DORA einfach erklärt: das Gesetz, das die Finanzbranche vor Ausfällen und Cyberangriffen schützt
4
Min
•
06.07.2026
Kurz gesagt: DORA verpflichtet Banken, Versicherer und andere Finanzakteure sowie ihre Technologiedienstleister, auch bei einem IT-Ausfall oder einem Cyberangriff weiter zu funktionieren. Das Gesetz ist seit Januar 2025 in Kraft, und 2026 markiert den Beginn der Kontrollen.
Was ist DORA genau?
DORA ist ein europäisches Gesetz: die Verordnung (EU) 2022/2554. Ihr vollständiger Name, "Digital Operational Resilience Act", bedeutet einfach "Gesetz über die Widerstandsfähigkeit digitaler Systeme".
Die Idee lässt sich in einem Satz zusammenfassen: Wenn eine Bank oder ein Versicherer für seinen Betrieb von der IT abhängt, ist ein Ausfall oder ein Cyberangriff kein rein technisches Problem mehr, sondern ein Risiko für das gesamte Finanzsystem. DORA schreibt deshalb gemeinsame Regeln vor, um solche Vorfälle zu vermeiden, schnell zu reagieren, wenn sie eintreten, und die Kunden weiter zu bedienen.
Zwei Punkte, die man sich merken sollte:
- Das Gesetz ist seit dem 17. Januar 2025 anwendbar. Es gilt unmittelbar, ohne dass ein nationales Gesetz erforderlich ist.
- Es betrifft rund zwanzig Arten von Finanzunternehmen (Banken, Versicherungen, Zahlungsdienstleister, Fintechs, Fondsverwalter) und auch ihre Technologielieferanten.
Wer ist betroffen (und warum es über Banken hinausgeht)
Der oft missverstandene Punkt: DORA hört nicht bei den Finanzinstituten auf. Sie gilt auch für ihre IT-Dienstleister. Ein Softwareanbieter, der seine Leistungen an eine Bank verkauft, wird aus Sicht des Gesetzes zu einem Baustein ihrer Stabilität. Er muss daher denselben Anforderungen genügen können: Sicherheit, Verfügbarkeit, Kontrollrecht des Kunden.
Anders gesagt: Wenn Sie Technologie für den Finanzsektor liefern, betrifft DORA auch Sie, selbst wenn Sie keine Bank sind.
Was DORA verlangt, in 5 Punkten
1. IT-Risiken steuern
Die eigenen Werkzeuge kartieren, die kritischen Stellen erkennen, einen Plan vorsehen, um bei einem Zwischenfall weiter zu funktionieren. Die Verantwortung reicht bis zur Geschäftsleitung.
2. Schwere Vorfälle melden
Jeder schwerwiegende IT-Vorfall muss den Behörden gemeldet werden, in Fristen und einem Format, die in ganz Europa gleich sind.
3. Die eigene Widerstandsfähigkeit testen
Die wichtigsten Akteure müssen ihre Abwehr durch echte Angriffssimulationen testen lassen, mindestens einmal alle drei Jahre.
4. Die eigenen IT-Dienstleister überwachen
Das ist der prägendste Punkt. Die Verträge mit den Lieferanten müssen klare Garantien vorsehen: Sicherheit, Prüfrecht, Regelung der Unterauftragsvergabe, Standort der Daten, Möglichkeit, den Dienstleister zu wechseln. Die als besonders kritisch eingestuften Lieferanten werden sogar direkt auf europäischer Ebene überwacht.
5. Informationen über Cyberbedrohungen teilen
DORA ermutigt die Finanzakteure, sich untereinander über Bedrohungen auszutauschen, um sich gemeinsam besser zu verteidigen.
Wo stehen wir 2026?
Das Gesetz wird seit rund achtzehn Monaten angewendet. In Frankreich ist die ACPR von der Begleitung zu verstärkten Kontrollen übergegangen. Die laufenden Aufgaben: das Register der eigenen IT-Dienstleister aktuell halten, die kritischen Lieferanten benennen und die Sicherheitstests für die größten Akteure starten.
Der entscheidende Punkt: seine Dienstleister und Lieferanten gut kennen
DORA erinnert an eine Selbstverständlichkeit: Eine Bank ist nur so solide, wie ihre Lieferanten es sind. Das zwingt die Institute, die Unternehmen, mit denen sie zusammenarbeiten, besser zu bewerten.
Genau das ist die Logik von Know Your Supplier (KYS) und, weiter gefasst, von KYB: ein Unternehmen, seine Geschäftsführer und seine Zuverlässigkeit prüfen vor und während der Geschäftsbeziehung, dank eines Vertrauenswerts für Unternehmen.
Was Nichtkonformität kostet
Die Sanktionen sind hart. Einem Finanzinstitut drohen bis zu 2 % seines weltweiten Jahresumsatzes. Ein kritischer Lieferant kann an jedem Tag, an dem er nicht regelkonform ist, sanktioniert werden, bis zu 1 % seines durchschnittlichen Tagesumsatzes, und das bis zu sechs Monate lang. Über die Geldstrafe hinaus steht das Vertrauen der Kunden auf dem Spiel.
DORA und die Betrugsbekämpfung
Betriebsfähig bleiben und Betrug bekämpfen ist derselbe Kampf: zuverlässige und verfügbare Kundenprozesse. Ein System zur Identitäts- und Betrugserkennung, das ausfällt, ist eine offene Tür für Betrüger. Diese Prozesse abzusichern dient also zugleich der DORA-Konformität und dem Schutz vor Betrug.
Ihre DORA-Checkliste
Sie sind auf dem richtigen Weg, wenn Sie jeden Punkt mit Ja beantworten können:
- Die Liste Ihrer IT-Dienstleister ist aktuell.
- Ihre Lieferantenverträge sehen die DORA-Garantien vor (Prüfung, Sicherheit, Reversibilität).
- Sie wissen, wie Sie einen schwerwiegenden IT-Vorfall erkennen und melden.
- Ihre Sicherheitstests sind geplant.
- Sie bewerten die Zuverlässigkeit Ihrer Lieferanten und Firmenkunden (KYS / KYB).
Fazit
DORA macht aus der IT-Stabilität eine gesetzliche Pflicht, nicht mehr nur eine bewährte Praxis. Und sie sendet ein klares Signal an das gesamte Ökosystem: seine Lieferanten kennen, seine Prozesse absichern und seine Entscheidungen nachvollziehbar festhalten ist nicht mehr optional. Die gute Nachricht: Das sind Reflexe, die auch vor Betrug schützen.
Quellen: Verordnung (EU) 2022/2554 (DORA), Amtsblatt der Europäischen Union; ACPR, DORA-Dossier.
Bewerten Sie Ihre Dienstleister, machen Sie Ihre Prozesse zuverlässig
Meelo hilft Finanzakteuren, ihre Dienstleister und Firmenkunden zu kennen und zu bewerten (KYB, Vertrauenswert, Know Your Supplier) und ihre Identitäts- und Betrugsschutzprozesse abzusichern. Eine dokumentierte und prüfbare Entscheidung in 2 bis 5 Sekunden.

%20(1).jpg)
.jpg)
.png)