Das Barrierefreiheitschutz-Gesetz ist jetzt in Kraft. Ist Ihre Webseite konform? Jetzt kostenlos WayWidget & Scanner testen!
AlleAllgemeinNeuesRechtVideos
Recht

DORA EU-Compliance 2025 – Was Sie wissen müssen

string(41) "https://www.consentmanager.net/de/wissen/"

Der seit dem 17. Januar 2025 in Kraft getretene Digital Operational Resilience Act (DORA, EU) ist eine Verordnung der Europäischen Union, die darauf abzielt, Informations- und Kommunikationstechnologie-(IKT-)Risiken im europäischen Finanzsektor zu steuern. Im Folgenden erläutern wir einige zentrale Punkte, die Finanzunternehmen bei der Einhaltung der DORA-Verordnung kennen sollten, sowie wie consentmanager sie dabei unterstützen kann.

Digital Operational Resilience Act (DORA Verordnung) – Überblick

Was ist DORA EU? Eine EU-Verordnung, die standardisierte Regeln festlegt, damit Finanzunternehmen und deren IT-Partner bei technischen Ausfällen oder Cybervorfällen schnell reagieren und sich erholen können.

Wer muss die DORA-Verordnung einhalten? EU-zugelassene Finanzakteure wie Banken, Zahlungsdienstleister, Kreditinstitute, Versicherer, Asset Manager, Investmentfirmen und Krypto-Anbieter sowie deren ICT-Dienstleister (z. B. Cloud-Hosts, Software-Lieferanten).

Datum des Inkrafttretens: 17. Januar 2025

Geltungsbereich: Europäische Union

Die 5 Säulen der DORA Verordnung:

1. Aufbau und Pflege eines ICT-Risikomanagementsystems
2. Meldung und Management von Vorfällen
3. Test der digitalen Resilienz
4. Überwachung von Drittanbieter-Technikanbietern
5. Austausch von Bedrohungsinformationen

Bußgelder: Finanzunternehmen können mit bis zu 2 % des weltweiten Jahresumsatzes belegt werden.

Was ist die DORA Verordnung in der EU?

Der Digital Operational Resilience Act (DORA) ist eine Verordnung der Europäischen Union, die am 17. Januar 2025 in Kraft trat. Sie verpflichtet Finanzinstitute, darunter Banken, Versicherer und Investmentgesellschaften, dazu, starke Abwehrmechanismengegen IT-Störungen, Cyberangriffe und Systemausfälle aufzubauen. Das Ziel besteht darin, harmonisierte Standards für digitale Resilienz EU-weit zu etablieren und somit die Stabilität des Finanzsystems zu gewährleisten – in ähnlicher Weise, wie die DSGVO den Datenschutz vereinheitlichte.

Welche Stellen müssen die DORA Verordnung einhalten?

  • Kreditinstitute, Zahlungsinstitute und E-Geld-Institute
  • Investmentfirmen und Asset Manager
  • Versicherungs- und Rückversicherungsunternehmen
  • Handelsplätze, zentrale Wertpapierverwahrer und zentrale Kontrahenten
  • Krypto-Asset-Dienstleister und Emittenten von Asset-Referenced Tokens
  • ICT-Drittanbieter (z. B. Cloud, Software, Rechenzentren)
  • und weitere, wie in Artikel 2 Abs. 1 der DORA Verordnung EU definiert

Die fünf Säulen der DORA Verordnung und Anforderungen für Finanzunternehmen

Die DORA-Verordnung basiert auf fünf Kerngrundsätzen. Die ersten vier sind verpflichtend, der fünfte – der Informationsaustausch – ist empfohlen, aber freiwillig. Ein Verständnis dieser Säulen ist entscheidend für die Umsetzung der DORA-EU-Compliance.

1. ICT-Risikomanagement-Rahmenwerk

Finanzinstitute müssen:

  • Eine ICT-Risikomanagement-Policy erstellen, abgestimmt auf die Gesamt­risikostrategie
  • Sicherheits­kontrollen, Reaktionspläne und Risikominderungs­maßnahmen definieren
  • Sichere, aktuelle und skalierbare IT-Systeme verwenden
  • Business-Continuity- und Disaster-Recovery-Pläne vorhalten
  • Krisen­kommunikations­verfahren für schwerwiegende Vorfälle vorbereiten

2. Vorfallerkennung & Reporting

Unternehmen müssen:

  • Einen Prozess etablieren, um ICT-Vor­fälle zu erkennen, zu managen, zu dokumentieren und zu melden
  • Vorfälle nach Schweregrad und Auswirkung klassifizieren (z. B. Cyberangriffe, Systemausfälle, Datenlecks)
  • Schwere ICT-Vor­fälle innerhalb der von der DORA Verordnung festgelegten Fristen der zuständigen Aufsichtsbehörde melden

3. Test der digitalen Resilienz

Um vorbereitet zu sein, müssen Unternehmen regelmäßig ihre Fähigkeiten im Umgang mit IKT-Störungen testen. Zu diesen Aktivitäten gehören:

  • Schwachstellen­scans und -bewertungen zur Aufdeckung technischer Lücken
  • Szenariobasierte Übungen, um Reaktionen auf simulierte Cyberangriffe oder Systemausfälle zu prüfen
  • Kompatibilitäts­checks für nahtlose Integration von Systemen und Software
  • End-to-End- und Lasttests, um das Systemverhalten unter Belastung zu evaluieren

Zusatzanforderung für Hochrisiko-Institute: Mindestens alle drei Jahre ein schematischer Penetrationstest („Threat-Led Penetration Testing“, TLPT), der hochentwickelte Cyberangriffe simuliert.

4. Management von ICT-Risiken von Drittanbietern

Finanzinstitute müssen Drittanbieter-Risiken als Teil ihrer Gesamt­risikostrategie behandeln:

  • Verträge müssen den rechtlichen und sicherheitstechnischen Anforderungen der DORA EU entsprechen
  • Abwägen von Risiko und Kosten bei der Auswahl oder dem Wechsel von Anbietern
  • Klare Rollen, Verantwortlichkeiten, SLA-Regelungen und Exit-Klauseln in die Verträge aufnehmen
  • Ein detailliertes Verzeichnis aller ICT-Anbieter führen und für kritische Funktionen den Aufsichtsbehörden vorlegen

5. Beteiligung am Austausch von Bedrohungsinformationen

Optional, aber empfohlen:

  • Austausch von Erkenntnissen wie Indikatoren für Angriffe, Taktiken von Angreifern und bekannten Schwachstellen
  • Stärkung des Branchen-Bewusstseins und der sektorweiten Resilienz

Wie consentmanager Sie unterstützen kann

Bei consentmanager halten wir uns an hohe Sicherheitsstandards und setzen robuste Verfahren ein.

Falls erforderlich, können Kunden sich direkt an unseren Kundendienst wenden, um überarbeitete Verträge für nicht kritische Drittanbieter mit aktualisierten, von DORA vorgeschriebenen Bestimmungen zur Unterzeichnung an uns zu senden. Kontaktieren Sie unseren Support: https://www.consentmanager.net/en/contact/

Hinweis: Dieser Artikel dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. Für vollständige Details konsultieren Sie den offiziellen Text der DORA Verordnung EU.

FAQ

Qualifiziert consentmanager als kritischer ICT-Drittanbieter unter der DORA EU?
Nein. consentmanager fällt nicht unter die Definition „kritischer ICT-Drittanbieter“ der DORA Verordnung und gilt daher als nicht-kritischer Dienstleister.

Wer ist von der DORA Verordnung EU ausgenommen?
Mikrounternehmen (weniger als 10 Mitarbeitende oder Jahresumsatz/Bilanzsumme unter 2 Mio. €) und kleine Versicherungs- bzw. Rückversicherungsunternehmen können von Teilen der Verordnung befreit sein und unterliegen einem vereinfachten ICT-Risikomanagement-Rahmen.

Gilt der Digital Operational Resilience Act (DORA) in Großbritannien?
DORA ist eine EU-Verordnung und gilt nicht direkt im Vereinigten Königreich. UK-basierte Finanzunternehmen und ICT-Dienstleister mit EU-Geschäft können jedoch zur Compliance verpflichtet sein, wenn sie EU-Kunden betreuen.

Weitere Artikel

Die französische Datenschutzbehörde CNIL kündigt Fokus auf mobile Apps an
Neues

CNIL rückt die Compliance mobiler Apps in den Fokus

Die Datenschutzkonformität mobiler Apps steht laut einer Ankündigung der französischen Datenschutzbehörde Commission nationale de l’informatique et des libertés (CNIL) im Mittelpunkt ihres Fokus für das Jahr 2025. Bereits seit Frühjahr 2025 führt die Behörde gezielte Prüfungen durch. Betroffen sind alle Akteure, darunter App-Entwickler, Publisher, SDK-Anbieter, App-Stores und Betriebssystemhersteller. Mobile Apps stellen höhere Datenschutzrisiken dar als Webseiten Im […]
Weiterlesen
Neues

Newsletter 06/2025

Neu: App Monitor Wir freuen uns, Ihnen ein wichtiges Update unseres Compliance Monitors ankündigen zu können. Ab sofort können Sie neben Websites auch Ihre Apps überwachen. Alle leistungsstarken Funktionen, die unser Monitor für Websites bietet, stehen Ihnen jetzt auch für Apps zur Verfügung. Die Scan-Ergebnisse finden Sie wie gewohnt im Bereich „Monitoring“ Ihres Dashboards. Dort […]
Weiterlesen

CMP

Ihre Fragen zu CMP & Co.

Wenn Sie sich nicht sicher sind, ob Sie ein CMP brauchen oder nicht, treten Sie gern in Kontakt mit uns – wir werden Ihnen helfen die richtige Lösung für Ihr Unternehmen zu finden.

Termin vereinbaren
Jetzt kostenlos testen