Seit dem 17. Januar 2025 gilt die DORA-Verordnung (Digital Operational Resilience Act) unmittelbar in allen EU-Mitgliedstaaten. Damit endete für Banken, Versicherer, Zahlungsdienstleister und Krypto-Verwahrer die jahrelange Vorbereitungsphase. Im Sommer 2026 verschiebt sich der Schwerpunkt: Aus reiner Dokumentationspflicht wird aktive Aufsicht. Die europäischen Aufsichtsbehörden bauen die Überwachung kritischer IKT-Drittdienstleister auf, die BaFin prüft erste Meldeprozesse, und die Frist für das Informationsregister (30. April 2025) liegt bereits ein Jahr zurück. Wer DORA bislang als Projekt behandelt hat, steht nun unter laufender Beobachtung.
Dieser Beitrag ordnet die DORA-Verordnung mit belastbaren Zahlen ein: die fünf Säulen, die verschärften Meldefristen von 4, 72 und 720 Stunden, das Sanktionsregime von bis zu 1 Prozent des Tagesumsatzes, die Rolle der BaFin sowie ein Vergleich mit NIS2 und dem Cyber Resilience Act. Ziel ist eine Analyse, keine Werbebroschüre.
DORA-Verordnung: Was Regulation (EU) 2022/2554 vorschreibt
Die DORA-Verordnung trägt den offiziellen Titel Regulation (EU) 2022/2554. Das Europäische Parlament und der Rat verabschiedeten den Text im Dezember 2022, in Kraft trat er am 16. Januar 2023. Die eigentliche Anwendungspflicht begann jedoch erst nach einer Übergangsfrist von 24 Monaten, am 17. Januar 2025. Anders als eine Richtlinie wirkt eine Verordnung direkt. Die DORA-Verordnung musste also nicht erst in 27 nationale Gesetze übersetzt werden, sondern entfaltet überall in der EU denselben Wortlaut.
Der Kern der DORA-Verordnung ruht auf fünf Säulen. Erstens das IKT-Risikomanagement, das Governance, Schutz, Erkennung und Wiederherstellung umfasst. Zweitens die Meldung schwerwiegender IKT-Vorfälle an die zuständige Behörde. Drittens das Testen der digitalen operationalen Resilienz, von Schwachstellenscans bis zu bedrohungsgeleiteten Penetrationstests. Viertens das Management des IKT-Drittparteienrisikos, also der Abhängigkeit von Cloud- und Softwareanbietern. Fünftens der freiwillige Austausch von Informationen über Cyberbedrohungen zwischen Finanzunternehmen. Diese fünf Säulen greifen ineinander. Ein Institut kann die Meldepflicht nur erfüllen, wenn es Vorfälle überhaupt erkennt, und es kann Drittparteienrisiken nur steuern, wenn es seine Dienstleister vollständig kennt.
Wer betroffen ist: über 22.000 Finanzunternehmen
Die DORA-Verordnung adressiert nach Angaben der europäischen Versicherungsaufsicht EIOPA 20 verschiedene Typen von Finanzunternehmen. Dazu zählen Kreditinstitute, Zahlungs- und E-Geld-Institute, Wertpapierfirmen, Versicherer und Rückversicherer, Vermögensverwalter, Handelsplätze, Ratingagenturen sowie Anbieter von Krypto-Dienstleistungen. Branchenschätzungen, etwa der Beratungsgesellschaft Kroll, gehen von mehr als 22.000 betroffenen Finanzunternehmen und IKT-Dienstleistern im EU-Binnenmarkt aus. Das ist eine ungewöhnlich breite Reichweite für ein einzelnes Finanzmarktgesetz.
Für den DACH-Raum bedeutet das eine erhebliche Last. Deutschland zählt zu den größten Finanzplätzen der EU, mit Frankfurt als Sitz der Europäischen Zentralbank. Tausende deutsche Genossenschaftsbanken, Sparkassen, Privatbanken, Versicherer und FinTechs fallen unter die DORA-Verordnung. Auch kleinere Akteure entkommen nicht: DORA kennt zwar ein Proportionalitätsprinzip, das den Aufwand an Größe und Risikoprofil koppelt, doch eine vollständige Befreiung gibt es für regulierte Finanzunternehmen praktisch nicht. Kleinstunternehmen und bestimmte Kleinstinstitute profitieren von einem vereinfachten Rahmen, bleiben aber meldepflichtig.
Die verschärften Meldefristen: 4, 72 und 720 Stunden
Das schärfste operative Element der DORA-Verordnung ist die Meldepflicht für schwerwiegende IKT-Vorfälle. Artikel 19 DORA, konkretisiert durch die Delegierte Verordnung (EU) 2025/301, schreibt einen dreistufigen Prozess vor. Sobald ein Institut einen Vorfall als schwerwiegend einstuft, läuft die Uhr. Die Erstmeldung muss innerhalb von 4 Stunden nach der Einstufung erfolgen, spätestens jedoch 24 Stunden nach Bekanntwerden des Vorfalls. Die Zwischenmeldung folgt binnen 72 Stunden, die Abschlussmeldung spätestens einen Monat nach der Erstmeldung.
Diese Taktung zwingt Banken zu einer Reaktionsfähigkeit, die viele bislang nicht hatten. Eine Erstmeldung in 4 Stunden setzt voraus, dass Schweregrad, betroffene Systeme und potenzielle Kundenwirkung bereits klassifiziert sind, während der Vorfall noch läuft. Die Klassifizierung selbst richtet sich nach Schwellenwerten wie Zahl der betroffenen Kunden, Dauer des Ausfalls, geografische Ausbreitung und Datenverluste. Wer diese Schwellen nicht automatisiert misst, verpasst die Frist. Die folgende Tabelle fasst den Ablauf zusammen.
| Stufe | Auslöser | Frist | Inhalt |
|---|---|---|---|
| Klassifizierung | Erkennung des Vorfalls | laufend | Prüfung gegen Schwellenwerte (Kunden, Dauer, Datenverlust) |
| Erstmeldung | Einstufung als schwerwiegend | 4 Std. (max. 24 Std. nach Bekanntwerden) | Erste Benachrichtigung der zuständigen Behörde |
| Zwischenmeldung | Nach Erstmeldung | 72 Stunden | Statusaktualisierung, betroffene Dienste, Maßnahmen |
| Aktualisierung | Wesentliche Statusänderung | unverzüglich | Neue Erkenntnisse, geänderte Auswirkungen |
| Abschlussmeldung | Abschluss der Ursachenanalyse | 1 Monat nach Erstmeldung | Root-Cause-Analyse, Schadenshöhe, Abhilfemaßnahmen |
Aufsicht über kritische IKT-Drittdienstleister (CTPP)
Die wohl folgenreichste Neuerung der DORA-Verordnung betrifft nicht die Banken selbst, sondern ihre Lieferanten. Erstmals unterstellt die EU bestimmte IKT-Drittdienstleister direkt der europäischen Aufsicht. Die drei europäischen Aufsichtsbehörden (EBA für Banken, ESMA für Wertpapiermärkte, EIOPA für Versicherer) benennen kritische IKT-Drittdienstleister, sogenannte Critical ICT Third-Party Providers oder CTPP. Für jeden benannten Anbieter übernimmt eine der drei Behörden die Rolle des Lead Overseer.
Das Ziel ist die Eindämmung des Konzentrationsrisikos. Ein großer Teil des europäischen Finanzsektors stützt sich auf eine Handvoll Hyperscaler für Cloud-Infrastruktur. Fällt einer aus oder wird kompromittiert, sind hunderte Institute gleichzeitig betroffen. Der Aufbau der CTPP-Aufsicht läuft seit 2025 und ist ein zentrales Thema des Jahres 2026. Die genaue Zahl der benannten Anbieter und der exakte Stichtag der ersten Benennungswelle waren zum Redaktionsschluss noch nicht abschließend öffentlich bestätigt. Klar ist die Stoßrichtung: Cloud-Riesen wie die großen US-Anbieter geraten erstmals unter den direkten Blick einer EU-Finanzaufsicht, ohne selbst Bank zu sein.
Strafen: bis zu 1 Prozent des Tagesumsatzes
Die DORA-Verordnung verzichtet auf den aus der DSGVO bekannten prozentualen Jahresumsatz-Bußgeldrahmen für Finanzunternehmen und überlässt die Sanktionierung der Institute weitgehend den nationalen Behörden. Für die kritischen Drittdienstleister jedoch schafft DORA ein eigenes scharfes Instrument. Der Lead Overseer kann gegen einen CTPP Zwangsgelder verhängen, die bis zu 1 Prozent des durchschnittlichen weltweiten Tagesumsatzes des Anbieters betragen. Diese Zwangsgelder können täglich anfallen, und zwar für einen Zeitraum von bis zu sechs Monaten.
Die Rechnung ist drastisch. Bei einem Cloud-Anbieter mit einem weltweiten Jahresumsatz im dreistelligen Milliardenbereich entspricht 1 Prozent des Tagesumsatzes mehreren Millionen Euro pro Tag. Über sechs Monate summiert sich das zu Beträgen, die selbst für die größten Technologiekonzerne spürbar sind. Damit verschiebt die DORA-Verordnung das Machtgefälle: Anbieter, die bislang Verträge weitgehend zu ihren Bedingungen diktierten, müssen Auditrechte, Exit-Klauseln und Standortgarantien akzeptieren. Für Finanzunternehmen selbst drohen je nach nationalem Recht Anordnungen, Geldbußen und im Extremfall Einschränkungen der Geschäftstätigkeit.
Threat-Led Penetration Testing (TLPT) und TIBER-EU
Die dritte Säule der DORA-Verordnung verlangt regelmäßiges Testen der Resilienz. Für die größten und systemrelevantesten Finanzunternehmen geht das über übliche Schwachstellenscans hinaus. Sie müssen bedrohungsgeleitete Penetrationstests durchführen, das Threat-Led Penetration Testing oder TLPT. Diese Tests simulieren reale Angreifer auf produktiven Systemen und orientieren sich am bewährten europäischen Rahmenwerk TIBER-EU. Die DORA-Verordnung schreibt TLPT mindestens alle drei Jahre vor.
TLPT ist anspruchsvoll und teuer. Ein vollständiger Test bindet über Monate hinweg ein spezialisiertes Red Team, ein internes Blue Team und externe Threat-Intelligence-Anbieter. Die Tests laufen auf den echten Produktivsystemen, nicht in der Sandbox, was das Risiko und die Kosten erhöht. Für deutsche Großbanken, Börsen und zentrale Marktinfrastrukturen bedeutet das eine wiederkehrende Belastung erfahrener Sicherheitsteams. Wer mehr über die Grundlagen solcher Angriffe wissen will, findet im Beitrag zu Datenlecks die typischen Angriffswege, die ein Red Team nachstellt.
Das Informationsregister: Frist 30. April 2025
Eine der ersten harten Fristen der DORA-Verordnung war das Informationsregister. Jedes Finanzunternehmen muss ein vollständiges Register aller vertraglichen Vereinbarungen über die Nutzung von IKT-Diensten führen. Dieses Register erfasst jeden Dienstleister, jede Funktion und jede Abhängigkeit. Die zuständigen nationalen Behörden mussten die von den Instituten gesammelten Register bis zum 30. April 2025 an die europäischen Aufsichtsbehörden übermitteln.
Für viele Häuser war das Register die unangenehmste Übung der gesamten Umsetzung. Es zwang sie, erstmals jede Software, jeden Cloud-Dienst und jeden Subunternehmer lückenlos zu inventarisieren, inklusive der Weiterverlagerungen tief in die Lieferkette. Schatten-IT und unkontrollierte SaaS-Abonnements traten dabei zutage. Das Register ist kein einmaliges Dokument, sondern muss laufend gepflegt werden. Es bildet die Datengrundlage, auf der die Aufsicht das Konzentrationsrisiko über den gesamten Sektor hinweg analysiert.
DORA in Deutschland: BaFin, FinmadiG und das Ende von BAIT
In Deutschland ist die BaFin die zuständige Aufsichtsbehörde für die DORA-Verordnung, in enger Zusammenarbeit mit der Deutschen Bundesbank. Da DORA als Verordnung direkt gilt, brauchte Deutschland kein Umsetzungsgesetz für die Inhalte selbst, wohl aber ein begleitendes Gesetz für Zuständigkeiten und Befugnisse. Dieses Gerüst lieferte das Finanzmarktdigitalisierungsgesetz (FinmadiG), das die nationalen Aufsichtsbefugnisse an die DORA-Verordnung anpasst und seit Anfang 2025 greift.
Für die Praxis bedeutet DORA in Deutschland eine Konsolidierung. Die Verordnung ersetzt die bisherigen aufsichtlichen Anforderungen der BaFin an die IT, namentlich die Rundschreiben BAIT für Banken, VAIT für Versicherer, KAIT für Kapitalverwaltungsgesellschaften und ZAIT für Zahlungsinstitute. Was zuvor in vier separaten nationalen Regelwerken stand, geht nun in einem einheitlichen europäischen Rahmen auf. Das verringert Doppelarbeit, erhöht aber die Eingriffstiefe, weil DORA verbindlicher formuliert ist und mit der CTPP-Aufsicht ein Instrument mitbringt, das die alten Rundschreiben nicht kannten.
DORA im Vergleich: NIS2, CRA und der DSGVO-Kontext
Die DORA-Verordnung steht nicht allein. Sie ist Teil einer Welle europäischer Cyberregulierung, die sich teils überschneidet, teils ergänzt. DORA gilt sektorspezifisch für die Finanzwelt und genießt dort Vorrang als Lex specialis. Die NIS2-Richtlinie zielt breiter auf kritische und wichtige Einrichtungen quer durch die Wirtschaft, und der Cyber Resilience Act reguliert nicht Organisationen, sondern Produkte mit digitalen Elementen. Die folgende Tabelle ordnet die wichtigsten Rahmenwerke ein.
| Rahmenwerk | Typ | Anwendung seit / ab | Adressaten | Maximale Sanktion |
|---|---|---|---|---|
| DORA | EU-Verordnung 2022/2554 | 17. Januar 2025 | ca. 22.000 Finanzunternehmen und IKT-Dienstleister | CTPP: Zwangsgeld bis 1 % Tagesumsatz (bis 6 Monate) |
| NIS2 | EU-Richtlinie 2022/2555 | nationale Umsetzung in DE noch ausstehend | ca. 29.500 Firmen in Deutschland | bis 10 Mio. € oder 2 % Jahresumsatz |
| Cyber Resilience Act | EU-Verordnung 2024/2847 | Meldepflichten ab 11.09.2026, voll ab 11.12.2027 | Hersteller von Produkten mit digitalen Elementen | bis 15 Mio. € oder 2,5 % Jahresumsatz |
| DSGVO | EU-Verordnung 2016/679 | 25. Mai 2018 | alle Verarbeiter personenbezogener Daten | bis 20 Mio. € oder 4 % Jahresumsatz |
| BSIG / KRITIS | nationale Infrastrukturregeln | seit 2016 fortlaufend | Betreiber kritischer Infrastrukturen | nationale Bußgelder, BSI-Anordnungen |
Die Überschneidungen sind real. Eine deutsche Großbank kann zugleich unter DORA (als Finanzunternehmen), unter die DSGVO (für Kundendaten) und perspektivisch unter Produktregeln fallen, wenn sie eigene digitale Produkte vertreibt. DORA setzt dabei den finanzspezifischen Maßstab und verdrängt im Konfliktfall die allgemeineren Vorgaben.
Marktwirkung: Was DORA Banken und Cloud-Anbieter kostet
Die DORA-Verordnung verschiebt Budgets. Compliance-, Risiko- und Sicherheitsabteilungen wachsen, während Beratungshäuser, Auditfirmen und Anbieter von GRC-Software (Governance, Risk, Compliance) profitieren. Der größte Kostentreiber ist nicht die Technik, sondern die Vertragsarbeit. Tausende bestehende IKT-Verträge mussten nachverhandelt werden, um die von DORA geforderten Klauseln zu Auditrechten, Datenstandorten, Unterbeauftragung und geordnetem Ausstieg aufzunehmen.
Auf der Anbieterseite reagieren die großen Cloud-Konzerne mit eigenen DORA-Programmen, Standardvertragspaketen und EU-Souveränitätsangeboten, also Cloud-Regionen mit Datenhaltung und Betrieb innerhalb Europas. Das Konzentrationsrisiko bleibt dennoch bestehen, weil die Auswahl an Anbietern mit ausreichender Skalierung klein ist. Mittelfristig dürfte DORA die Verhandlungsmacht der Finanzbranche gegenüber den Hyperscalern stärken und gleichzeitig europäischen Cloud- und Sicherheitsanbietern Auftrieb geben. Wer die Bedrohungslage hinter dieser Regulierung verstehen will, findet im BSI-Lagebericht die Zahlen, die den politischen Druck erklären.
Stimmen aus Aufsicht und Branche
Die europäische Aufsicht formuliert das Ziel der DORA-Verordnung nüchtern. Nach der offiziellen Darstellung der EIOPA soll DORA sicherstellen, dass Banken, Versicherer, Wertpapierfirmen und andere Finanzunternehmen IKT-bedingte Störungen aushalten, auf sie reagieren und sich von ihnen erholen können. Resilienz, nicht bloße Abwehr, ist der Leitgedanke. Die Verordnung akzeptiert, dass Vorfälle passieren, und verlangt nachweisbare Fähigkeit zur Wiederherstellung.
Die BaFin betont in ihrer aufsichtlichen Kommunikation, dass DORA die bisherigen IT-Rundschreiben ablöst und einen einheitlichen, verbindlichen Rahmen schafft. BaFin-Präsident Mark Branson hat die digitale operationale Resilienz wiederholt als Schwerpunkt der Aufsicht benannt, weil die Abhängigkeit von wenigen Technologieanbietern ein Systemrisiko darstellt. Aus Sicht von Branchenverbänden wie Bitkom überwiegt grundsätzlich die Zustimmung zu einem harmonisierten europäischen Rahmen, verbunden mit der Mahnung, den bürokratischen Aufwand, insbesondere das Informationsregister und die Vertragsnachverhandlungen, für kleinere Institute beherrschbar zu halten. Diese Spannung zwischen Harmonisierung und Aufwand prägt die gesamte Debatte.
Historischer Kontext: Von TIBER-EU zu DORA
Die DORA-Verordnung fiel nicht vom Himmel. Sie ist die Antwort auf eine Reihe von Weckrufen. Der Diebstahl von 81 Millionen US-Dollar bei der Zentralbank von Bangladesch im Jahr 2016 über das SWIFT-Netz zeigte, wie verwundbar die Infrastruktur des Finanzsystems ist. Spätere Ausfälle bei Cloud-Anbietern legten ganze Dienstleistungsketten lahm. Die europäische Antwort begann früh: Bereits 2018 führte die Europäische Zentralbank das Rahmenwerk TIBER-EU für bedrohungsgeleitete Tests ein, das DORA heute als Vorbild dient.
In Deutschland regelten zuvor die BaFin-Rundschreiben BAIT, VAIT, KAIT und ZAIT die IT-Sicherheit der einzelnen Finanzsektoren, jeweils getrennt und national. Diese Zersplitterung erschwerte die grenzüberschreitende Aufsicht. DORA bündelt diese Stränge erstmals zu einem einheitlichen, unmittelbar geltenden europäischen Standard. Die historische Linie ist klar: von freiwilligen Empfehlungen über nationale Rundschreiben hin zu einer verbindlichen EU-Verordnung mit Durchgriff bis auf die Cloud-Lieferanten.
Konzentrationsrisiko: Warum die Cloud das Kernproblem bleibt
Hinter dem gesamten DORA-Rahmen steht ein einziges, hartnäckiges Problem: das Konzentrationsrisiko. Der europäische Finanzsektor hat seine Kernsysteme in den vergangenen Jahren massiv in die Cloud verlagert, und diese Cloud gehört im Wesentlichen drei US-Anbietern. Wenn tausende Institute denselben Speicher, dieselbe Rechenleistung und dieselben Identitätsdienste nutzen, dann ist ein einzelner Anbieterausfall kein lokales Problem mehr, sondern ein potenzieller Schock für das gesamte System. Genau dieses Szenario will die DORA-Verordnung beherrschbar machen.
Die Werkzeuge dafür sind klar verteilt. Das Informationsregister macht die Abhängigkeiten überhaupt erst sichtbar, die CTPP-Aufsicht greift bei den größten Anbietern direkt durch, und die Anforderungen an Exit-Strategien zwingen Banken, einen Plan für den Anbieterwechsel zu haben, bevor die Not eintritt. In der Praxis ist gerade die Exit-Fähigkeit die schwierigste Übung. Ein in tiefe Cloud-Dienste integriertes Kernbankensystem lässt sich nicht in wenigen Wochen migrieren. DORA verlangt deshalb keine sofortige Unabhängigkeit, sondern nachweisbare Vorsorge: dokumentierte Ausstiegspläne, getestete Alternativen und realistische Übergangsfristen. Für die DACH-Region, in der Datenschutz und digitale Souveränität ohnehin politisch aufgeladen sind, fällt diese Debatte auf besonders fruchtbaren Boden.
Fünf Prognosen für DORA 2026 und 2027
Erstens: 2026 wird das Jahr der ersten formellen CTPP-Benennungen. Sobald die europäischen Aufsichtsbehörden die ersten kritischen IKT-Drittdienstleister benennen, beginnt die direkte EU-Aufsicht über Cloud-Riesen, samt Aufsichtsgebühren und Prüfprogrammen.
Zweitens: Die ersten aufsichtlichen Maßnahmen gegen säumige Finanzunternehmen sind 2026 und 2027 zu erwarten. Nach der Aufbauphase verschiebt sich der Fokus der BaFin von Beratung zu Prüfung und Durchsetzung. Verstöße gegen die Meldefristen dürften die ersten sichtbaren Fälle liefern.
Drittens: Die Nachfrage nach TLPT-Dienstleistungen und Red-Team-Spezialisten steigt deutlich, während qualifizierte Tester knapp bleiben. Das treibt die Kosten und verlängert die Wartezeiten für die alle drei Jahre fälligen Tests.
Viertens: Europäische Souveränitäts-Cloud-Angebote gewinnen an Boden. Banken und Versicherer suchen Alternativen zur Abhängigkeit von wenigen US-Hyperscalern, auch um das Konzentrationsrisiko aktiv zu senken.
Fünftens: DORA wird zum De-facto-Exportstandard. Wie schon bei der DSGVO orientieren sich Anbieter weltweit an den europäischen Vorgaben, weil sie den EU-Finanzmarkt bedienen wollen. Der DORA-konforme Vertrag wird zur Standardvorlage auch außerhalb Europas.
Häufige Fragen zur DORA-Verordnung
Seit wann gilt die DORA-Verordnung?
Die DORA-Verordnung (Regulation (EU) 2022/2554) trat am 16. Januar 2023 in Kraft und ist nach einer Übergangsfrist von 24 Monaten seit dem 17. Januar 2025 unmittelbar anwendbar. Seitdem müssen betroffene Finanzunternehmen die Anforderungen vollständig erfüllen.
Wer fällt unter DORA?
DORA gilt für rund 20 Typen von Finanzunternehmen, darunter Banken, Versicherer, Zahlungs- und E-Geld-Institute, Wertpapierfirmen, Vermögensverwalter, Handelsplätze und Krypto-Dienstleister. Branchenschätzungen sprechen von mehr als 22.000 betroffenen Finanzunternehmen und IKT-Dienstleistern in der EU. Zusätzlich erfasst die Verordnung kritische IKT-Drittdienstleister.
Welche Meldefristen schreibt DORA vor?
Bei schwerwiegenden IKT-Vorfällen gilt eine Erstmeldung innerhalb von 4 Stunden nach Einstufung (spätestens 24 Stunden nach Bekanntwerden), eine Zwischenmeldung binnen 72 Stunden und eine Abschlussmeldung spätestens einen Monat nach der Erstmeldung.
Wie hoch sind die Strafen unter DORA?
Für kritische IKT-Drittdienstleister kann der zuständige Lead Overseer Zwangsgelder von bis zu 1 Prozent des durchschnittlichen weltweiten Tagesumsatzes verhängen, und zwar für einen Zeitraum von bis zu sechs Monaten. Sanktionen gegen Finanzunternehmen selbst richten sich nach dem jeweiligen nationalen Recht.
Wer beaufsichtigt DORA in Deutschland?
In Deutschland ist die BaFin die zuständige Aufsichtsbehörde, unterstützt von der Deutschen Bundesbank. Die nationalen Befugnisse regelt das Finanzmarktdigitalisierungsgesetz (FinmadiG). DORA ersetzt die bisherigen BaFin-Rundschreiben BAIT, VAIT, KAIT und ZAIT.
Was unterscheidet DORA von NIS2?
DORA ist eine sektorspezifische EU-Verordnung für die Finanzwelt und gilt dort unmittelbar als Lex specialis. NIS2 ist eine breitere Richtlinie für kritische und wichtige Einrichtungen quer durch die Wirtschaft, die noch in nationales Recht umgesetzt werden muss. Für Finanzunternehmen hat DORA Vorrang.
Verwandte Beiträge
- NIS2 Deutschland: 29.500 Firmen, 10 Mio € Strafe [2026]
- Cyber Resilience Act: 90 Tage bis zur Meldepflicht [2026]
- BSI Lagebericht: 280.000 Schadprogramme/Tag [2026]
- Cyberschäden DE: 289 Mrd € Rekord [2026]
- Akira Ransomware: 1.400 Opfer, 244 Mio $ [2026]
- Online-Sicherheit verständlich erklärt
