DORA gilt: Was die EU-Verordnung für Finanzdienstleister und Zulieferer heißt

Was ist DORA – und seit wann gilt sie?

DORA steht für Digital Operational Resilience Act, übersetzt: Verordnung über die digitale operationale Widerstandsfähigkeit. Sie gilt seit dem 17. Januar 2025 EU-weit unmittelbar – ohne dass ein nationales Gesetz nötig wäre.

Ziel ist, dass der Finanzsektor auch bei IT-Störungen, Cyberangriffen und Ausfällen handlungsfähig bleibt. DORA bündelt und verschärft Anforderungen, die vorher über viele Einzelregelungen verteilt waren – zu einem einheitlichen, strengen Rahmen.

Betroffen ist ein breites Feld: Banken, Versicherungen, Zahlungsdienstleister, Wertpapierfirmen, Krypto-Anbieter und mehr. Anders als NIS2 ist DORA also sektorspezifisch, dafür innerhalb des Finanzsektors sehr umfassend.

Was verlangt DORA von Finanzunternehmen?

DORA ruht auf mehreren Säulen. Im Kern müssen betroffene Unternehmen:

• ein umfassendes IKT-Risikomanagement aufbauen und dokumentieren,
• schwerwiegende IT-Vorfälle melden – nach klar definierten Fristen und Schwellen,
• ihre Widerstandsfähigkeit regelmäßig testen, bis hin zu fortgeschrittenen Penetrationstests,
• und das Risiko durch Drittdienstleister aktiv steuern.

Gerade der letzte Punkt macht DORA über den Finanzsektor hinaus relevant – denn er zieht die IT-Lieferkette mit hinein.

Warum betrifft DORA auch IT-Dienstleister?

Weil Finanzunternehmen für ihre Drittdienstleister geradestehen müssen. DORA verlangt, dass sie Verträge, Sicherheitsniveau und Notfallfähigkeit ihrer IT-Partner prüfen und vertraglich absichern. Das reicht bis zu Prüf- und Auditrechten.

Für IT-Dienstleister, Software-Anbieter und Cloud-Provider, die den Finanzsektor beliefern, heißt das: Sie müssen ihre eigene IT-Sicherheit nachweisbar belegen – sonst werden sie zum Risiko für den Kunden und fallen aus der Lieferkette.

Wer also für Banken, Versicherungen oder Zahlungsdienstleister arbeitet, sollte seine Dokumentation, Notfallpläne und Sicherheitsmaßnahmen jetzt vorzeigbar machen.

Was sollten betroffene Unternehmen jetzt tun?

DORA gilt bereits – Abwarten ist also keine Option mehr. Sinnvolle erste Schritte:

• Betroffenheit klären: Bin ich direkt (Finanzunternehmen) oder indirekt (Zulieferer) betroffen?
• Lücken erkennen: Wo erfüllt meine IT-Sicherheit die Anforderungen noch nicht?
• Belege schaffen: Konzepte, Notfallpläne und Tests dokumentieren – Sicherheit muss prüfbar sein.

Vieles davon zahlt auf ein solides IT-Sicherheitskonzept ein, das ohnehin sinnvoll ist – DORA macht es zur Pflicht.

Wie unterstützt implec bei DORA?

Wir helfen Ihnen, die Anforderungen vom Kopf auf die Füße zu stellen: erst klären, ob und wie Sie betroffen sind, dann eine ehrliche Bestandsaufnahme, dann ein priorisierter Fahrplan – verständlich, ohne Paragrafendickicht.

Als Ihr IT-Partner sorgen wir zudem dafür, dass unser eigener Beitrag zur Lieferkette belegbar sicher ist: dokumentierte Prozesse, kontrollierte Zugriffe, geprobte Notfallpläne. So bestehen Sie auch das Audit Ihrer Auftraggeber.

Sie liefern dem Finanzsektor zu und wissen nicht, wo Sie stehen? Lassen Sie uns das gemeinsam prüfen.