Executive Summary
Der Digital Operational Resilience Act (DORA) gilt seit dem 17. Januar 2025 und verpflichtet über 22.000 Finanzunternehmen in der EU zu einem einheitlichen IKT-Risikomanagement. Die Verordnung löst in Deutschland die bisherigen Rundschreiben BAIT, VAIT, KAIT und ZAIT ab und schafft einen harmonisierten europäischen Rahmen für digitale operationale Resilienz. Zentrale Handlungsfelder sind der IKT-Risikomanagementrahmen, das Vorfallmeldewesen, bedrohungsorientierte Penetrationstests sowie das Management von IKT-Drittparteienrisiken – einschließlich eines neuen Überwachungsregimes für kritische Dienstleister. Dieser Artikel ordnet die Entstehung der Verordnung ein, beschreibt das Zusammenspiel mit NIS 2, CRA und DSGVO und beleuchtet die nationale Umsetzung durch das FinmadiG.
Einleitung
Wer verstehen will, warum der europäische Finanzsektor seit Januar 2025 einem völlig neuen IKT-Regelwerk unterliegt, muss ins Jahr 2020 zurückblicken. Am 24. September legte die Europäische Kommission den Entwurf für den Digital Operational Resilience Act (DORA) vor. Der Auslöser war kein einzelnes Ereignis, sondern eine schleichende Erkenntnis. Zahlungsverkehr, Wertpapierhandel oder Kreditvergabe, nahezu jeder Kernprozess der Finanzindustrie hängt mittlerweile an digitalen Infrastrukturen. Und an einer Handvoll globaler Cloud-Anbieter, deren Ausfall ganze Märkte lahmlegen könnte.
Das Digital Finance Package als Gesamtrahmen
Die Kommission stellte DORA nicht als Einzelmaßnahme vor. Der Verordnungsentwurf war Teil des Digital Finance Package, das insgesamt vier Initiativen bündelte. Neben DORA die Kryptowerte-Regulierung MiCAR, eine Pilotregelung für DLT-Marktinfrastrukturen und eine übergreifende Digitalstrategie für den Finanzsektor. Der Grundgedanke dahinter ist, Digitalisierung ohne Resilienzrahmen schafft eher Verwundbarkeit statt Fortschritt.
Der Legislativprozess
Gut zwei Jahre vergingen, bis aus dem Entwurf geltendes Recht wurde. Parlament und Rat verabschiedeten die Verordnung (EU) 2022/2554 am 14. Dezember 2022.
Mit dem Inkrafttreten am 16. Januar 2023 begann eine zweijährige Übergangsfrist. Diese wurde bewusst so lange gewählt. Der Umstellungsbedarf war erheblich. Neue Vorgaben zum IKT-Risikomanagement, ein EU-weites Vorfallmeldewesen, bedrohungsorientierte Penetrationstests: All das musste aufgebaut werden. Parallel erarbeiteten die Aufsichtsbehörden dutzende Level-2-Rechtsakte. Seit dem 17. Januar 2025 gilt DORA vollumfänglich.
DORA im europäischen Regulierungsgefüge
Wer DORA anwendet, kommt an drei weiteren Regelwerken nicht vorbei. Gegenüber der NIS-2-Richtlinie greift das lex-specialis-Prinzip: Die sektorspezifischen DORA-Vorgaben verdrängen die allgemeineren Cybersicherheitspflichten für Finanzunternehmen. Der Cyber Resilience Act wiederum setzt bei den Herstellern an und ergänzt DORA dort, wo es um die Sicherheit eingekaufter IKT-Produkte geht. Die DSGVO bleibt parallel anwendbar. Gerade bei Auslagerungsverträgen mit IKT-Drittdienstleistern müssen beide Bereiche sauber ineinandergreifen. In der Praxis eine der anspruchsvollsten Schnittstellen.
Regelwerk | Verhältnis zu DORA | Praxisrelevanz |
NIS 2 | DORA als lex specialis | Sektorspezifische DORA-Vorgaben verdrängen NIS 2 |
CRA | Ergänzung bei Produktsicherheit | Sicherheit eingekaufter IKT-Komponenten |
DSGVO | Parallele Geltung, kein Vorrang | Auslagerungsverträge brauchen beide Klauselsets |
Breiter Anwendungsbereich: Über 22.000 Unternehmen
Über 22.000 Finanzunternehmen in der EU fallen unter DORA. Die Verordnung beschränkt sich keineswegs auf Banken und Versicherer: Auch Zahlungsinstitute, Wertpapierfirmen, Krypto-Dienstleister, Ratingagenturen, zentrale Gegenparteien und Einrichtungen der betrieblichen Altersversorgung gehören zum Adressatenkreis. Hinzu kommt ein gestufter Zugriff auf IKT-Drittdienstleister. Über die Mindestvertragsklauseln in Artikel 30 wirkt DORA mittelbar auf sämtliche Dienstleister ein. Wer als „kritisch“ eingestuft wird, unterliegt darüber hinaus einem direkten Überwachungsrahmenwerk der ESAs – ein echtes Novum in der europäischen Finanzregulierung.
Lamfalussy-Verfahren und Level-2-Rechtsakte
Wie andere EU-Finanzmarktregulierungen ist DORA nach dem Lamfalussy-Modell aufgebaut. Die Verordnung bildet den Level-1-Rahmen und ermächtigt EBA, ESMA und EIOPA, die Anforderungen durch technische Standards zu konkretisieren. Zu den zentralen Level-2-Rechtsakten gehören der RTS zum IKT-Risikomanagementrahmen (DelVO 2024/1774), der RTS zu vertraglichen Vereinbarungen (DelVO 2024/1773) und der ITS zum Informationsregister. Gerade das Informationsregister stellt viele Institute bei der Erstbefüllung vor erhebliche operative Herausforderungen.
Nationale Umsetzung: Das FinmadiG
Eine EU-Verordnung braucht eigentlich keine nationale Umsetzung. Doch auch DORA erforderte flankierende Anpassungen im deutschen Recht. Das Finanzmarktdigitalisierungsgesetz (FinmadiG), am 27. Dezember 2024 im Bundesgesetzblatt veröffentlicht, schließt diese Lücke. Es setzt zugleich die DORA-Begleitrichtlinie um und schafft den nationalen Rahmen für MiCAR. Ein Detail verdient besondere Aufmerksamkeit: § 1a Abs. 2a KWG zieht auch Institute in den DORA-Orbit, die eigentlich nicht zum Adressatenkreis gehören. Dies sind z.B. Förderbanken und Förderinstitute oder Sonderfälle wie Bürgschaftsbanken oder Wohnungsunternehmen mit Spareinrichtung. Diese bekommen zwar gewisse Erleichterungen beim IKT-Risikomanagement, haben aber dennoch spürbaren Compliance-Pflichten.
Das Ende von BAIT, VAIT, KAIT und ZAIT
Seit dem 17. Januar 2025 sind BAIT, VAIT, KAIT und ZAIT Geschichte. Die BaFin hat alle vier sektoralen IT-Rundschreiben aufgehoben. Inhaltlich sind deren Vorgaben in den DORA-Artikeln 5–15 und 28–30 sowie den dazugehörigen Level-2-Texten aufgegangen. Aber nicht eins zu eins, sondern mit teils erheblich erweiterten Anforderungen. Interessant: Die BaFin nutzt in ihrer Aufsichtsmitteilung vom Juni 2024 die alte BAIT-Kapitelstruktur als Vergleichsmaßstab, um die Veränderungen zu kartieren. DORA ersetzt die BAIT also nicht nur, sondern beerbt sie, allerdings mit höheren Ansprüchen und EU-weiter Geltung. Und wer außerhalb des DORA-Anwendungsbereichs liegt? Für den gelten weiterhin die allgemeinen Anforderungen an eine ordnungsgemäße Geschäftsorganisation. IT-Risikomanagement bleibt Pflicht, mit oder ohne DORA.


