstleister
  • Kritische IKT-Drittdienstleister (CTPP — von Aufsichtsbehörden benannt)

In Österreich ist die FMA (Finanzmarktaufsicht) die primäre Aufsichtsbehörde für DORA. Für systemrelevante Institute ist die EZB/SSM zuständig.

Vereinfachungen für kleine Finanzunternehmen: DORA enthält für kleine Institute (unter 10 Mitarbeiter, Bilanzsumme unter 2 Mio. €) Verhältnismäßigkeitsregelungen — insbesondere bei IKT-Drittparteienmanagement und TLPT. Aber das Grundgerüst des IKT-Risikomanagements gilt für alle.

Die 5 Säulen von DORA

1. IKT-Risikomanagement (Kapitel II)

Finanzunternehmen müssen einen umfassenden IKT-Risikomanagementrahmen einrichten — mit Schutzmaßnahmen, Erkennung, Reaktion und Wiederherstellung. Die Geschäftsleitung trägt die Verantwortung und muss den Rahmen formell genehmigen. Mindestanforderungen umfassen: Asset-Inventar, Business Impact Analysis, IKT-Kontinuitätspläne, Backup- und Recovery-Prozesse.

2. Behandlung, Klassifizierung und Meldung von IKT-Vorfällen (Kapitel III)

Erhebliche IKT-Vorfälle müssen klassifiziert und an die Aufsichtsbehörde gemeldet werden:

  • Erstmeldung — innerhalb von 4 Stunden nach Klassifizierung als erheblich, spätestens 24 Stunden nach Bekanntwerden
  • Zwischenbericht — innerhalb von 72 Stunden
  • Abschlussbericht — innerhalb von 1 Monat

Die Klassifizierungskriterien (Schwellenwerte für Betroffene, Ausfallzeit, Datenverlust etc.) sind in den RTS der ESAs festgelegt.

3. Testen der digitalen operationalen Resilienz (Kapitel IV)

DORA schreibt ein gestuftes Testprogramm vor:

  • Grundlegende Tests (jährlich für alle): Vulnerability Assessments, Netzwerksicherheitstests, Gap-Analysen, Penetrationstests
  • Threat-Led Penetration Testing (TLPT) — alle 3 Jahre für bedeutende Institute: reale Bedrohungsszenarien, externe Red-Teams, Koordination mit Aufsichtsbehörde. Entspricht dem TIBER-EU-Framework

4. IKT-Drittparteienrisiko (Kapitel V)

Dies ist die operativ anspruchsvollste Säule. Finanzunternehmen müssen:

  • Ein Register aller IKT-Dienstleister führen (inkl. Subdienstleister — Konzentrationsrisiken)
  • Alle IKT-Verträge auf DORA-Mindestklauseln prüfen und nachrüsten (Ausstiegsrechte, Auditrechte, Kontinuitätsanforderungen, Datenlokalisierung)
  • Kritische IKT-Dienstleister identifizieren und einem verstärkten Überwachungsrahmen unterwerfen
  • Exit-Strategien für kritische Abhängigkeiten entwickeln

5. Informationsaustausch (Kapitel VI)

DORA ermutigt Finanzunternehmen zum freiwilligen Austausch von Bedrohungsinformationen (Threat Intelligence) — innerhalb regulierter Rahmen und mit Datenschutzkonformität.

DORA und ISO 27001: Die Schnittmenge

ISO 27001 deckt erhebliche Teile der DORA-Anforderungen ab, ist aber kein vollständiger Ersatz:

  • Gut abgedeckt durch ISO 27001: Risikomanagement, Asset-Management, Incident Management, Business Continuity (Annex A 5.30), Lieferantensicherheit (Annex A 5.19–5.22), Zugriffskontrollen, Kryptographie
  • DORA-spezifische Anforderungen ohne ISO-27001-Entsprechung: Regulatorische Meldepflichten (4h/72h/1M-Fristen), TLPT-Programm, Register kritischer IKT-Drittanbieter, DORA-spezifische Vertragsklauseln, FMA-Berichtspflichten

Für ISO-27001-zertifizierte Finanzunternehmen reduziert sich der DORA-Implementierungsaufwand erheblich — aber eine Gap-Analyse gegen die DORA-RTS/ITS ist zwingend erforderlich.

RTS und ITS: DORA delegiert viele technische Details an Regulatory Technical Standards (RTS) und Implementing Technical Standards (ITS) der ESAs (EBA, EIOPA, ESMA). Diese sind seit Januar 2025 final und verbindlich. Die wichtigsten: RTS zu IKT-Risikomanagement, RTS zur Klassifizierung von Vorfällen, RTS zu TLPT, RTS zu IKT-Drittparteienverträgen.

Praktische Erstmaßnahmen

  • Scoping: Sind Sie von DORA betroffen? Welche Verhältnismäßigkeitsregeln gelten?
  • Gap-Analyse gegen DORA-Anforderungen und relevante RTS/ITS
  • IKT-Asset-Inventar aufbauen oder validieren
  • Vertragsreview: Alle IKT-Dienstleisterverträge auf DORA-Mindestklauseln prüfen
  • Incident-Response-Plan auf DORA-Meldefristen ausrichten
  • Governance dokumentieren: Formelle Genehmigung des IKT-Rahmens durch die Geschäftsleitung