Glossar · EU-Finanzregulierung DORA (Digital Operational Resilience Act)
EU-Verordnung zur Festlegung von Anforderungen an die operationelle Widerstandsfähigkeit für Finanzinstitute, in Kraft ab Januar 2025.
## Was DORA tatsächlich bewirkt
Der Digital Operational Resilience Act (Verordnung (EU) 2022/2554) etabliert einen einheitlichen Rahmen für die operationelle Widerstandsfähigkeit europäischer Finanzinstitute. Er gilt ab dem 17. Januar 2025 und ersetzt einen Flickenteppich sektorspezifischer Vorgaben durch eine umfassende sektorübergreifende Verordnung.
DORA deckt speziell IKT-Risiken (Informations- und Kommunikationstechnologie) ab — die zentrale Erkenntnis der Verordnung ist, dass Finanzstabilität zunehmend ebenso von technologischer Resilienz wie von finanzieller Solidität abhängt.
## Wer DORA betrifft
DORA gilt für praktisch alle europäischen Finanzunternehmen:
- Banken und Kreditinstitute
- Wertpapierfirmen
- Zahlungsinstitute und E-Geld-Institute
- Versicherungs- und Rückversicherungsunternehmen
- Pensionsfonds (EbAV)
- Anbieter von Krypto-Asset-Diensten
- Anbieter von Crowdfunding-Diensten
- Verbriefungsregister
- Handelsplätze, zentrale Gegenparteien, Zentralverwahrer
- Ratingagenturen
- Wirtschaftsprüfungsgesellschaften (für ihre Finanzkunden)
Die Verordnung schafft auch neue Aufsichtsanforderungen für **kritische IKT-Drittanbieter** — also große Cloud-Anbieter (AWS, Microsoft, Google) und andere Technologielieferanten, von denen Finanzinstitute abhängig sind.
## Die fünf DORA-Säulen
DORA etabliert Anforderungen in fünf Bereichen:
### 1. IKT-Risikomanagement
Finanzunternehmen müssen umfassende Risikomanagementrahmen implementieren, die Identifizierung, Schutz, Erkennung, Reaktion, Wiederherstellung und kontinuierliches Lernen abdecken. Dazu gehören dokumentierte Governance-Strukturen, regelmäßige Risikobewertungen und ausdrückliche Verantwortlichkeit auf Vorstandsebene.
### 2. Vorfallmeldung
Schwerwiegende IKT-bezogene Vorfälle müssen den Behörden gemäß standardisierten Vorlagen und Fristen gemeldet werden. Bedeutende Cyber-Bedrohungen müssen ebenfalls gemeldet werden. Die Meldepflichten sind strenger als der allgemeine NIS2-Rahmen.
### 3. Tests der digitalen operationellen Resilienz
Finanzunternehmen müssen regelmäßige Tests ihrer digitalen operationellen Resilienz durchführen:
- Schwachstellenbewertungen und Scans
- Bewertungen der Netzwerksicherheit
- Penetrationstests (mindestens jährlich)
- Für bedeutende Einrichtungen: **bedrohungsorientierte Penetrationstests (TLPT)** alle drei Jahre
TLPT ist die anspruchsvollste Form — Tests müssen reale Bedrohungsakteurfähigkeiten simulieren und werden von zertifizierten Anbietern unter Aufsicht der Regulierungsbehörden durchgeführt.
### 4. Drittanbieter-Risikomanagement
DORA führt spezifische Anforderungen an das Management von IKT-Dienstleisterrisiken ein:
- Standardisierte Vertragsklauseln für IKT-Outsourcing erforderlich
- Vorvertragliche Sorgfaltsprüfung kritischer Anbieter
- Überwachung des Konzentrationsrisikos (Vermeidung übermäßiger Abhängigkeit von einzelnen Anbietern)
- Notfallplanung für Anbieterausfälle
### 5. Informationsaustausch
Finanzunternehmen werden ermutigt, Cyber-Bedrohungsinformationen untereinander und mit Behörden über vertrauenswürdige Informationsaustauschvereinbarungen zu teilen.
## Warum DORA Cloud-Anbieterentscheidungen verändert
Die Drittanbieter-Risikomanagement-Säule betrifft speziell die Auswahl von Cloud- und SaaS-Anbietern. DORA verlangt:
**1. Kritische IKT-Drittanbieter unter direkter regulatorischer Aufsicht.** EU-Finanzaufsichtsbehörden (ESMA, EBA, EIOPA) können nun direkt Cloud-Anbieter beaufsichtigen, die mehrere Finanzinstitute bedienen. Dies ist beispiellos — direkte regulatorische Autorität über Technologielieferanten.
**2. Konzentrationsrisikomanagement.** Finanzinstitute können nicht ihre gesamte kritische Infrastruktur bei einem einzigen Cloud-Anbieter haben. Dies drückt Multi-Cloud-Strategien voran, was oft das Hinzufügen EU-ansässiger Anbieter neben US-Hyperscalern bedeutet.
**3. Vertragsanforderungen.** DORA schreibt bestimmte Klauseln in IKT-Outsourcing-Verträgen vor. Standardbedingungen von US-Anbietern müssen typischerweise angepasst werden, um zu entsprechen.
**4. Geografische Erwägungen.** Während DORA EU-Datenresidenz nicht ausdrücklich verlangt, funktioniert die regulatorische Kooperationserwartung besser mit EU-ansässigen Anbietern.
## Praktische Auswirkungen für europäische Fintech
Für europäische Finanzinstitute im Jahr 2026:
**Option 1: Multi-Cloud mit EU-Primärinfrastruktur.** Hetzner, Scaleway, OVHcloud oder Open Telekom Cloud als primäre Infrastruktur mit US-Hyperscaler als sekundär nutzen. Reduziert Konzentrationsrisiko und verbessert DORA-Position.
**Option 2: Souveräne Cloud für sensible Workloads.** Open Telekom Cloud, T-Systems Sovereign Cloud oder französische Cloud de Confiance für die sensibelsten Anwendungen. US-Hyperscaler für weniger sensible Workloads.
**Option 3: DORA-konforme Bedingungen mit US-Anbietern verhandeln.** Möglich, aber operativ komplex. Große US-Anbieter haben DORA-konforme Angebote aufgebaut, aber die spezifischen Vertragsbedingungen erfordern weiterhin Verhandlung.
Für europäische Fintech-Startups ist der Aufbau auf EU-ansässiger Cloud von Anfang an operativ einfacher als nachträgliche Compliance. Die Kosten-Leistungs-Lücke (Hetzner/Scaleway gegenüber AWS) macht die Wahl auch finanziell attraktiv.
## DORAs breiterer Einfluss
DORA etabliert ein regulatorisches Muster, das wahrscheinlich über Finanzdienstleistungen hinausgehen wird:
- **EU AI Act** verwendet ähnliche Drittanbieter-Aufsichtskonzepte
- **NIS2** hat parallele Strukturen für Vorfallmeldung
- **Künftiger EU Cyber Resilience Act** baut auf DORAs Drittanbieter-Risikokonzepten auf
Für europäische Tech-Anbieter, die mehrere regulierte Sektoren bedienen, wird der Nachweis DORA-artiger operationeller Resilienz auch außerhalb der Finanzdienstleistungen zu einem Wettbewerbsmerkmal.
## Was 2026 bringt
Das erste volle Durchsetzungsjahr von DORA (2025-2026) wird praktische Compliance-Erwartungen prägen. Beobachten Sie:
- **Erste größere Vorfallberichte** unter DORAs neuen Vorlagen
- **Penetrationstest-Programme**, die in europäischen Finanzinstituten hochgefahren werden
- **Designierungen kritischer IKT-Drittanbieter** durch EU-Aufsichtsbehörden
- **Erste Durchsetzungsmaßnahmen** bei Nichteinhaltung
Für europäische Unternehmen, die Finanzinstitute als Lieferanten bedienen, wird DORA-Compliance zum Standard für die Beschaffung.
War das hilfreich?
Danke für Ihr Feedback!