DORA-Verordnung: Was deutsche Unternehmen jetzt beachten müssen
Juni 2025
By
Axiom Law
Die Digitalisierung und die steigenden Cyber-Bedrohungen machen die Widerstandsfähigkeit digitaler Systeme im Finanzwesen wichtiger denn je. Der Digital Operational Resilience Act der EU verpflichtet Finanzunternehmen deshalb seit Januar 2025 zur Stärkung ihrer digitalen operativen Resilienz.
Die DORA-Verordnung schafft einen einheitlichen Rahmen für ein effektives Management von Cybersicherheits- und IT-Risiken in der Finanzindustrie. Sie stellt Finanz- und Technologieunternehmen in der EU, aber auch vor neue rechtliche und organisatorische Herausforderungen. Hier erfahren Sie, was die DORA-Verordnung für Ihr Unternehmen oder Ihre Organisation bedeutet, was Sie bei der Umsetzung beachten müssen und wie Axiom Sie dabei unterstützen kann.
Was ist der Digital Operational Resilience Act (DORA)?
Die DORA-Verordnung gilt seit dem 17. Januar 2025 und ist eine EU-weite Regelung zur Stärkung der digitalen Resilienz im Finanzsektor. Sie verpflichtet Unternehmen und ihre kritischen IT-Dienstleister, ihre Systeme in der Informations- und Kommunikationstechnologie (IKT) gegen Cyber-Bedrohungen abzusichern und im Ernstfall schnell wiederherzustellen.
Ziel der DORA-Regulation ist ein einheitlicher Rahmen für das IKT-Risikomanagement – mit klaren Anforderungen an Prozesse, Meldestrukturen und Verantwortlichkeiten. Die neuen Anforderungen sind komplex und betreffen nicht nur Technik, sondern auch Governance und Compliance.
Relevanz für deutsche Unternehmen
Die DORA-Verordnung gilt für alle Finanzinstitute in der EU – einschließlich Deutschland. Sie alle können DORA als Chance auffassen, die eigene Position in Bezug auf Cybersicherheit und Resilienz nachhaltig zu stärken.
Gleichzeitig stellt der breite Anwendungsbereich der DORA-Regulation viele Unternehmen vor eine komplexe Aufgabe: Einerseits sind einige Themen in Deutschland bereits von bestehenden Verordnungen abgedeckt. Andererseits erfordern neue Anforderungen wie Threat Intelligence, Penetration Testing und umfassendes Third Party Risk Management technische, rechtliche und organisatorische Anpassungen.
Für betroffene Unternehmen in Deutschland bedeutet das: erhöhte Prüfpflichten, neue Vertragsanpassungen und deutlich mehr regulatorischen Aufwand. Kleine Unternehmen oder ausgewählte Institute mit geringem Risikoprofil können von Ausnahmen profitieren, etwa nach Art. 16 DORA. Eine GAP-Analyse hilft, den eigenen Reifegrad und notwendige Maßnahmen realistisch einzuschätzen.
Betroffen: Finanzsektor, kritische Dienstleister, technologische Unternehmen
Die DORA-Regulation adressiert die gesamte Finanzbranche und gilt nach Art. 2 Abs. 1 und 2 für fast alle Finanzunternehmen in der EU, darunter:
- Banken
- Zahlungsdienstleister
- Versicherer und Rückversicherer
- Wertpapierfirmen
- Krypto-Anbieter
- Handelsplätze
- Ratingagenturen
Bestimmte Organisationen sind dabei vom Digital Operational Resilience Act ausgenommen, beispielsweise:
- Postgiroämter gemäß der Richtlinie 2013/36/EU
- In der Versicherungsvermittlung tätige KMU oder Kleinstunternehmen
- Einrichtungen der betrieblichen Altersversorgung mit weniger als 15 Versorgungsanwärter*innen
Ein entscheidender Punkt von DORA: Die Verordnung schließt über Art. 3 Nr. 19 auch IKT-Drittdienstleister ein, die über Informations- und Kommunikationstechnologie wichtige Services für Finanzinstitute erbringen. Dazu zählen beispielsweise Cloud-Provider, Softwareanbieter und Rechenzentren. Je nach ihrer Substituierbarkeit und der Abhängigkeit ihrer Kunden gelten diese Unternehmen außerdem als „kritisch“ und stehen dann besonders im Fokus.
Um die Bedeutung einzelner IKT-Drittdienstleister adäquat einschätzen zu können, mussten Finanzunternehmen bis zum 11. April 2025 einen Überblick über entsprechende vertragliche Vereinbarungen vorlegen. Nach Angaben der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) wollen die europäischen Aufsichtsbehörden dann in der zweiten Jahreshälfte eine erste Liste der als kritische eingestuften IKT-Dienstleister veröffentlichen.
Fallbeispiel: Das US-Unternehmen CrowdStrike stellt Cybersicherheitslösungen für systemrelevante Bereiche wie Flughäfen, Krankenhäuser und die Finanzindustrie bereit. Im Sommer 2024 führte ein fehlerhaftes Update weltweit zu IT-Ausfällen, Flugverspätungen sowie Problemen bei Zahlungssystemen und Bankautomaten. Dies gilt laut BaFin als gutes Beispiel für einen kritischen IKT-Dienstleister.
Erwartungen von EU-Behörden und BaFin
DORA legt EU-weit technische Anforderungen an Finanzunternehmen und IKT-Dienstleister fest, etwa beim Risikomanagement, bei Resilienztests und beim Drittanbieterrisiken – abhängig von der Unternehmensgröße. Das Gesetz über die Digitalisierung des Finanzmarktes (FinmadiG) von Dezember 2024 regelt die Umsetzung von DORA in Deutschland. Es hat bestehende Regelwerke für Technologierechtwie BAIT oder VAIT ersetzt, um Doppelregulierungen zu vermeiden. Nicht von DORA erfasste Unternehmen müssen angemessene IKT-Sicherheitsmaßnahmen treffen.
Direkte Anwendung ab Januar 2025
Die DORA-Verordnung gilt seit dem 17. Januar 2025 in der gesamten EU als unmittelbar anwendbares Recht. Damit ist die zweijährige Umsetzungsfrist abgelaufen, und der Anpassungsdruck steigt. Viele Unternehmen in Deutschland erfüllen noch nicht alle Anforderungen für eine volle Compliance: Die Anpassung der DORA-konformen Dienstleisterverträge ist in vielen Fällen noch genauso unvollständig wie die technische Umsetzung.
Wie bereits erwähnt – das FinmadiG hat DORA im Dezember in das deutsche Recht eingebettet. Es regelt dabei Übergangsfristen bis 2027 für bestimmte Institute. Die bisherigen IT-Vorgaben wie die BAIT werden schrittweise abgelöst.
DORA – Überblick & Pflichten
Die DORA-Verordnung schafft erstmals ein einheitliches Regelwerk und einen klaren Rahmen für das Management von IKT-Risiken im Finanzsektor der EU. Sie ersetzt nationale Alleingänge durch verbindliche Standards und verpflichtet Unternehmen zu höherer technischer Resilienz, einheitlicher Berichterstattung und strengeren Anforderungen an ihre IT-Dienstleister.
Ziel und Anwendungsbereich
Der Digital Operational Resilience Act (DORA) verfolgt zwei zentrale Ziele: die Schaffung eines einheitlichen IKT-Risikomanagement-Frameworks im EU-Finanzsektor und die Harmonisierung bisher uneinheitlicher Vorschriften in den Mitgliedstaaten.
Vor DORA variierten nationale Vorgaben stark, waren oft unverbindlich und erschwerten Finanzunternehmen mit grenzüberschreitender Tätigkeit die Umsetzung. Die einheitlichen DORA-Anforderungen verbessern nicht nur die regulatorische Klarheit, sondern sollen auch die digitale Widerstandsfähigkeit des europäischen Finanzsystems stärken.
Da Finanzunternehmen in allen EU-Ländern dieselben Anforderungen erfüllen sollen, schafft die DORA-Verordnung vor allem für international agierende Unternehmen eine verlässliche Basis: Sie sollen IKT-Risiken mit klaren technischen Anforderungen statt abstrakter Prinzipien managen können.
Kernanforderungen: IT-Risiken, Vorfallsmeldung, Resilienztests, Drittanbieter-Kontrolle
DORA verpflichtet Finanzunternehmen und ihre IKT-Dienstleister zu umfassenden Maßnahmen in mehreren Bereichen, damit sie digitale Risiken nicht nur erkennen, sondern systematisch managen.
IKT-Risikomanagement: Als zentrales Element der DORA-Verordnung liegt es in der Verantwortung des Managements, angemessene Strategien zu entwickeln, Risiken zu bewerten und entsprechende Schutzmaßnahmen umzusetzen. Dazu zählen etwa Sicherheitsrichtlinien, Zugangskontrollen, regelmäßige Patches sowie Wiederherstellungspläne bei Ausfällen. Unternehmen müssen ihre kritischen Systeme klassifizieren und Abhängigkeiten transparent machen.
Erforderliche Maßnahmen im IKT-Risikomanagement nach DORA:
- Identifikation und Klassifizierung kritischer Assets
- Risikobewertungen und Schutzmaßnahmen
- Notfall- und Wiederherstellungspläne
Reaktion auf IT-Vorfälle: Bei schwerwiegenden Störungen sind zeitnahe Meldungen an Aufsichtsbehörden und Betroffene streng geregelt und verpflichtend. DORA verlangt strukturierte Berichte mit Ursachenanalysen und Fortschrittsdokumentation. Einheitliche Klassifizierungskriterien und Meldeformate sind in Arbeit.
DORA in der EU regelt die Reaktion auf IT-Vorfälle inklusive:
- Monitoring, Protokollierung und Klassifizierung von IT-Vorfällen
- Meldepflicht an Behörden, ggf. auch an Kunden
- Erst-, Zwischen- und Abschlussberichte bei schweren Vorfällen
Testen der Resilienz: Neben jährlichen Basistests müssen bedeutende Institute alle drei Jahre sogenannte Threat-Led Penetration Tests (TLPT) durchführen – gemeinsam mit ihren kritischen IKT-Anbietern. Diese Tests basieren auf realistischen Angriffsszenarien.
Anforderungen für Resilienztests gemäß der DORA-Richtline:
- Jährliche Tests zur Schwachstellenanalyse
- TLPTs (Threat-Led Penetration Tests) alle drei Jahre für systemrelevante Institute
- Einbeziehung kritischer IKT-Dienstleister
Risikomanagement von Drittanbietern: Finanzunternehmen dürfen kritische IKT-Dienstleistungen nur dann auslagern, wenn entsprechende Verträge alle regulatorischen Vorgaben erfüllen. Die Abhängigkeit von einzelnen Anbietern ist aktiv zu begrenzen. Besonders kritische IKT-Anbieter unterliegen der Kontrolle der Europäischen Finanzaufsichtsbehörden.
Risikomanagement von Drittanbietern nach DORA:
- Vertragsanforderungen bei Auslagerung kritischer Funktionen
- Pflicht zur Exit-Strategie und regelmäßiger Bewertung
- Vermeidung von Konzentrationsrisiken
Abschließend empfiehlt DORA einen freiwilligen Informationsaustausch zu Bedrohungslagen – unter Einhaltung datenschutzrechtlicher Vorgaben. Die Empfehlung umfasst die Förderung freiwilliger Threat-Intelligence-Sharing-Initiativen und die Wahrung von DSGVO- und Geheimhaltungspflichten.
Abgrenzung zu DSGVO und NIS2
DORA steht nicht isoliert, sondern ergänzt andere europäische Regelwerke wie die Datenschutz-Grundverordnung (DSGVO) und die NIS2-Richtlinie. Damit schafft die Verordnung ein konsistentes und sektorübergreifendes Regelwerk, das bestehende Anforderungen nicht ersetzt, sondern in ein kohärentes Gesamtkonzept integriert.
Während die DSGVO den Schutz personenbezogener Daten regelt, zielt DORA auf die technische Resilienz und Stabilität digitaler Systeme im Finanzsektor. NIS2 wiederum fokussiert sich auf die allgemeine Cyberresilienz kritischer Infrastrukturen, also auch in anderen Bereichen. Bei Überschneidungen gilt: DORA geht vor, sofern ihre Anforderungen spezifischer sind.
Wenn Sie Fragen dazu haben, inwieweit DORA bestehende Prozesse zur Einhaltung der DSGVO oder der NIS2-Richtlinie in Ihrem Unternehmen beeinflusst – unsere Jurist*innen für Datenschutz und Cybersicherheithelfen Ihnen gerne weiter.
Herausforderungen bei der Umsetzung
Die Umsetzung von DORA hat viele Finanzunternehmen vor erhebliche Herausforderungen gestellt. Zunächst erforderten enge Fristen, komplexe technische Anforderungen und ein hoher interner Abstimmungsbedarf eine sorgfältige Planung. Auch begrenzte Ressourcen und fehlendes spezialisiertes Know-how können die termingerechte und vollständige Umsetzung der neuen Vorschriften erschweren.
Komplexität, enge Fristen, hoher Abstimmungsbedarf
Da technische Standards spät veröffentlicht wurden, war und ist der enge Zeitrahmen ein zentrales Problem bei der DORA-Umsetzung. Unternehmen mussten parallel planen und die Maßnahmen gleichzeitig anpassen.
Interne Hürden wie fehlende Dokumentation, begrenzte Budgets, mangelnde Zusammenarbeit und Know-how können die Umsetzung verzögern. Außerdem macht DORA eine enge Abstimmung zwischen IT, Risikomanagement und anderen Bereichen erforderlich. Besonders bei Spezialthemen wie IKT-Risikoanalyse oder Vorfallsmanagement gibt es aber nur ein knappes Angebot für externe Beratung.
Begrenzte interne Ressourcen in Recht & Compliance
Um DORA umzusetzen, mussten viele Unternehmen Risiken eingehen – unsichere Auslegung der Vorschriften und fehlende Prüfungspraxis erschweren dies zusätzlich. Besonders Banken kämpfen mit Ressourcenengpässen in IT, Vorschriften und Compliance, was die Identifikation kritischer Funktionen und den Aufbau rechtskonformer Meldeprozesse verlangsamt. Genau hier können die Services von Axiom einen wertvollen Beitrag leisten.
Wie Projektjurist*innen helfen können
Durch die DORA-Anforderungen für das Risikomanagement der Services von Drittdienstleistern müssen viele Unternehmen aktuell noch zahlreiche Verträge an DORA anpassen. Bei großen Instituten betrifft das oft Hunderte bis Tausende Dokumente, die einer juristischen Prüfung und Erweiterung bedürfen. Besonders Auslagerungsverträge mit IKT-Dienstleistern erfordern Anpassungen bei Vertragsmanagement und Unterauftragsvergabe.
Die Projektjurist*innen von Axiom unterstützen Sie bei der rechtssicheren Umsetzung, begleiten Meldepflichten und koordinieren interne Abstimmungen. So helfen wir Ihnen, Risiken zu minimieren und Verzögerungen im Anpassungsprozess zu vermeiden.
Fazit
Die DORA-Verordnung stellt Finanzunternehmen in Deutschland vor erhebliche rechtliche, technische und organisatorische Herausforderungen – von der Anpassung bestehender Verträge bis hin zur Einführung neuer Melde- und Risikomanagementprozesse. Axiom unterstützt Sie dabei mit erfahrenen Projektjurist*innen, die für rechtssichere Umsetzung, effiziente interne Abstimmung und praxisnahe Lösungen sorgen. So können Sie DORA nicht nur gesetzeskonform umsetzen, sondern auch als Chance nutzen, Ihre digitale Resilienz nachhaltig zu stärken.
FAQs
1. Wen betrifft DORA konkret in Deutschland?
DORA richtet sich an alle Finanzunternehmen in der EU und damit auch in Deutschland. Dazu zählen Banken, Versicherungen, Investmentgesellschaften, Zahlungsdienstleister und deren IKT-Drittanbieter. Auch Anbieter von Cloud-Services, die für Finanzunternehmen arbeiten, fallen unter die Verordnung. Der Anwendungsbereich ist also breit gefasst und betrifft praktisch den gesamten Finanzsektor.
2. Ab wann gilt DORA in der EU und Deutschland?
Die DORA-Verordnung ist seit dem 17. Januar 2025 in Kraft. Seit diesem Datum müssen die betroffenen Unternehmen die Anforderungen vollständig umsetzen. In Deutschland regelt das Finanzmarktdigitalisierungsgesetz (FinmadiG) seit Dezember 2024 ergänzend die Durchführung und Integration von DORA ins deutsche Aufsichtsrecht.
3. Welche juristischen Anforderungen kommen durch DORA auf Unternehmen zu?
Mit dem Digital Operational Resilience Act gelten neue Pflichten für die Meldung von IT-Vorfällen, erweiterte Anforderungen an das IKT-Risikomanagement und spezifische Regelungen für das Management von Drittanbieterrisiken. Unternehmen müssen deshalb umfangreiche Dokumentationen und Prozesse etablieren und insbesondere ihre Verträge mit IKT-Drittanbietern überarbeiten und an DORA anpassen.
4. Wie können Projektjurist*innen konkret unterstützen?
Die Projektjurist*innen von Axiom helfen bei der rechtssicheren Gestaltung und Anpassung von Verträgen, entwickeln passgenaue Compliance-Prozesse und sorgen für die Einhaltung aller regulatorischen Vorgaben. Sie koordinieren die Zusammenarbeit verschiedener Fachbereiche, beraten zu Risikoanalysen und unterstützen bei der Umsetzung der Melde- und Dokumentationspflichten. So minimieren sie rechtliche Risiken und beschleunigen die Umsetzung.
5. Was unterscheidet Axiom von anderen Personaldienstleistern?
Axiom bietet hochspezialisierte juristische Fachkräfte mit tiefgreifendem Know-how für Datenschutz und Cybersicherheit sowie Vorschriften und Compliance im Finanzsektor. Im Gegensatz zu vielen klassischen Anwaltskanzleien legen wir gleichzeitig großen Wert auf das notwendige unternehmerische Denken. Axiom versteht die komplexen regulatorischen Anforderungen und begleitet Unternehmen praxisnah bei der Umsetzung von DORA-Projekten – von der Vertragsprüfung bis zum operativen Risikomanagement.
Veröffentlicht von
Axiom Law
Related Content
Brian Distance: Bekannter Schauspieler und Axiom-Jurist
Brian Distance ist erfolgreicher Jurist für Kapitalmarktrecht und langjähriger Mitarbeiter von Axiom, wo er eng mit wichtigen Entscheidungsträgern der Finanzdienstleistungsbranche zusammenarbeitet.
EU AI Act – Was Unternehmen in Deutschland jetzt wissen müssen
EU AI Act: Neue Anforderungen für Unternehmen bei KI-Nutzung. Überblick über Pflichten, Risiken und Umsetzung der Compliance.
Remote-Work: Warum flexibles Arbeiten für Juristen normal werden sollte
Rechtsabteilungen, die ihre Juristen stets vor Ort haben wollen, werden mittel- und langfristig Probleme bekommen, die besten Spezialisten für ihren Arbeitsbereich anzuwerben.