Ein Leader im Gartner® Magic Quadrant™ für Endpoint Protection Platforms 2025. Seit fünf Jahren in FolEin Leader im Gartner® Magic Quadrant™Bericht lesen
Erleben Sie eine Sicherheitsverletzung?Blog
Los geht'sKontakt
Header Navigation - DE
  • Plattform
    Plattform Übersicht
    • Singularity Platform
      Willkommen bei der integrierten Unternehmenssicherheit
    • KI für die Sicherheit
      Wegweisend bei KI-gestützten Sicherheitslösungen
    • Sicherung von KI
      Beschleunigen Sie die Einführung von KI mit sicheren KI-Tools, -Anwendungen und -Agenten.
    • Wie es funktioniert
      Der Singularity XDR Unterschied
    • Singularity Marketplace
      Ein-Klick-Integrationen, um die Leistungsfähigkeit von XDR zu erschließen
    • Preise & Pakete
      Vergleiche und Beratung im Überblick
    Data & AI
    • Purple AI
      Beschleunigen Sie SecOps mit generativer KI
    • Singularity Hyperautomation
      Einfaches Automatisieren von Sicherheitsprozessen
    • AI-SIEM
      Das KI-SIEM für das autonome SOC
    • AI Data Pipelines
      Sicherheitsdaten-Pipeline für KI-SIEM und Datenoptimierung
    • Singularity Data Lake
      Angetrieben durch KI, vereinheitlicht durch Data Lake
    • Singularity Data Lake for Log Analytics
      Nahtlose Aufnahme von Daten aus On-Premise-, Cloud- oder Hybrid-Umgebungen
    Endpoint Security
    • Singularity Endpoint
      Autonome Prävention, Erkennung und Reaktion
    • Singularity XDR
      Nativer und offener Schutz, Erkennung und Reaktion
    • Singularity RemoteOps Forensics
      Forensik im großen Maßstab orchestrieren
    • Singularity Threat Intelligence
      Umfassende Aufklärung des Gegners
    • Singularity Vulnerability Management
      Entdeckung von Rogue Assets
    • Singularity Identity
      Erkennung von und Reaktion auf Bedrohungen für Identitäten
    Cloud Security
    • Singularity Cloud Security
      Blockieren Sie Angriffe mit einer KI-gestützten CNAPP
    • Singularity Cloud Native Security
      Cloud und Entwicklungsressourcen sichern
    • Singularity Cloud Workload Security
      Plattform zum Schutz von Cloud-Workloads in Echtzeit
    • Singularity Cloud Data Security
      AI-gestützte Erkennung von Bedrohungen
    • Singularity Cloud Security Posture Management
      Erkennen und Beseitigen von Cloud-Fehlkonfigurationen
    Absicherung von KI
    • Prompt Security
      KI-Tools im gesamten Unternehmen absichern
  • Warum SentinelOne?
    Warum SentinelOne?
    • Warum SentinelOne?
      Cybersecurity, entwickelt für die Zukunft
    • Unsere Kunden
      Weltweit führende Unternehmen vertrauen auf uns
    • Branchen-Auszeichnungen
      Von Experten getestet
    • Über uns
      Der Branchenführer bei autonomer Cybersicherheit
    Vergleichen Sie SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Branchen
    • Energieversorger
    • Öffentlicher Sektor
    • Finanzsektor
    • Gesundheitswesen
    • Hochschulen
    • Fertigungsindustrie
    • Handel
    • Regionale & kommunale Verwaltung
  • Services
    Managed Services
    • Managed Services Übersicht
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Erstklassige Expertise und Threat Intelligence.
    • Managed Detection & Response
      Rund-um-die-Uhr MDR-Experten für Ihre gesamte Umgebung.
    • Incident Readiness & Response
      DFIR, Vorbereitung auf Sicherheitsverletzungen & Kompromittierungsbewertungen.
    Support, Bereitstellung & Health Check
    • Technical Account Management
      Customer Success mit persönlichem Service
    • SentinelOne GO
      Guided Onboarding & Deployment Advisory
    • SentinelOne University
      Live und On-Demand Training
    • Überblick zu unseren Services
      Umfassende Lösungen für reibungslose Sicherheitsoperationen
    • SentinelOne Community
      Community Login
  • Partner
    Unser Netzwerk
    • MSSP Partner
      Schnellerer Erfolg mit SentinelOne
    • Singularity Marketplace
      Erweitern Sie die Leistung der S1-Technologie
    • Cyber Risk Partner
      Einsatz von Pro-Response und Advisory Teams
    • Technologie-Partnerschaften
      Integrierte, unternehmensweite Lösungen
    • SentinelOne für AWS
      Gehostet in AWS-Regionen auf der ganzen Welt
    • Channel Partner
      Gemeinsam die richtigen Lösungen anbieten
    • SentinelOne for Google Cloud
      Vereinheitlichte, autonome Sicherheit, die Verteidigern einen Vorteil im globalen Maßstab verschafft.
    Programm-Übersicht→
  • Ressourcen
    Ressource-Center
    • Fallstudien
    • Datenblätter
    • eBooks
    • Reports
    • Videos
    • Webinars
    • White Papers
    • Events
    Alle Ressourcen anzeigen→
    Blog
    • Feature Spotlight
    • Für CISOs/CIOs
    • Von der Frontlinie
    • Identity
    • Cloud
    • macOS
    • SentinelOne Blog
    Blog→
    Technische Ressourcen
    • SentinelLABS
    • Ransomware Anthologie
    • Cybersecurity 101
  • Unternehmen
    Über SentinelOne
    • Über SentinelOne
      Der Branchenführer im Bereich Cybersicherheit
    • SentinelLABS
      Threat Research für moderne Threat Hunter
    • Karriere
      Die aktuellen Jobangebote
    • Presse & News
      Bekanntmachungen der Firma
    • Cybersecurity Blog
      Die neuesten Cybersecurity-Bedrohungen, News, & mehr
    • FAQ
      Antworten auf die am häufigsten gestellten Fragen
    • DataSet
      Die Live Data Plattform
    • S Foundation
      Eine sicherere Zukunft für alle
    • S Ventures
      Wir investieren in die nächste Generation von Sicherheit und Daten
Los geht'sKontakt
Background image for Was ist die DORA-Verordnung? EU-Rahmenwerk für digitale Resilienz
Cybersecurity 101/Cybersecurity/DORA-Verordnung

Was ist die DORA-Verordnung? EU-Rahmenwerk für digitale Resilienz

Die DORA-Verordnung verpflichtet EU-Finanzunternehmen zur digitalen operationellen Resilienz. Erfahren Sie mehr über die fünf Säulen, Fristen zur Einhaltung, Sanktionen und bewährte Implementierungspraktiken.

CS-101_Cybersecurity.svg
Inhaltsverzeichnis
Was ist die DORA-Verordnung?
Warum DORA für Finanzinstitute wichtig ist
Wer muss DORA einhalten?
DORA-Cybersicherheitsanforderungen
Wie DORA funktioniert
IKT-Risikomanagement nach DORA
Meldepflichten für Vorfälle nach DORA
DORA-Sanktionen und Durchsetzung
Herausforderungen bei der Umsetzung von DORA
DORA Best Practices
DORA-Compliance-Zeitplan und wichtige Fristen
DORA und verwandte EU-Regelungen
Wichtige Erkenntnisse

Verwandte Artikel

  • CMMC-Checkliste: Leitfaden zur Auditvorbereitung für DoD-Auftragnehmer
  • Was ist Session Fixation? Wie Angreifer Benutzersitzungen kapern
  • Ethical Hacker: Methoden, Tools & Karrierepfad-Leitfaden
  • Was sind adversariale Angriffe? Bedrohungen & Abwehrmaßnahmen
Autor: SentinelOne | Rezensent: Arijeet Ghatak
Aktualisiert: April 30, 2026

Was ist die DORA-Verordnung?

Finanzinstitute in der EU unterliegen einem verpflichtenden Compliance-Rahmen, der am 17. Januar 2025 in Kraft trat, mit Bußgeldern von bis zu 5-10 Millionen EUR oder 5-10 % des Jahresumsatzes bei Nichteinhaltung. Der Digital Operational Resilience Act (DORA), offiziell Verordnung (EU) 2022/2554, legt einheitliche Anforderungen an das IKT-Risikomanagement für Finanzunternehmen in der EU fest. Laut offiziellem Verordnungstext verpflichtet DORA Finanzunternehmen dazu, ein hohes gemeinsames Niveau der digitalen operationellen Resilienz zu erreichen. Das bedeutet, Sie müssen die Fähigkeit nachweisen, Störungen im Zusammenhang mit Informations- und Kommunikationstechnologien zu widerstehen, darauf zu reagieren und sich davon zu erholen.

DORA regelt betroffene Finanzunternehmen, darunter Kreditinstitute, Zahlungsdienstleister, Wertpapierfirmen, Krypto-Asset-Dienstleister, Versicherungsunternehmen und IKT-Drittanbieter. Wenn Sie im EU-Finanzsektor tätig sind, unterliegt Ihr Sicherheitsbetrieb wahrscheinlich DORA.

Branchenerhebungen zeigen, dass nur ein kleiner Teil der Finanzinstitute vollständige Compliance mit den Anforderungen an das IKT-Drittanbieterrisikomanagement meldet [TKTK - Quelle erforderlich], einem der Bereiche mit der niedrigsten Compliance über alle DORA-Säulen hinweg. Die Frist für die Drittanbieter-Berichterstattung am 30. April 2025 erfordert Maßnahmen, falls Sie diese Lücken noch nicht adressiert haben.

Das Verständnis, warum diese Verordnung existiert, hilft, den Umfang ihrer Anforderungen einzuordnen.

Warum DORA für Finanzinstitute wichtig ist

DORA schafft harmonisierte Anforderungen an die digitale operationelle Resilienz im gesamten EU-Finanzsektor und beseitigt Fragmentierung, die zuvor zu Compliance-Komplexität und Sicherheitslücken führte. Jüngste Cyberangriffe auf Finanzinstitute zeigen genau, warum diese Verordnung existiert.

2016 nutzten Angreifer SWIFT-Nachrichtensysteme aus, um 81 Millionen US-Dollar von der Bangladesh Bank zu stehlen, wodurch kritische Schwächen im IKT-Risikomanagement Dritter offengelegt wurden, die DORA nun adressiert. Beim Capital One-Vorfall 2019 wurden über 100 Millionen Kundendatensätze durch eine fehlkonfigurierte Cloud-Umgebung kompromittiert, was den Bedarf an einheitlichen IKT-Rahmenwerken für hybride Infrastrukturen verdeutlicht. 2018 setzten Angreifer zerstörerische Malware ein, um Mitarbeitende der Banco de Chile abzulenken und gleichzeitig 10 Millionen US-Dollar durch betrügerische SWIFT-Transaktionen zu stehlen – ein Beispiel dafür, wie operationelle Störungen finanziellen Diebstahl verschleiern können.

  • Systemisches Risiko reduzieren: Durch die Vorgabe einheitlicher Standards für das IKT-Risikomanagement verringert DORA die Wahrscheinlichkeit, dass operationelle Ausfälle bei einem Institut auf das Finanzsystem übergreifen. Dieser einheitliche Ansatz stellt sicher, dass Finanzunternehmen IKT-Störungen widerstehen, darauf reagieren und sich davon erholen können.
  • Transparenz bei Drittanbieterrisiken: Das Rahmenwerk zur Überwachung kritischer Drittanbieter adressiert das Konzentrationsrisiko, das entsteht, wenn der Finanzsektor auf wenige IKT-Anbieter angewiesen ist. Laut dem  EIOPA-Aufsichtsrahmen etablieren die Artikel 31-44 eine direkte regulatorische Aufsicht über kritische IKT-Drittanbieter (CTPPs) – erstmals in diesem Umfang in der EU.
  • Standardisierung der Incident Response: Die 4-Stunden-Meldepflicht schafft Konsistenz im Umgang mit Sicherheitsvorfällen. Bei IKT-bezogenen Vorfällen mit systemischem Potenzial koordinieren Behörden die Reaktion über das European Systemic Cyber Incident Coordination Framework (EU-SCICF).
  • Stärkung des Kundenschutzes: DORA verpflichtet Finanzunternehmen, schwerwiegende IKT-bezogene Vorfälle und bedeutende Cybersecurity-Bedrohungen an zuständige Behörden zu melden. Eine Verpflichtung zur Kundeninformation ergibt sich, falls überhaupt, aus anderen sektoralen Gesetzen wie DSGVO oder PSD2, nicht aus DORA selbst.

Diese Vorteile gelten branchenweit, aber der erste Schritt ist die Feststellung, ob Ihre Organisation unter den Anwendungsbereich von DORA fällt.

Wer muss DORA einhalten?

DORA gilt für 21 Kategorien von Finanzunternehmen, die in der EU tätig sind, und schafft damit einen der umfassendsten regulatorischen Anwendungsbereiche im Bereich Cybersecurity für Finanzdienstleistungen. Artikel 2 definiert die vollständige Liste der betroffenen Unternehmen.

Traditionelle Finanzinstitute bilden den Kernbereich: Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, Wertpapierfirmen und Zentralverwahrer. Versicherungs- und Rückversicherungsunternehmen, Versicherungsvermittler und Einrichtungen der betrieblichen Altersversorgung unterliegen ebenfalls den DORA-Anforderungen. Die Verordnung umfasst zudem Krypto-Asset-Dienstleister, Crowdfunding-Dienstleister und Verbriefungsregister.

Marktinfrastruktureinrichtungen wie Handelsplätze, Transaktionsregister, zentrale Gegenparteien und Datenmeldedienste müssen DORA einhalten. Ratingagenturen, Administratoren kritischer Benchmarks und Kontoinformationsdienste vervollständigen die Kategorien der Finanzunternehmen.

IKT-Drittanbieter unterliegen DORA-Anforderungen, wenn sie EU-Finanzunternehmen bedienen, unabhängig vom Sitz des Anbieters. Nicht-EU-Technologieunternehmen, die Cloud-Dienste, Software oder Managed Services für EU-Banken bereitstellen, müssen die vertraglichen Anforderungen von DORA erfüllen. Die ESAs benennen bestimmte Anbieter als Critical Third-Party Providers (CTPPs) aufgrund ihrer systemischen Bedeutung und unterwerfen sie einer direkten regulatorischen Aufsicht.

Das Proportionalitätsprinzip gemäß Artikel 4 erlaubt es kleineren Unternehmen, Anforderungen entsprechend ihrer Größe, ihres Risikoprofils und ihrer Komplexität umzusetzen. Kleinstunternehmen qualifizieren sich gemäß Artikel 16(3) für vereinfachte IKT-Risikomanagement-Rahmenwerke, unterliegen jedoch weiterhin Meldepflichten und Drittanbieter-Überwachung.

Wenn Sie festgestellt haben, dass DORA für Ihre Organisation gilt, stellt sich die Frage, welche spezifischen Sicherheitsanforderungen Sie erfüllen müssen.

DORA-Cybersicherheitsanforderungen

DORA adressiert explizit die Sicherheit von Netz- und Informationssystemen, die Geschäftsprozesse des Finanzsektors unterstützen. IKT-bezogene Störungen und Cyberbedrohungen stellen erhebliche Risiken für Finanzstabilität, Betriebskontinuität und Kundenschutz dar.

Artikel 15 legt explizite Cybersicherheitsanforderungen fest: Sie müssen anomales Verhalten über Netzwerk-Nutzungsmuster, Uhrzeiten, IT-Aktivitäten und unbekannte Geräte hinweg überwachen. Laut offiziellem Verordnungstext müssen Finanzunternehmen die Überwachung anomalen Verhaltens im Zusammenhang mit IKT-Risiken durch geeignete Indikatoren implementieren.

Die Meldepflichten gehen über traditionelle Cybersecurity-Rahmenwerke hinaus. Artikel 19 und 20 verlangen, dass Sie in Ihren Vorfall- und Bedrohungsberichten die Zuordnung von Bedrohungsakteuren einbeziehen. Sie müssen Vorfälle innerhalb von 4 Stunden als schwerwiegend oder nicht schwerwiegend klassifizieren und dann eine Erstmeldung an Ihre nationale zuständige Behörde abgeben.

DORA fungiert als lex specialis für den Finanzsektor und hat Vorrang vor NIS2. Während ISO 27001 eine Grundlage bietet, erweitert DORA die Anforderungen um verpflichtende Bedrohungsakteur-Attribution, Kundenbenachrichtigungspflichten und Drittanbieter-Überwachungsmechanismen zur Adressierung systemischer Konzentrationsrisiken.

Diese Cybersicherheitsanforderungen sind Teil der umfassenderen DORA-Regulierung, die Verpflichtungen in fünf Säulen gliedert.

Wie DORA funktioniert

DORA wird durch verpflichtende technische Anforderungen umgesetzt, die von nationalen zuständigen Behörden unter Koordination der Europäischen Aufsichtsbehörden durchgesetzt werden.

Ihr IKT-Risikomanagement-Rahmenwerk erfordert Strategien, Richtlinien und Verfahren. Ihr Leitungsorgan trägt die letztendliche Verantwortung für die Überwachung von IKT-Risiken, wie in den DORA-Anforderungen festgelegt, siehe  Citi's regulatory briefing.

Tritt ein Vorfall auf, klassifizieren Sie diesen sofort nach Identifikation anhand vordefinierter Kriterien. Bei schwerwiegenden Vorfällen erfolgt die Erstmeldung innerhalb von 4 Stunden nach Klassifizierung an die nationale zuständige Behörde, gefolgt von weiteren Meldungen im Verlauf des Vorfalls.

Das Resilienztestprogramm läuft in definierten Zyklen. Für die meisten Unternehmen führen Sie regelmäßige Bewertungen und szenariobasierte Tests entsprechend Ihrem Risikoprofil durch. Wird Ihr Institut von den Aufsichtsbehörden als bedeutend eingestuft, führen Sie mindestens alle 3 Jahre TLPT durch. Nach Abschluss der Tests dokumentieren Sie zusammenfassende Ergebnisse und Maßnahmenpläne mit Zeitrahmen.

Die Überwachung von Drittanbietern erfolgt über vertragliche Anforderungen und regulatorische Einstufung. Vor der Beauftragung von IKT-Dienstleistern prüfen Sie deren Einhaltung der DORA-Informationssicherheitsstandards. Gemäß  Artikel 30 müssen Ihre Verträge Folgendes enthalten:

  • Service Level Agreements mit Leistungskennzahlen
  • Sicherheitsstandards und Compliance-Anforderungen
  • Auditrechte und Zugangsregelungen
  • Ausstiegsstrategien und Übergangsplanung

Die ESAs benennen bestimmte Anbieter als kritische Drittanbieter (CTPPs) aufgrund ihrer systemischen Bedeutung. Diese CTPPs unterliegen einer direkten regulatorischen Aufsicht, unabhängig von ihrem Sitz.

Zwei der fünf DORA-Säulen sind für Sicherheitsteams besonders relevant: IKT-Risikomanagement und Incident Reporting.

IKT-Risikomanagement nach DORA

IKT-Risikomanagement bildet das Fundament des DORA-Regulierungsrahmens. Artikel 6 verlangt von Finanzunternehmen, IKT-Risikomanagement-Rahmenwerke als integralen Bestandteil ihres gesamten  Risikomanagementsystems zu etablieren, mit direkter Verantwortlichkeit des Leitungsorgans.

Ihr Leitungsorgan muss IKT-Risikomanagementregelungen definieren, genehmigen, überwachen und verantworten. Dazu gehört die Festlegung von Risikotoleranz, die Genehmigung von IKT-Business-Continuity-Richtlinien und die Bereitstellung ausreichender Budgets für digitale operationelle Resilienz. DORA stellt klar, dass IKT-Risiken eine Vorstandsverantwortung sind, keine reine IT-Aufgabe.

Artikel 8 verlangt die Identifikation aller IKT-Risikoquellen, einschließlich Risiken aus IKT-Drittanbieterabhängigkeiten. Sie müssen ein vollständiges Inventar aller IKT-Assets führen, Abhängigkeiten zwischen Systemen abbilden und alle IKT-gestützten Geschäftsprozesse dokumentieren. Diese Abbildung deckt Konzentrationsrisiken und Single Points of Failure auf, die kritische Finanzdienstleistungen beeinträchtigen könnten.

Schutz- und Präventionsanforderungen gemäß Artikel 9 schreiben vor, dass Finanzunternehmen IKT-Sicherheitsrichtlinien in mehreren Bereichen umsetzen müssen:

  • Informationssicherheit für Daten in Bewegung und in Ruhe
  • Netzwerksicherheitsmanagement und Segmentierung
  • Zugriffssteuerungsrichtlinien und Authentifizierungsmechanismen
  • Patch- und Update-Management-Prozesse
  • Physische und umweltbezogene Sicherheit für IKT-Assets

Diese Kontrollen müssen als integriertes System funktionieren, nicht als isolierte Einzelmaßnahmen.

Erkennungsfähigkeiten sind ebenso entscheidend. Artikel 10 verlangt Mechanismen zur schnellen Erkennung anomaler Aktivitäten, einschließlich Netzwerkleistungsproblemen und IKT-bezogenen Vorfällen. Ihre Erkennungsinfrastruktur muss anomales Verhalten durch geeignete Indikatoren überwachen und mehrere Kontrollschichten ermöglichen.

Reaktions- und Wiederherstellungsverfahren gemäß Artikel 11 und 12 vervollständigen das Rahmenwerk. Sie müssen IKT-Business-Continuity-Richtlinien, Notfallwiederherstellungspläne und Backup-Richtlinien implementieren. Diese sind regelmäßig zu testen und auf Basis von Störungen, Resilienztests und Auditergebnissen zu aktualisieren.

Die Erfüllung dieser IKT-Risikomanagementpflichten bildet die Grundlage für die ebenso anspruchsvollen Meldepflichten nach DORA.

Meldepflichten für Vorfälle nach DORA

DORA etabliert ein strukturiertes, zeitgebundenes Melderahmenwerk für Vorfälle, das über bisherige Regelungen der meisten Finanzunternehmen hinausgeht. Artikel 17 bis 23 definieren Klassifizierungskriterien, Meldefristen und Benachrichtigungspflichten für IKT-bezogene Vorfälle.

Sie müssen jeden IKT-bezogenen Vorfall zunächst anhand der in Artikel 18 definierten Kriterien klassifizieren. Zu den Klassifizierungsfaktoren zählen die Anzahl betroffener Kunden, Dauer und geografische Ausbreitung des Vorfalls, Datenverluste, Kritikalität der betroffenen Dienste und wirtschaftliche Auswirkungen. Auf Basis dieser Bewertung bestimmen Sie, ob der Vorfall gemäß DORA als „schwerwiegend“ einzustufen ist.

Für schwerwiegende Vorfälle gelten strenge Meldefristen:

  • Erstmeldung: Innerhalb von 4 Stunden nach Klassifizierung des Vorfalls
  • Zwischenbericht: Innerhalb von 72 Stunden nach der Erstmeldung, mit Fortschrittsupdates, vorläufiger Ursachenanalyse und temporären Maßnahmen
  • Abschlussbericht: Innerhalb eines Monats nach dem Zwischenbericht, mit bestätigter Ursachenanalyse, tatsächlicher Auswirkungsbewertung und ergriffenen Abhilfemaßnahmen

Effektive  Incident-Response-Prozesse sind unerlässlich, um diese Fristen einzuhalten. Artikel 19 und 20 verlangen zudem die Zuordnung von Bedrohungsakteuren in Ihren Vorfall- und Bedrohungsberichten, was eine  Integration von Threat Intelligence in Ihre Reporting-Workflows erfordert.

Über schwerwiegende Vorfälle hinaus führt DORA die freiwillige Meldung signifikanter Cyberbedrohungen gemäß Artikel 19 ein. Finanzunternehmen können ihre zuständige Behörde benachrichtigen, wenn sie eine Cyberbedrohung erkennen, die sie für das Finanzsystem als relevant erachten, auch wenn daraus noch kein Vorfall resultiert ist.

Diese Meldepflichten sind mit Durchsetzungsmaßnahmen verbunden, was uns zum Sanktionsrahmen von DORA führt.

DORA-Sanktionen und Durchsetzung

Die Durchsetzung von DORA erfolgt durch nationale zuständige Behörden unter Koordination der Europäischen Aufsichtsbehörden (EBA, ESMA und EIOPA). Jeder EU-Mitgliedstaat implementiert einen eigenen Sanktionsrahmen innerhalb der DORA-Parameter, was zu Unterschieden bei Höchststrafen und Durchsetzungsansätzen führt.

Die Sanktionsstrukturen unterscheiden sich erheblich zwischen den Mitgliedstaaten. Laut  DLA Piper-Analyse verhängt Belgien Höchststrafen von 5 Millionen EUR oder 10 % des jährlichen Nettoumsatzes. Schweden berechnet Strafen als das Höchste aus 1 Million EUR, 10 % des jährlichen Nettoumsatzes oder dem Dreifachen des aus dem Verstoß erzielten Vorteils. Das deutsche System erlaubt Strafen bis zu 5 Millionen EUR für juristische Personen und 500.000 EUR für natürliche Personen in Leitungsfunktionen.

Die Durchsetzungsbefugnisse gehen über finanzielle Sanktionen hinaus. Zuständige Behörden können:

  • Unterlassungsanordnungen mit sofortigem Handlungsbedarf erlassen
  • Öffentliche Warnungen mit Nennung nicht konformer Unternehmen veröffentlichen
  • Vorstandsmitglieder abberufen, die für Versäumnisse beim IKT-Risikomanagement verantwortlich sind

Diese Reputationsfolgen übersteigen oft die direkten finanziellen Sanktionen in ihrer langfristigen Wirkung.

Artikel 54 verpflichtet zuständige Behörden, Entscheidungen über Verwaltungssanktionen auf ihren offiziellen Websites zu veröffentlichen, einschließlich Angaben zur Art und zum Charakter des Verstoßes sowie zur Identität der verantwortlichen Personen. Dieser Mechanismus schafft Transparenz, birgt aber auch erhebliches Reputationsrisiko für nicht konforme Organisationen.

Kritische Drittanbieter unterliegen der direkten Aufsicht durch den von den ESAs benannten Lead Overseer. CTPPs, die Aufsichtsempfehlungen nicht umsetzen, müssen periodische Strafzahlungen leisten, bis sie compliant sind – unabhängig von Sanktionen gegen die von ihnen bedienten Finanzunternehmen.

Angesichts dieser Durchsetzungsrisiken ist das Verständnis der praktischen Hürden für die Compliance entscheidend.

Herausforderungen bei der Umsetzung von DORA

Branchenerhebungen zeigen systematische Umsetzungsbarrieren im Finanzsektor, wobei das IKT-Drittanbieterrisikomanagement und das Testen der digitalen operationellen Resilienz die niedrigsten Compliance-Werte aufweisen.

  1. Komplexität des Drittanbieterrisikomanagements: Das IKT-Drittanbieterrisikomanagement ist der Bereich mit der geringsten Compliance über alle DORA-Säulen hinweg. Organisationen stehen vor der Aufgabe, technologiegestützte rechtliche Prüfungen potenziell tausender Verträge durchzuführen, wobei jeweils zu prüfen ist, ob Anbieter die DORA-Sicherheitsstandards erfüllen.
  2. Mängel im Testprogramm: Das Testen der digitalen operationellen Resilienz zeigt ähnlich bedenkliche Compliance-Werte. Dies deutet darauf hin, dass Organisationen Schwierigkeiten haben, die unter DORA geforderten Threat-Led Penetration Testing-Rahmenwerke umzusetzen.
  3. Sichtbarkeitslücken in Multi-Cloud-Umgebungen: Die zentrale Übersicht über komplexe, segmentierte und getrennte IKT-Systeme ist eine große Herausforderung. Sie benötigen Metadatenaufnahme aus Multi-Cloud-Umgebungen, Integration von On-Premise-Infrastruktur und vollständige Asset-Inventare. Zentrale Sichtbarkeitsplattformen, die Monitoring über Multi-Cloud- und On-Premise-Umgebungen konsolidieren, helfen bei der Bewältigung dieser Herausforderung.
  4. Anforderungen an die Incident-Attribution: Die Verpflichtung zur  Bedrohungsakteur-Attribution in Vorfallberichten schafft operative Belastungen über die traditionelle Incident Response hinaus. Dies erfordert Zugriff auf Threat-Intelligence-Feeds und Analysten mit Attributionsexpertise sowie autonome Reporting-Workflows zur Unterstützung der Benachrichtigung mehrerer Stakeholder, einschließlich Kundenkommunikation.
  5. Zeitdruck: Die 4-Stunden-Meldepflicht ab Vorfallklassifizierung erzeugt erheblichen operativen Druck. Sicherheitsplattformen mit autonomen Funktionen verkürzen die Reaktionszeit, indem sie Bedrohungen ohne manuelles Eingreifen erkennen und klassifizieren. Tritt ein Vorfall um 2 Uhr nachts auf, haben Sie vier Stunden Zeit, die Schwere zu klassifizieren, Auswirkungen zu bewerten, Bedrohungsakteure zu bestimmen und die Erstmeldung abzugeben.

Diese Hürden lassen sich nur mit gezielten Strategien überwinden, die auf die anspruchsvollsten DORA-Anforderungen eingehen.

DORA Best Practices

Eine erfolgreiche DORA-Umsetzung erfordert strukturierte Ansätze in den Bereichen Governance, Betrieb und Technologie.

Drittanbieterrisikomanagement priorisieren: Da das Drittanbieterrisikomanagement die niedrigsten Compliance-Raten aufweist, führen Sie technologiegestützte rechtliche Prüfungen aller IKT-Dienstleisterverträge durch. Implementieren Sie individuelle Ansätze für kritische Anbieter. Etablieren Sie ein kontinuierliches Monitoring der Drittanbieter-Compliance und adressieren Sie Konzentrationsrisiken durch Diversifizierungsstrategien.

Autonome Incident Response implementieren: Sicherheitsplattformen, die verhaltensbasierte KI zur Überwachung anomalen Verhaltens über Netzwerk-Muster, Uhrzeiten, IT-Aktivitäten und unbekannte Geräte gemäß Artikel 15 einsetzen, ermöglichen eine schnelle Incident Response. Sie benötigen  Sicherheitsplattformen mit autonomen Funktionen zur Erkennung und Klassifizierung von Bedrohungen, um die 4-Stunden-Meldepflicht einzuhalten. Stellen Sie sicher, dass Ihre Infrastruktur Threat-Intelligence-Integration für die unter Artikel 19-20 geforderte Bedrohungsakteur-Attribution umfasst.

Testprogramme über Risikoprofile hinweg aufbauen: Führen Sie Threat-Led Penetration Testing (TLPT) für identifizierte kritische Systeme mindestens alle 3 Jahre durch. Ihr Testprogramm sollte Folgendes umfassen:

  • Regelmäßige szenariobasierte Resilienzübungen
  • Dokumentierte Testergebnisse mit zusammenfassenden Erkenntnissen
  • Abhilfemaßnahmen mit konkreten Zeitplänen
  • Integration in die Business-Continuity-Planung

Zentrale Sichtbarkeitsplattformen einsetzen: Etablieren Sie zentrale Sichtbarkeit über Multi-Cloud- und On-Premise-Umgebungen hinweg. Führen Sie vollständige IKT-Asset-Inventare. Implementieren Sie kontinuierliches Posture Management. Schaffen Sie eine Single Source of Truth für IKT-Abhängigkeiten auf Basis von Branchenempfehlungen zur Bewältigung von Sichtbarkeitsherausforderungen in Multi-Cloud- und Hybrid-Infrastrukturen.

Kontinuierliche Compliance etablieren: Richten Sie laufende  Compliance-Monitoring-Programme ein, statt punktueller Bewertungen. Bauen Sie Feedbackschleifen von Tests zum Risikomanagement auf. Halten Sie sich über sich entwickelnde Aufsichtserwartungen auf dem Laufenden. Planen Sie für Aktualisierungen der regulatorischen technischen Standards. Überwachen Sie die Einstufung kritischer Drittanbieter durch Behörden.

Neben diesen operativen Maßnahmen hilft das Verständnis des DORA-Compliance-Zeitplans bei der Priorisierung der Umsetzung.

DORA-Compliance-Zeitplan und wichtige Fristen

DORA folgt einem gestaffelten Umsetzungszeitplan, der mit der Veröffentlichung begann und durch laufende regulatorische technische Standard-Updates fortgesetzt wird. Die Einhaltung dieser Fristen ist entscheidend für die Aufrechterhaltung der Compliance.

DORA wurde am  Amtsblatt der EU am 27. Dezember 2022 veröffentlicht und trat am 16. Januar 2023 in Kraft. Finanzunternehmen und IKT-Drittanbieter hatten eine zweijährige Übergangsfrist zur Umsetzung der Anforderungen.

Das Hauptdurchsetzungsdatum war der 17. Januar 2025. Ab diesem Datum müssen alle betroffenen Finanzunternehmen die Einhaltung der DORA-Kernanforderungen nachweisen: IKT-Risikomanagement-Rahmenwerke, Meldeverfahren für Vorfälle, Resilienztestprogramme und Drittanbieterrisikomanagement.

Wichtige Fristen nach Inkrafttreten:

  • 17. Januar 2025: Vollständige Compliance für alle betroffenen Unternehmen erforderlich
  • 30. April 2025: Erste Einreichungsfrist für das Register der IKT-Drittanbietervereinbarungen bei den zuständigen Behörden
  • Laufend (alle 3 Jahre): Threat-Led Penetration Testing (TLPT) für als bedeutend eingestufte Unternehmen
  • Laufend: Jährliche Aktualisierung des IKT-Drittanbieterregisters und kontinuierliches Monitoring der Drittanbieter-Compliance

Die Europäischen Aufsichtsbehörden veröffentlichen weiterhin Regulatory Technical Standards (RTS) und Implementing Technical Standards (ITS), die detaillierte Leitlinien zu spezifischen DORA-Anforderungen bieten. Die  erste RTS-Tranche zu IKT-Risikomanagement, Vorfallklassifizierung und Drittanbieterrisiken wurde Anfang 2024 finalisiert. Eine zweite Tranche zu TLPT-Anforderungen und fortgeschrittenen Testframeworks folgte.

Finanzunternehmen sollten ESA-Veröffentlichungen auf Aktualisierungen der technischen Standards und Aufsichtsleitlinien überwachen, die die Compliance-Anforderungen im Zeitverlauf präzisieren können. DORA überschneidet sich zudem mit anderen EU-Regelwerken, die Finanzunternehmen parallel beachten müssen.

DORA und verwandte EU-Regelungen

DORA wirkt zusammen mit mehreren EU-Regelungen, die gemeinsam die Cybersecurity- und Resilienzlandschaft für Finanzinstitute prägen. Das Verständnis dieser Wechselwirkungen verhindert Doppelarbeit und stellt vollständige regulatorische Abdeckung sicher.

  • DORA und NIS2: DORA fungiert als lex specialis für den Finanzsektor und hat Vorrang vor der Network and Information Security Directive (NIS2) für Unternehmen im Anwendungsbereich. Wo beide Regelungen greifen könnten, überlagern DORAs spezifische Anforderungen die allgemeinen Cybersecurity-Vorgaben der NIS2. IKT-Dienstleister, die nicht als CTPPs eingestuft sind, können jedoch weiterhin NIS2-Pflichten unterliegen, wenn sie als wesentliche oder wichtige Einrichtungen gelten.
  • DORA und DSGVO: Die Datenschutz-Grundverordnung gilt weiterhin parallel zu DORA, insbesondere bei der Meldung von Datenschutzverletzungen. Betrifft ein IKT-bezogener Vorfall personenbezogene Daten, müssen Sie sowohl die DORA-Meldefrist (4-Stunden-Erstmeldung an die zuständigen Behörden) als auch die DSGVO-72-Stunden-Meldung an die Datenschutzbehörden einhalten. Die beiden Meldewege laufen parallel mit unterschiedlichen Fristen, Empfängern und Inhalten.
  • DORA und Cyber Resilience Act (CRA): Der CRA konzentriert sich auf Cybersicherheitsanforderungen für Produkte mit digitalen Elementen, die auf dem EU-Markt bereitgestellt werden. Während DORA regelt, wie Finanzunternehmen IKT-Risiken operationell managen, adressiert der CRA die Sicherheit der von diesen Unternehmen beschafften Hard- und Softwareprodukte. Zusammen schaffen sie einen Supply-Chain-Sicherheitsrahmen, in dem Hersteller CRA-Standards erfüllen und Finanzunternehmen die Lieferanten-Compliance nach DORA prüfen müssen.
  • DORA und ISO 27001: ISO 27001 bietet ein freiwilliges Rahmenwerk für Informationssicherheitsmanagementsysteme, während DORA verbindliche Anforderungen stellt. ENISA stellt offizielle Mapping-Tabellen bereit, die DORA-Anforderungen mit ISO 27001-Kontrollen korrelieren. Nach ISO 27001 zertifizierte Finanzunternehmen haben einen Vorsprung, müssen aber weiterhin Lücken bei Bedrohungsakteur-Attribution, Kundenbenachrichtigung, Management von Drittanbieter-Konzentrationsrisiken und TLPT-Anforderungen schließen, die DORA explizit vorschreibt.

Die Umsetzung dieser Best Practices und die Navigation durch regulatorische Überschneidungen erfordern Sicherheitsinfrastrukturen für kontinuierliches Monitoring und schnelle Reaktion.

Entfesseln Sie AI-gestützte Cybersicherheit

Verbessern Sie Ihre Sicherheitslage durch Echtzeit-Erkennung, maschinelle Reaktion und vollständige Transparenz Ihrer gesamten digitalen Umgebung.

Demo anfordern

Wichtige Erkenntnisse

DORA verpflichtet Finanzunternehmen in der EU ab dem 17. Januar 2025 zur digitalen operationellen Resilienz. Die Verordnung verlangt IKT-Risikomanagement-Rahmenwerke mit Vorstandsverantwortung, Vorfallklassifizierung und -meldung innerhalb von 4 Stunden bei schwerwiegenden Vorfällen einschließlich Bedrohungsakteur-Attribution, Resilienztests mit TLPT mindestens alle drei Jahre für bedeutende Unternehmen, Drittanbieter-Überwachung mit IKT-Anbieterberichterstattung ab dem 30. April 2025 sowie Mechanismen zum Informationsaustausch für Cyber-Threat-Intelligence.

Drittanbieterrisikomanagement und Resilienztests weisen die niedrigsten Compliance-Raten im Finanzsektor auf und schaffen erhebliches regulatorisches Risiko. Sicherheitsplattformen, die anomales Verhalten überwachen, Threat-Intelligence-Integration bieten und schnelle Incident Response ermöglichen, helfen Unternehmen, die anspruchsvollen DORA-Anforderungen zu erfüllen.

FAQs

DORA (Digital Operational Resilience Act) ist die EU-Verordnung 2022/2554, die einheitliche Anforderungen an das IKT-Risikomanagement für Finanzunternehmen in der EU festlegt. Die Verordnung verpflichtet Finanzinstitute, digitale operationelle Resilienz durch die Implementierung von IKT-Risikomanagement-Rahmenwerken, Verfahren zur Vorfallmeldung, Resilienztestprogrammen und Überwachung von Drittanbietern zu erreichen. 

DORA trat am 17. Januar 2025 in Kraft und gilt für 21 Arten von Finanzunternehmen, darunter Banken, Wertpapierfirmen, Versicherungsunternehmen und deren IKT-Dienstleister.

DORA gilt für 21 Kategorien von Finanzunternehmen, die innerhalb der EU tätig sind, darunter Kreditinstitute, Wertpapierfirmen, Versicherungsunternehmen, Zahlungsdienstleister, Krypto-Asset-Dienstleister und Handelsplätze. 

IKT-Drittanbieter, die diese Finanzunternehmen bedienen, müssen ebenfalls die Vorschriften einhalten, unabhängig davon, ob der Anbieter seinen Hauptsitz innerhalb oder außerhalb der EU hat. Das Proportionalitätsprinzip ermöglicht es kleineren Unternehmen, vereinfachte Anforderungen umzusetzen, die ihrer Größe und ihrem Risikoprofil entsprechen.

DORA ist am 16. Januar 2023 in Kraft getreten, nachdem sie am 27. Dezember 2022 im Amtsblatt der EU veröffentlicht wurde. Die Verordnung ist nach einer zweijährigen Übergangsfrist ab dem 17. Januar 2025 vollständig anwendbar und durchsetzbar. 

Finanzunternehmen und IKT-Drittanbieter mussten bis zu diesem Stichtag alle erforderlichen Rahmenwerke, Richtlinien und Verfahren implementiert haben.

Ja. DORA schreibt gemäß den Artikeln 24-27 Tests zur digitalen operationellen Resilienz vor, darunter Schwachstellenbewertungen, Netzwerksicherheitsbewertungen und szenariobasierte Tests. 

Für von den Aufsichtsbehörden als bedeutend eingestufte Unternehmen verlangt  Artikel 26 mindestens alle drei Jahre eine bedrohungsorientierte Penetrationstestung (TLPT). TLPT muss reale Angriffsszenarien simulieren und dabei Informationen über tatsächliche Bedrohungsakteure nutzen, die gezielt die jeweilige Organisation angreifen.

Beginnen Sie mit der Erfassung Ihrer IKT-Assets und Drittanbieter-Abhängigkeiten, um den vollständigen regulatorischen Umfang zu verstehen. Etablieren Sie ein IKT-Risikomanagement-Framework mit Verantwortlichkeit auf Vorstandsebene, wie in Artikel 6 gefordert. 

Überprüfen und aktualisieren Sie alle Verträge mit IKT-Dienstleistern, um die Anforderungen von Artikel 30 zu erfüllen. Implementieren Sie Verfahren zur Vorfallklassifizierung und -meldung, die die 4-Stunden-Benachrichtigungsfrist einhalten. Bauen oder verbessern Sie Ihr Resilienztestprogramm entsprechend Ihrem Risikoprofil.

Die Sanktionen variieren je nach Mitgliedstaat und liegen in der Regel zwischen 5-10 Millionen EUR oder 5-10 % des jährlichen Nettoumsatzes. Belgien verhängt Höchststrafen von 5 Millionen EUR oder 10 % des jährlichen Nettoumsatzes. 

In Schweden wird die Strafe als der höchste Wert aus 1 Million EUR, 10 % des gesamten jährlichen Nettoumsatzes oder dem Dreifachen des aus dem Verstoß erzielten Vorteils berechnet. Artikel 54 erlaubt es den Behörden zudem, Details zu Sanktionen zu veröffentlichen, was über die finanziellen Folgen hinaus ein Reputationsrisiko darstellt.

DORA gilt für 21 Arten von Finanzunternehmen, darunter Kreditinstitute, Wertpapierfirmen, Versicherungsunternehmen, Anbieter von Krypto-Asset-Dienstleistungen und Handelsplätze. 

IKT-Drittanbieter, die EU-Finanzunternehmen bedienen, müssen die Vorgaben ebenfalls erfüllen, unabhängig vom Sitz des Unternehmens. Kleinstunternehmen können gemäß Artikel 16(3) von vereinfachten Rahmenanforderungen profitieren.

DORA verlangt die Zuordnung von Bedrohungsakteuren in Vorfallberichten, die Benachrichtigung von Kunden über Vorfälle und eine direkte behördliche Aufsicht über IKT-Drittanbieter. ISO 27001 bietet eine Grundlage für das Risikomanagement, enthält jedoch nicht diese spezifischen Anforderungen. 

DORA fungiert als lex specialis für Finanzdienstleistungen und hat Vorrang vor den allgemeinen Cybersicherheitsanforderungen von NIS2. Finanzunternehmen, die nach ISO 27001 zertifiziert sind, haben weiterhin Lücken bei der Zuordnung von Bedrohungsakteuren, den Protokollen zur Kundenbenachrichtigung und dem Management von Konzentrationsrisiken bei Drittanbietern, die durch DORA adressiert werden.

TLPT verpflichtet als bedeutend eingestufte Unternehmen, mindestens alle drei Jahre fortgeschrittene Tests durchzuführen, die reale Cyberangriffe simulieren. Die Tests müssen Informationen über tatsächliche Bedrohungsakteure, Taktiken, Techniken und Verfahren nutzen, die gezielt auf Ihre Organisation ausgerichtet sind. 

Nach Abschluss dokumentieren Sie die Ergebnisse und Maßnahmenpläne zur Behebung mit Zeitplänen und reichen anschließend die Compliance-Dokumentation zur aufsichtsrechtlichen Überprüfung bei den zuständigen Behörden ein.

Artikel 28 legt fest, dass Finanzunternehmen nur Verträge mit IKT-Anbietern abschließen dürfen, die den Informationssicherheitsstandards von DORA entsprechen. Bestehende Verträge mit nicht konformen Anbietern führen zu regulatorischen Risiken und müssen auf erforderliche Bestimmungen überprüft werden. 

Die ESAs benennen kritische Drittanbieter für eine direkte regulatorische Aufsicht. Finanzunternehmen müssen Informationen zu IKT-Drittanbieterbeziehungen im Register einreichen und fortlaufende Compliance-Dokumentation führen.

Erfahren Sie mehr über Cybersecurity

Cybersecurity im öffentlichen Sektor: Risiken, Best Practices & FrameworksCybersecurity

Cybersecurity im öffentlichen Sektor: Risiken, Best Practices & Frameworks

Erfahren Sie, welchen Risiken und Bedrohungen Behörden und staatliche Einrichtungen im Bereich Cybersecurity ausgesetzt sind. Wir behandeln außerdem die Best Practices zur Absicherung von Regierungssystemen. Lesen Sie weiter, um mehr zu erfahren.

Mehr lesen
Was ist Insecure Direct Object Reference (IDOR)?Cybersecurity

Was ist Insecure Direct Object Reference (IDOR)?

Insecure Direct Object Reference (IDOR) ist eine Zugriffskontrollschwäche, bei der fehlende Eigentumsprüfungen es Angreifern ermöglichen, durch Änderung eines URL-Parameters auf die Daten beliebiger Benutzer zuzugreifen. Erfahren Sie, wie Sie sie erkennen und verhindern können.

Mehr lesen
IT- vs. OT-Sicherheit: Zentrale Unterschiede & Best PracticesCybersecurity

IT- vs. OT-Sicherheit: Zentrale Unterschiede & Best Practices

IT- und OT-Sicherheit betreffen zwei Bereiche mit unterschiedlichen Risikoprofilen, Compliance-Anforderungen und betrieblichen Prioritäten. Erfahren Sie zentrale Unterschiede und Best Practices.

Mehr lesen
Was sind Air Gapped Backups? Beispiele & Best PracticesCybersecurity

Was sind Air Gapped Backups? Beispiele & Best Practices

Air Gapped Backups halten mindestens eine Wiederherstellungskopie außerhalb der Reichweite von Angreifern. Erfahren Sie, wie sie funktionieren, welche Typen es gibt, Beispiele und Best Practices für die Ransomware-Wiederherstellung.

Mehr lesen
Erleben Sie die fortschrittlichste Cybersecurity-Plattform

Erleben Sie die fortschrittlichste Cybersecurity-Plattform

Erfahren Sie, wie die intelligenteste und autonomste Cybersicherheitsplattform der Welt Ihr Unternehmen heute und in Zukunft schützen kann.

Demo anfordern
  • Fangen Sie an!
  • Demo anforden
  • Produkt-Tour
  • Warum SentinelOne
  • Preise & Pakete
  • FAQ
  • Kontakt
  • Kontaktieren Sie uns
  • Support
  • SentinelOne Status
  • Sprache
  • Plattform
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Services
  • Wayfinder TDR
  • SentinelOne GO
  • Technical Account Management
  • Support-Services
  • Branchen
  • Energieversorger
  • Öffentlicher Sektor
  • Finanzsektor
  • Gesundheitswesen
  • Hochschulen
  • Fertigungsindustrie
  • Retail
  • Regionale & kommunale Verwaltung
  • Cybersecurity for SMB
  • Ressourcen
  • Blog
  • Labs
  • Fallstudien
  • Videos
  • Produkt-Tour
  • Events
  • Cybersecurity 101
  • eBooks
  • Webinars
  • White Papers
  • Presse
  • News
  • Ransomware Anthologie
  • Unternehmen
  • Über uns
  • Unsere Kunden
  • Karriere
  • Partner
  • Legal & Compliance
  • Security & Compliance
  • S Foundation
  • S Ventures

©2026 SentinelOne, Alle Rechte vorbehalten.

Hinweis zum Datenschutz Nutzungsbedingungen

Deutsch