{"id":137,"date":"2026-06-15T04:17:38","date_gmt":"2026-06-15T04:17:38","guid":{"rendered":"https:\/\/shattered.io\/de\/2026\/06\/15\/dora-verordnung\/"},"modified":"2026-06-15T04:17:38","modified_gmt":"2026-06-15T04:17:38","slug":"dora-verordnung","status":"publish","type":"post","link":"https:\/\/shattered.io\/de\/2026\/06\/15\/dora-verordnung\/","title":{"rendered":"DORA-Verordnung: 22.000 Firmen, 1 % Strafe [2026]"},"content":{"rendered":"\n

Seit dem 17. Januar 2025 gilt die DORA-Verordnung<\/strong> (Digital Operational Resilience Act) unmittelbar in allen EU-Mitgliedstaaten. Damit endete f\u00fcr Banken, Versicherer, Zahlungsdienstleister und Krypto-Verwahrer die jahrelange Vorbereitungsphase. Im Sommer 2026 verschiebt sich der Schwerpunkt: Aus reiner Dokumentationspflicht wird aktive Aufsicht. Die europ\u00e4ischen Aufsichtsbeh\u00f6rden bauen die \u00dcberwachung kritischer IKT-Drittdienstleister auf, die BaFin pr\u00fcft erste Meldeprozesse, und die Frist f\u00fcr das Informationsregister (30. April 2025) liegt bereits ein Jahr zur\u00fcck. Wer DORA bislang als Projekt behandelt hat, steht nun unter laufender Beobachtung.<\/p>\n\n\n\n

Dieser Beitrag ordnet die DORA-Verordnung mit belastbaren Zahlen ein: die f\u00fcnf S\u00e4ulen, die versch\u00e4rften Meldefristen von 4, 72 und 720 Stunden, das Sanktionsregime von bis zu 1 Prozent des Tagesumsatzes, die Rolle der BaFin sowie ein Vergleich mit NIS2<\/a> und dem Cyber Resilience Act<\/a>. Ziel ist eine Analyse, keine Werbebrosch\u00fcre.<\/p>\n\n\n\n

DORA-Verordnung: Was Regulation (EU) 2022\/2554 vorschreibt<\/h2>\n\n\n\n

Die DORA-Verordnung tr\u00e4gt den offiziellen Titel Regulation (EU) 2022\/2554. Das Europ\u00e4ische Parlament und der Rat verabschiedeten den Text im Dezember 2022, in Kraft trat er am 16. Januar 2023. Die eigentliche Anwendungspflicht begann jedoch erst nach einer \u00dcbergangsfrist von 24 Monaten, am 17. Januar 2025. Anders als eine Richtlinie wirkt eine Verordnung direkt. Die DORA-Verordnung musste also nicht erst in 27 nationale Gesetze \u00fcbersetzt werden, sondern entfaltet \u00fcberall in der EU denselben Wortlaut.<\/p>\n\n\n\n

Der Kern der DORA-Verordnung ruht auf f\u00fcnf S\u00e4ulen. Erstens das IKT-Risikomanagement, das Governance, Schutz, Erkennung und Wiederherstellung umfasst. Zweitens die Meldung schwerwiegender IKT-Vorf\u00e4lle an die zust\u00e4ndige Beh\u00f6rde. Drittens das Testen der digitalen operationalen Resilienz, von Schwachstellenscans bis zu bedrohungsgeleiteten Penetrationstests. Viertens das Management des IKT-Drittparteienrisikos, also der Abh\u00e4ngigkeit von Cloud- und Softwareanbietern. F\u00fcnftens der freiwillige Austausch von Informationen \u00fcber Cyberbedrohungen zwischen Finanzunternehmen. Diese f\u00fcnf S\u00e4ulen greifen ineinander. Ein Institut kann die Meldepflicht nur erf\u00fcllen, wenn es Vorf\u00e4lle \u00fcberhaupt erkennt, und es kann Drittparteienrisiken nur steuern, wenn es seine Dienstleister vollst\u00e4ndig kennt.<\/p>\n\n\n\n

Wer betroffen ist: \u00fcber 22.000 Finanzunternehmen<\/h2>\n\n\n\n

Die DORA-Verordnung adressiert nach Angaben der europ\u00e4ischen Versicherungsaufsicht EIOPA 20 verschiedene Typen von Finanzunternehmen. Dazu z\u00e4hlen Kreditinstitute, Zahlungs- und E-Geld-Institute, Wertpapierfirmen, Versicherer und R\u00fcckversicherer, Verm\u00f6gensverwalter, Handelspl\u00e4tze, Ratingagenturen sowie Anbieter von Krypto-Dienstleistungen. Branchensch\u00e4tzungen, etwa der Beratungsgesellschaft Kroll, gehen von mehr als 22.000 betroffenen Finanzunternehmen und IKT-Dienstleistern im EU-Binnenmarkt aus. Das ist eine ungew\u00f6hnlich breite Reichweite f\u00fcr ein einzelnes Finanzmarktgesetz.<\/p>\n\n\n\n

F\u00fcr den DACH-Raum bedeutet das eine erhebliche Last. Deutschland z\u00e4hlt zu den gr\u00f6\u00dften Finanzpl\u00e4tzen der EU, mit Frankfurt als Sitz der Europ\u00e4ischen Zentralbank. Tausende deutsche Genossenschaftsbanken, Sparkassen, Privatbanken, Versicherer und FinTechs fallen unter die DORA-Verordnung. Auch kleinere Akteure entkommen nicht: DORA kennt zwar ein Proportionalit\u00e4tsprinzip, das den Aufwand an Gr\u00f6\u00dfe und Risikoprofil koppelt, doch eine vollst\u00e4ndige Befreiung gibt es f\u00fcr regulierte Finanzunternehmen praktisch nicht. Kleinstunternehmen und bestimmte Kleinstinstitute profitieren von einem vereinfachten Rahmen, bleiben aber meldepflichtig.<\/p>\n\n\n\n

Die versch\u00e4rften Meldefristen: 4, 72 und 720 Stunden<\/h2>\n\n\n\n

Das sch\u00e4rfste operative Element der DORA-Verordnung ist die Meldepflicht f\u00fcr schwerwiegende IKT-Vorf\u00e4lle. Artikel 19 DORA, konkretisiert durch die Delegierte Verordnung (EU) 2025\/301, schreibt einen dreistufigen Prozess vor. Sobald ein Institut einen Vorfall als schwerwiegend einstuft, l\u00e4uft die Uhr. Die Erstmeldung muss innerhalb von 4 Stunden nach der Einstufung erfolgen, sp\u00e4testens jedoch 24 Stunden nach Bekanntwerden des Vorfalls. Die Zwischenmeldung folgt binnen 72 Stunden, die Abschlussmeldung sp\u00e4testens einen Monat nach der Erstmeldung.<\/p>\n\n\n\n

Diese Taktung zwingt Banken zu einer Reaktionsf\u00e4higkeit, die viele bislang nicht hatten. Eine Erstmeldung in 4 Stunden setzt voraus, dass Schweregrad, betroffene Systeme und potenzielle Kundenwirkung bereits klassifiziert sind, w\u00e4hrend der Vorfall noch l\u00e4uft. Die Klassifizierung selbst richtet sich nach Schwellenwerten wie Zahl der betroffenen Kunden, Dauer des Ausfalls, geografische Ausbreitung und Datenverluste. Wer diese Schwellen nicht automatisiert misst, verpasst die Frist. Die folgende Tabelle fasst den Ablauf zusammen.<\/p>\n\n\n\n

Stufe<\/th>Ausl\u00f6ser<\/th>Frist<\/th>Inhalt<\/th><\/tr><\/thead>
Klassifizierung<\/td>Erkennung des Vorfalls<\/td>laufend<\/td>Pr\u00fcfung gegen Schwellenwerte (Kunden, Dauer, Datenverlust)<\/td><\/tr>
Erstmeldung<\/td>Einstufung als schwerwiegend<\/td>4 Std. (max. 24 Std. nach Bekanntwerden)<\/td>Erste Benachrichtigung der zust\u00e4ndigen Beh\u00f6rde<\/td><\/tr>
Zwischenmeldung<\/td>Nach Erstmeldung<\/td>72 Stunden<\/td>Statusaktualisierung, betroffene Dienste, Ma\u00dfnahmen<\/td><\/tr>
Aktualisierung<\/td>Wesentliche Status\u00e4nderung<\/td>unverz\u00fcglich<\/td>Neue Erkenntnisse, ge\u00e4nderte Auswirkungen<\/td><\/tr>
Abschlussmeldung<\/td>Abschluss der Ursachenanalyse<\/td>1 Monat nach Erstmeldung<\/td>Root-Cause-Analyse, Schadensh\u00f6he, Abhilfema\u00dfnahmen<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Aufsicht \u00fcber kritische IKT-Drittdienstleister (CTPP)<\/h2>\n\n\n\n

Die wohl folgenreichste Neuerung der DORA-Verordnung betrifft nicht die Banken selbst, sondern ihre Lieferanten. Erstmals unterstellt die EU bestimmte IKT-Drittdienstleister direkt der europ\u00e4ischen Aufsicht. Die drei europ\u00e4ischen Aufsichtsbeh\u00f6rden (EBA f\u00fcr Banken, ESMA f\u00fcr Wertpapierm\u00e4rkte, EIOPA f\u00fcr Versicherer) benennen kritische IKT-Drittdienstleister, sogenannte Critical ICT Third-Party Providers oder CTPP. F\u00fcr jeden benannten Anbieter \u00fcbernimmt eine der drei Beh\u00f6rden die Rolle des Lead Overseer.<\/p>\n\n\n\n

Das Ziel ist die Eind\u00e4mmung des Konzentrationsrisikos. Ein gro\u00dfer Teil des europ\u00e4ischen Finanzsektors st\u00fctzt sich auf eine Handvoll Hyperscaler f\u00fcr Cloud-Infrastruktur. F\u00e4llt einer aus oder wird kompromittiert, sind hunderte Institute gleichzeitig betroffen. Der Aufbau der CTPP-Aufsicht l\u00e4uft seit 2025 und ist ein zentrales Thema des Jahres 2026. Die genaue Zahl der benannten Anbieter und der exakte Stichtag der ersten Benennungswelle waren zum Redaktionsschluss noch nicht abschlie\u00dfend \u00f6ffentlich best\u00e4tigt. Klar ist die Sto\u00dfrichtung: Cloud-Riesen wie die gro\u00dfen US-Anbieter geraten erstmals unter den direkten Blick einer EU-Finanzaufsicht, ohne selbst Bank zu sein.<\/p>\n\n\n\n

Strafen: bis zu 1 Prozent des Tagesumsatzes<\/h2>\n\n\n\n

Die DORA-Verordnung verzichtet auf den aus der DSGVO bekannten prozentualen Jahresumsatz-Bu\u00dfgeldrahmen f\u00fcr Finanzunternehmen und \u00fcberl\u00e4sst die Sanktionierung der Institute weitgehend den nationalen Beh\u00f6rden. F\u00fcr die kritischen Drittdienstleister jedoch schafft DORA ein eigenes scharfes Instrument. Der Lead Overseer kann gegen einen CTPP Zwangsgelder verh\u00e4ngen, die bis zu 1 Prozent des durchschnittlichen weltweiten Tagesumsatzes des Anbieters betragen. Diese Zwangsgelder k\u00f6nnen t\u00e4glich anfallen, und zwar f\u00fcr einen Zeitraum von bis zu sechs Monaten.<\/p>\n\n\n\n

Die Rechnung ist drastisch. Bei einem Cloud-Anbieter mit einem weltweiten Jahresumsatz im dreistelligen Milliardenbereich entspricht 1 Prozent des Tagesumsatzes mehreren Millionen Euro pro Tag. \u00dcber sechs Monate summiert sich das zu Betr\u00e4gen, die selbst f\u00fcr die gr\u00f6\u00dften Technologiekonzerne sp\u00fcrbar sind. Damit verschiebt die DORA-Verordnung das Machtgef\u00e4lle: Anbieter, die bislang Vertr\u00e4ge weitgehend zu ihren Bedingungen diktierten, m\u00fcssen Auditrechte, Exit-Klauseln und Standortgarantien akzeptieren. F\u00fcr Finanzunternehmen selbst drohen je nach nationalem Recht Anordnungen, Geldbu\u00dfen und im Extremfall Einschr\u00e4nkungen der Gesch\u00e4ftst\u00e4tigkeit.<\/p>\n\n\n\n

Threat-Led Penetration Testing (TLPT) und TIBER-EU<\/h2>\n\n\n\n

Die dritte S\u00e4ule der DORA-Verordnung verlangt regelm\u00e4\u00dfiges Testen der Resilienz. F\u00fcr die gr\u00f6\u00dften und systemrelevantesten Finanzunternehmen geht das \u00fcber \u00fcbliche Schwachstellenscans hinaus. Sie m\u00fcssen bedrohungsgeleitete Penetrationstests durchf\u00fchren, das Threat-Led Penetration Testing oder TLPT. Diese Tests simulieren reale Angreifer auf produktiven Systemen und orientieren sich am bew\u00e4hrten europ\u00e4ischen Rahmenwerk TIBER-EU. Die DORA-Verordnung schreibt TLPT mindestens alle drei Jahre vor.<\/p>\n\n\n\n

TLPT ist anspruchsvoll und teuer. Ein vollst\u00e4ndiger Test bindet \u00fcber Monate hinweg ein spezialisiertes Red Team, ein internes Blue Team und externe Threat-Intelligence-Anbieter. Die Tests laufen auf den echten Produktivsystemen, nicht in der Sandbox, was das Risiko und die Kosten erh\u00f6ht. F\u00fcr deutsche Gro\u00dfbanken, B\u00f6rsen und zentrale Marktinfrastrukturen bedeutet das eine wiederkehrende Belastung erfahrener Sicherheitsteams. Wer mehr \u00fcber die Grundlagen solcher Angriffe wissen will, findet im Beitrag zu Datenlecks<\/a> die typischen Angriffswege, die ein Red Team nachstellt.<\/p>\n\n\n\n

Das Informationsregister: Frist 30. April 2025<\/h2>\n\n\n\n

Eine der ersten harten Fristen der DORA-Verordnung war das Informationsregister. Jedes Finanzunternehmen muss ein vollst\u00e4ndiges Register aller vertraglichen Vereinbarungen \u00fcber die Nutzung von IKT-Diensten f\u00fchren. Dieses Register erfasst jeden Dienstleister, jede Funktion und jede Abh\u00e4ngigkeit. Die zust\u00e4ndigen nationalen Beh\u00f6rden mussten die von den Instituten gesammelten Register bis zum 30. April 2025 an die europ\u00e4ischen Aufsichtsbeh\u00f6rden \u00fcbermitteln.<\/p>\n\n\n\n

F\u00fcr viele H\u00e4user war das Register die unangenehmste \u00dcbung der gesamten Umsetzung. Es zwang sie, erstmals jede Software, jeden Cloud-Dienst und jeden Subunternehmer l\u00fcckenlos zu inventarisieren, inklusive der Weiterverlagerungen tief in die Lieferkette. Schatten-IT und unkontrollierte SaaS-Abonnements traten dabei zutage. Das Register ist kein einmaliges Dokument, sondern muss laufend gepflegt werden. Es bildet die Datengrundlage, auf der die Aufsicht das Konzentrationsrisiko \u00fcber den gesamten Sektor hinweg analysiert.<\/p>\n\n\n\n

DORA in Deutschland: BaFin, FinmadiG und das Ende von BAIT<\/h2>\n\n\n\n

In Deutschland ist die BaFin die zust\u00e4ndige Aufsichtsbeh\u00f6rde f\u00fcr die DORA-Verordnung, in enger Zusammenarbeit mit der Deutschen Bundesbank. Da DORA als Verordnung direkt gilt, brauchte Deutschland kein Umsetzungsgesetz f\u00fcr die Inhalte selbst, wohl aber ein begleitendes Gesetz f\u00fcr Zust\u00e4ndigkeiten und Befugnisse. Dieses Ger\u00fcst lieferte das Finanzmarktdigitalisierungsgesetz (FinmadiG), das die nationalen Aufsichtsbefugnisse an die DORA-Verordnung anpasst und seit Anfang 2025 greift.<\/p>\n\n\n\n

F\u00fcr die Praxis bedeutet DORA in Deutschland eine Konsolidierung. Die Verordnung ersetzt die bisherigen aufsichtlichen Anforderungen der BaFin an die IT, namentlich die Rundschreiben BAIT f\u00fcr Banken, VAIT f\u00fcr Versicherer, KAIT f\u00fcr Kapitalverwaltungsgesellschaften und ZAIT f\u00fcr Zahlungsinstitute. Was zuvor in vier separaten nationalen Regelwerken stand, geht nun in einem einheitlichen europ\u00e4ischen Rahmen auf. Das verringert Doppelarbeit, erh\u00f6ht aber die Eingriffstiefe, weil DORA verbindlicher formuliert ist und mit der CTPP-Aufsicht ein Instrument mitbringt, das die alten Rundschreiben nicht kannten.<\/p>\n\n\n\n

DORA im Vergleich: NIS2, CRA und der DSGVO-Kontext<\/h2>\n\n\n\n

Die DORA-Verordnung steht nicht allein. Sie ist Teil einer Welle europ\u00e4ischer Cyberregulierung, die sich teils \u00fcberschneidet, teils erg\u00e4nzt. DORA gilt sektorspezifisch f\u00fcr die Finanzwelt und genie\u00dft dort Vorrang als Lex specialis. Die NIS2-Richtlinie zielt breiter auf kritische und wichtige Einrichtungen quer durch die Wirtschaft, und der Cyber Resilience Act reguliert nicht Organisationen, sondern Produkte mit digitalen Elementen. Die folgende Tabelle ordnet die wichtigsten Rahmenwerke ein.<\/p>\n\n\n\n

Rahmenwerk<\/th>Typ<\/th>Anwendung seit \/ ab<\/th>Adressaten<\/th>Maximale Sanktion<\/th><\/tr><\/thead>
DORA<\/td>EU-Verordnung 2022\/2554<\/td>17. Januar 2025<\/td>ca. 22.000 Finanzunternehmen und IKT-Dienstleister<\/td>CTPP: Zwangsgeld bis 1 % Tagesumsatz (bis 6 Monate)<\/td><\/tr>
NIS2<\/td>EU-Richtlinie 2022\/2555<\/td>nationale Umsetzung in DE noch ausstehend<\/td>ca. 29.500 Firmen in Deutschland<\/td>bis 10 Mio. \u20ac oder 2 % Jahresumsatz<\/td><\/tr>
Cyber Resilience Act<\/td>EU-Verordnung 2024\/2847<\/td>Meldepflichten ab 11.09.2026, voll ab 11.12.2027<\/td>Hersteller von Produkten mit digitalen Elementen<\/td>bis 15 Mio. \u20ac oder 2,5 % Jahresumsatz<\/td><\/tr>
DSGVO<\/td>EU-Verordnung 2016\/679<\/td>25. Mai 2018<\/td>alle Verarbeiter personenbezogener Daten<\/td>bis 20 Mio. \u20ac oder 4 % Jahresumsatz<\/td><\/tr>
BSIG \/ KRITIS<\/td>nationale Infrastrukturregeln<\/td>seit 2016 fortlaufend<\/td>Betreiber kritischer Infrastrukturen<\/td>nationale Bu\u00dfgelder, BSI-Anordnungen<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Die \u00dcberschneidungen sind real. Eine deutsche Gro\u00dfbank kann zugleich unter DORA (als Finanzunternehmen), unter die DSGVO (f\u00fcr Kundendaten) und perspektivisch unter Produktregeln fallen, wenn sie eigene digitale Produkte vertreibt. DORA setzt dabei den finanzspezifischen Ma\u00dfstab und verdr\u00e4ngt im Konfliktfall die allgemeineren Vorgaben.<\/p>\n\n\n\n

Marktwirkung: Was DORA Banken und Cloud-Anbieter kostet<\/h2>\n\n\n\n

Die DORA-Verordnung verschiebt Budgets. Compliance-, Risiko- und Sicherheitsabteilungen wachsen, w\u00e4hrend Beratungsh\u00e4user, Auditfirmen und Anbieter von GRC-Software (Governance, Risk, Compliance) profitieren. Der gr\u00f6\u00dfte Kostentreiber ist nicht die Technik, sondern die Vertragsarbeit. Tausende bestehende IKT-Vertr\u00e4ge mussten nachverhandelt werden, um die von DORA geforderten Klauseln zu Auditrechten, Datenstandorten, Unterbeauftragung und geordnetem Ausstieg aufzunehmen.<\/p>\n\n\n\n

Auf der Anbieterseite reagieren die gro\u00dfen Cloud-Konzerne mit eigenen DORA-Programmen, Standardvertragspaketen und EU-Souver\u00e4nit\u00e4tsangeboten, also Cloud-Regionen mit Datenhaltung und Betrieb innerhalb Europas. Das Konzentrationsrisiko bleibt dennoch bestehen, weil die Auswahl an Anbietern mit ausreichender Skalierung klein ist. Mittelfristig d\u00fcrfte DORA die Verhandlungsmacht der Finanzbranche gegen\u00fcber den Hyperscalern st\u00e4rken und gleichzeitig europ\u00e4ischen Cloud- und Sicherheitsanbietern Auftrieb geben. Wer die Bedrohungslage hinter dieser Regulierung verstehen will, findet im BSI-Lagebericht<\/a> die Zahlen, die den politischen Druck erkl\u00e4ren.<\/p>\n\n\n\n

Stimmen aus Aufsicht und Branche<\/h2>\n\n\n\n

Die europ\u00e4ische Aufsicht formuliert das Ziel der DORA-Verordnung n\u00fcchtern. Nach der offiziellen Darstellung der EIOPA soll DORA sicherstellen, dass Banken, Versicherer, Wertpapierfirmen und andere Finanzunternehmen IKT-bedingte St\u00f6rungen aushalten, auf sie reagieren und sich von ihnen erholen k\u00f6nnen. Resilienz, nicht blo\u00dfe Abwehr, ist der Leitgedanke. Die Verordnung akzeptiert, dass Vorf\u00e4lle passieren, und verlangt nachweisbare F\u00e4higkeit zur Wiederherstellung.<\/p>\n\n\n\n

Die BaFin betont in ihrer aufsichtlichen Kommunikation, dass DORA die bisherigen IT-Rundschreiben abl\u00f6st und einen einheitlichen, verbindlichen Rahmen schafft. BaFin-Pr\u00e4sident Mark Branson hat die digitale operationale Resilienz wiederholt als Schwerpunkt der Aufsicht benannt, weil die Abh\u00e4ngigkeit von wenigen Technologieanbietern ein Systemrisiko darstellt. Aus Sicht von Branchenverb\u00e4nden wie Bitkom \u00fcberwiegt grunds\u00e4tzlich die Zustimmung zu einem harmonisierten europ\u00e4ischen Rahmen, verbunden mit der Mahnung, den b\u00fcrokratischen Aufwand, insbesondere das Informationsregister und die Vertragsnachverhandlungen, f\u00fcr kleinere Institute beherrschbar zu halten. Diese Spannung zwischen Harmonisierung und Aufwand pr\u00e4gt die gesamte Debatte.<\/p>\n\n\n\n

Historischer Kontext: Von TIBER-EU zu DORA<\/h2>\n\n\n\n

Die DORA-Verordnung fiel nicht vom Himmel. Sie ist die Antwort auf eine Reihe von Weckrufen. Der Diebstahl von 81 Millionen US-Dollar bei der Zentralbank von Bangladesch im Jahr 2016 \u00fcber das SWIFT-Netz zeigte, wie verwundbar die Infrastruktur des Finanzsystems ist. Sp\u00e4tere Ausf\u00e4lle bei Cloud-Anbietern legten ganze Dienstleistungsketten lahm. Die europ\u00e4ische Antwort begann fr\u00fch: Bereits 2018 f\u00fchrte die Europ\u00e4ische Zentralbank das Rahmenwerk TIBER-EU f\u00fcr bedrohungsgeleitete Tests ein, das DORA heute als Vorbild dient.<\/p>\n\n\n\n

In Deutschland regelten zuvor die BaFin-Rundschreiben BAIT, VAIT, KAIT und ZAIT die IT-Sicherheit der einzelnen Finanzsektoren, jeweils getrennt und national. Diese Zersplitterung erschwerte die grenz\u00fcberschreitende Aufsicht. DORA b\u00fcndelt diese Str\u00e4nge erstmals zu einem einheitlichen, unmittelbar geltenden europ\u00e4ischen Standard. Die historische Linie ist klar: von freiwilligen Empfehlungen \u00fcber nationale Rundschreiben hin zu einer verbindlichen EU-Verordnung mit Durchgriff bis auf die Cloud-Lieferanten.<\/p>\n\n\n\n

Konzentrationsrisiko: Warum die Cloud das Kernproblem bleibt<\/h2>\n\n\n\n

Hinter dem gesamten DORA-Rahmen steht ein einziges, hartn\u00e4ckiges Problem: das Konzentrationsrisiko. Der europ\u00e4ische Finanzsektor hat seine Kernsysteme in den vergangenen Jahren massiv in die Cloud verlagert, und diese Cloud geh\u00f6rt im Wesentlichen drei US-Anbietern. Wenn tausende Institute denselben Speicher, dieselbe Rechenleistung und dieselben Identit\u00e4tsdienste nutzen, dann ist ein einzelner Anbieterausfall kein lokales Problem mehr, sondern ein potenzieller Schock f\u00fcr das gesamte System. Genau dieses Szenario will die DORA-Verordnung beherrschbar machen.<\/p>\n\n\n\n

Die Werkzeuge daf\u00fcr sind klar verteilt. Das Informationsregister macht die Abh\u00e4ngigkeiten \u00fcberhaupt erst sichtbar, die CTPP-Aufsicht greift bei den gr\u00f6\u00dften Anbietern direkt durch, und die Anforderungen an Exit-Strategien zwingen Banken, einen Plan f\u00fcr den Anbieterwechsel zu haben, bevor die Not eintritt. In der Praxis ist gerade die Exit-F\u00e4higkeit die schwierigste \u00dcbung. Ein in tiefe Cloud-Dienste integriertes Kernbankensystem l\u00e4sst sich nicht in wenigen Wochen migrieren. DORA verlangt deshalb keine sofortige Unabh\u00e4ngigkeit, sondern nachweisbare Vorsorge: dokumentierte Ausstiegspl\u00e4ne, getestete Alternativen und realistische \u00dcbergangsfristen. F\u00fcr die DACH-Region, in der Datenschutz und digitale Souver\u00e4nit\u00e4t ohnehin politisch aufgeladen sind, f\u00e4llt diese Debatte auf besonders fruchtbaren Boden.<\/p>\n\n\n\n

F\u00fcnf Prognosen f\u00fcr DORA 2026 und 2027<\/h2>\n\n\n\n

Erstens: 2026 wird das Jahr der ersten formellen CTPP-Benennungen. Sobald die europ\u00e4ischen Aufsichtsbeh\u00f6rden die ersten kritischen IKT-Drittdienstleister benennen, beginnt die direkte EU-Aufsicht \u00fcber Cloud-Riesen, samt Aufsichtsgeb\u00fchren und Pr\u00fcfprogrammen.<\/p>\n\n\n\n

Zweitens: Die ersten aufsichtlichen Ma\u00dfnahmen gegen s\u00e4umige Finanzunternehmen sind 2026 und 2027 zu erwarten. Nach der Aufbauphase verschiebt sich der Fokus der BaFin von Beratung zu Pr\u00fcfung und Durchsetzung. Verst\u00f6\u00dfe gegen die Meldefristen d\u00fcrften die ersten sichtbaren F\u00e4lle liefern.<\/p>\n\n\n\n

Drittens: Die Nachfrage nach TLPT-Dienstleistungen und Red-Team-Spezialisten steigt deutlich, w\u00e4hrend qualifizierte Tester knapp bleiben. Das treibt die Kosten und verl\u00e4ngert die Wartezeiten f\u00fcr die alle drei Jahre f\u00e4lligen Tests.<\/p>\n\n\n\n

Viertens: Europ\u00e4ische Souver\u00e4nit\u00e4ts-Cloud-Angebote gewinnen an Boden. Banken und Versicherer suchen Alternativen zur Abh\u00e4ngigkeit von wenigen US-Hyperscalern, auch um das Konzentrationsrisiko aktiv zu senken.<\/p>\n\n\n\n

F\u00fcnftens: DORA wird zum De-facto-Exportstandard. Wie schon bei der DSGVO orientieren sich Anbieter weltweit an den europ\u00e4ischen Vorgaben, weil sie den EU-Finanzmarkt bedienen wollen. Der DORA-konforme Vertrag wird zur Standardvorlage auch au\u00dferhalb Europas.<\/p>\n\n\n\n

H\u00e4ufige Fragen zur DORA-Verordnung<\/h2>\n\n\n\n

Seit wann gilt die DORA-Verordnung?<\/h3>\n\n\n\n

Die DORA-Verordnung (Regulation (EU) 2022\/2554) trat am 16. Januar 2023 in Kraft und ist nach einer \u00dcbergangsfrist von 24 Monaten seit dem 17. Januar 2025 unmittelbar anwendbar. Seitdem m\u00fcssen betroffene Finanzunternehmen die Anforderungen vollst\u00e4ndig erf\u00fcllen.<\/p>\n\n\n\n

Wer f\u00e4llt unter DORA?<\/h3>\n\n\n\n

DORA gilt f\u00fcr rund 20 Typen von Finanzunternehmen, darunter Banken, Versicherer, Zahlungs- und E-Geld-Institute, Wertpapierfirmen, Verm\u00f6gensverwalter, Handelspl\u00e4tze und Krypto-Dienstleister. Branchensch\u00e4tzungen sprechen von mehr als 22.000 betroffenen Finanzunternehmen und IKT-Dienstleistern in der EU. Zus\u00e4tzlich erfasst die Verordnung kritische IKT-Drittdienstleister.<\/p>\n\n\n\n

Welche Meldefristen schreibt DORA vor?<\/h3>\n\n\n\n

Bei schwerwiegenden IKT-Vorf\u00e4llen gilt eine Erstmeldung innerhalb von 4 Stunden nach Einstufung (sp\u00e4testens 24 Stunden nach Bekanntwerden), eine Zwischenmeldung binnen 72 Stunden und eine Abschlussmeldung sp\u00e4testens einen Monat nach der Erstmeldung.<\/p>\n\n\n\n

Wie hoch sind die Strafen unter DORA?<\/h3>\n\n\n\n

F\u00fcr kritische IKT-Drittdienstleister kann der zust\u00e4ndige Lead Overseer Zwangsgelder von bis zu 1 Prozent des durchschnittlichen weltweiten Tagesumsatzes verh\u00e4ngen, und zwar f\u00fcr einen Zeitraum von bis zu sechs Monaten. Sanktionen gegen Finanzunternehmen selbst richten sich nach dem jeweiligen nationalen Recht.<\/p>\n\n\n\n

Wer beaufsichtigt DORA in Deutschland?<\/h3>\n\n\n\n

In Deutschland ist die BaFin die zust\u00e4ndige Aufsichtsbeh\u00f6rde, unterst\u00fctzt von der Deutschen Bundesbank. Die nationalen Befugnisse regelt das Finanzmarktdigitalisierungsgesetz (FinmadiG). DORA ersetzt die bisherigen BaFin-Rundschreiben BAIT, VAIT, KAIT und ZAIT.<\/p>\n\n\n\n

Was unterscheidet DORA von NIS2?<\/h3>\n\n\n\n

DORA ist eine sektorspezifische EU-Verordnung f\u00fcr die Finanzwelt und gilt dort unmittelbar als Lex specialis. NIS2 ist eine breitere Richtlinie f\u00fcr kritische und wichtige Einrichtungen quer durch die Wirtschaft, die noch in nationales Recht umgesetzt werden muss. F\u00fcr Finanzunternehmen hat DORA Vorrang.<\/p>\n\n\n\n

Verwandte Beitr\u00e4ge<\/h3>\n\n\n\n