Leader im Gartner® Magic Quadrant™ 2026 für Endpoint Protection. Sechs Jahre in Folge.Ein Leader im Gartner® Magic Quadrant™Mehr erfahren
Erleben Sie eine Sicherheitsverletzung?Blog
Los geht'sKontakt
Header Navigation - DE
  • Plattform
    Plattform Übersicht
    • Singularity Platform
      Willkommen bei der integrierten Unternehmenssicherheit
    • KI für die Sicherheit
      Wegweisend bei KI-gestützten Sicherheitslösungen
    • Sicherung von KI
      Beschleunigen Sie die Einführung von KI mit sicheren KI-Tools, -Anwendungen und -Agenten.
    • Wie es funktioniert
      Der Singularity XDR Unterschied
    • Singularity Marketplace
      Ein-Klick-Integrationen, um die Leistungsfähigkeit von XDR zu erschließen
    • Preise & Pakete
      Vergleiche und Beratung im Überblick
    Data & AI
    • Purple AI
      Beschleunigen Sie SecOps mit generativer KI
    • Singularity Hyperautomation
      Einfaches Automatisieren von Sicherheitsprozessen
    • AI-SIEM
      Das KI-SIEM für das autonome SOC
    • AI Data Pipelines
      Sicherheitsdaten-Pipeline für KI-SIEM und Datenoptimierung
    • Singularity Data Lake
      Angetrieben durch KI, vereinheitlicht durch Data Lake
    • Singularity Data Lake for Log Analytics
      Nahtlose Aufnahme von Daten aus On-Premise-, Cloud- oder Hybrid-Umgebungen
    Endpoint Security
    • Singularity Endpoint
      Autonome Prävention, Erkennung und Reaktion
    • Singularity XDR
      Nativer und offener Schutz, Erkennung und Reaktion
    • Singularity RemoteOps Forensics
      Forensik im großen Maßstab orchestrieren
    • Singularity Threat Intelligence
      Umfassende Aufklärung des Gegners
    • Singularity Vulnerability Management
      Entdeckung von Rogue Assets
    • Singularity Identity
      Erkennung von und Reaktion auf Bedrohungen für Identitäten
    Cloud Security
    • Singularity Cloud Security
      Blockieren Sie Angriffe mit einer KI-gestützten CNAPP
    • Singularity Cloud Native Security
      Cloud und Entwicklungsressourcen sichern
    • Singularity Cloud Workload Security
      Plattform zum Schutz von Cloud-Workloads in Echtzeit
    • Singularity Cloud Data Security
      AI-gestützte Erkennung von Bedrohungen
    • Singularity Cloud Security Posture Management
      Erkennen und Beseitigen von Cloud-Fehlkonfigurationen
    Absicherung von KI
    • Prompt Security
      KI-Tools im gesamten Unternehmen absichern
  • Warum SentinelOne?
    Warum SentinelOne?
    • Warum SentinelOne?
      Cybersecurity, entwickelt für die Zukunft
    • Unsere Kunden
      Weltweit führende Unternehmen vertrauen auf uns
    • Branchen-Auszeichnungen
      Von Experten getestet
    • Über uns
      Der Branchenführer bei autonomer Cybersicherheit
    Vergleichen Sie SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Branchen
    • Energieversorger
    • Öffentlicher Sektor
    • Finanzsektor
    • Gesundheitswesen
    • Hochschulen
    • Fertigungsindustrie
    • Handel
    • Regionale & kommunale Verwaltung
  • Services
    Managed Services
    • Managed Services Übersicht
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Erstklassige Expertise und Threat Intelligence.
    • Managed Detection & Response
      Rund-um-die-Uhr MDR-Experten für Ihre gesamte Umgebung.
    • Incident Readiness & Response
      DFIR, Vorbereitung auf Sicherheitsverletzungen & Kompromittierungsbewertungen.
    Support, Bereitstellung & Health Check
    • Technical Account Management
      Customer Success mit persönlichem Service
    • SentinelOne GO
      Guided Onboarding & Deployment Advisory
    • SentinelOne University
      Live und On-Demand Training
    • Überblick zu unseren Services
      Umfassende Lösungen für reibungslose Sicherheitsoperationen
    • SentinelOne Community
      Community Login
  • Partner
    Unser Netzwerk
    • MSSP Partner
      Schnellerer Erfolg mit SentinelOne
    • Singularity Marketplace
      Erweitern Sie die Leistung der S1-Technologie
    • Cyber Risk Partner
      Einsatz von Pro-Response und Advisory Teams
    • Technologie-Partnerschaften
      Integrierte, unternehmensweite Lösungen
    • SentinelOne für AWS
      Gehostet in AWS-Regionen auf der ganzen Welt
    • Channel Partner
      Gemeinsam die richtigen Lösungen anbieten
    • SentinelOne for Google Cloud
      Vereinheitlichte, autonome Sicherheit, die Verteidigern einen Vorteil im globalen Maßstab verschafft.
    Programm-Übersicht→
  • Ressourcen
    Ressource-Center
    • Fallstudien
    • Datenblätter
    • eBooks
    • Reports
    • Videos
    • Webinars
    • White Papers
    • Events
    Alle Ressourcen anzeigen→
    Blog
    • Feature Spotlight
    • Für CISOs/CIOs
    • Von der Frontlinie
    • Identity
    • Cloud
    • macOS
    • SentinelOne Blog
    Blog→
    Technische Ressourcen
    • SentinelLABS
    • Ransomware Anthologie
    • Cybersecurity 101
  • Unternehmen
    Über SentinelOne
    • Über SentinelOne
      Der Branchenführer im Bereich Cybersicherheit
    • SentinelLABS
      Threat Research für moderne Threat Hunter
    • Karriere
      Die aktuellen Jobangebote
    • Presse & News
      Bekanntmachungen der Firma
    • Cybersecurity Blog
      Die neuesten Cybersecurity-Bedrohungen, News, & mehr
    • FAQ
      Antworten auf die am häufigsten gestellten Fragen
    • DataSet
      Die Live Data Plattform
    • S Foundation
      Eine sicherere Zukunft für alle
    • S Ventures
      Wir investieren in die nächste Generation von Sicherheit und Daten
Los geht'sKontakt
Background image for Was ist die DORA-Verordnung? EU-Rahmenwerk für digitale Resilienz
Cybersecurity 101/Cybersecurity/DORA-Verordnung

Was ist die DORA-Verordnung? EU-Rahmenwerk für digitale Resilienz

Die DORA-Verordnung verpflichtet EU-Finanzunternehmen zur digitalen operationellen Resilienz. Erfahren Sie mehr über die fünf Säulen, Fristen zur Einhaltung, Sanktionen und bewährte Implementierungspraktiken.

CS-101_Cybersecurity.svg
Inhaltsverzeichnis
Was ist die DORA-Verordnung?
Warum DORA für Finanzinstitute wichtig ist
Wer muss DORA einhalten?
DORA-Cybersicherheitsanforderungen
Wie DORA funktioniert
IKT-Risikomanagement nach DORA
Vorfallerstattungsanforderungen nach DORA
DORA-Sanktionen und Durchsetzung
Herausforderungen bei der Umsetzung von DORA
DORA Best Practices
DORA-Compliance-Zeitplan und wichtige Fristen
DORA und verwandte EU-Regelungen
Wichtige Erkenntnisse

Verwandte Artikel

  • OWASP Top 10: Schwachstellen, Risiken und wie man sie behebt
  • GDPR-Sicherheitsanforderungen: Compliance-Checkliste & Leitfaden
  • Was ist CMMC-Compliance? Definition, Stufen & Anforderungen
  • Was ist die 3-2-1-Backup-Strategie? Beispiele & Best Practices
Autor: SentinelOne | Rezensent: Arijeet Ghatak
Aktualisiert: April 30, 2026

Was ist die DORA-Verordnung?

Finanzinstitute in der EU unterliegen einem verpflichtenden Compliance-Rahmen, der am 17. Januar 2025 in Kraft trat und bei Nichteinhaltung Strafen von 5-10 Millionen EUR oder 5-10 % des Jahresumsatzes nach sich ziehen kann. Der Digital Operational Resilience Act (DORA), offiziell Verordnung (EU) 2022/2554, legt einheitliche Anforderungen für das Management von IKT-Risiken für Finanzunternehmen in der EU fest. Laut offiziellem Verordnungstext verpflichtet DORA Finanzunternehmen dazu, ein hohes gemeinsames Niveau der digitalen operationellen Resilienz zu erreichen. Das bedeutet, Sie müssen die Fähigkeit nachweisen, Störungen im Zusammenhang mit Informations- und Kommunikationstechnologien zu widerstehen, darauf zu reagieren und sich davon zu erholen.

DORA gilt für erfasste Finanzunternehmen, darunter Kreditinstitute, Zahlungsdienstleister, Wertpapierfirmen, Krypto-Asset-Dienstleister, Versicherungsunternehmen und IKT-Drittanbieter. Wenn Sie im EU-Finanzsektor tätig sind, unterliegt Ihr Sicherheitsbetrieb wahrscheinlich der DORA.

Branchenerhebungen zeigen, dass nur ein kleiner Teil der Finanzinstitute die Anforderungen an das Management von IKT-Drittrisiken vollständig erfüllt [TKTK - need source], was einen der niedrigsten Compliance-Bereiche aller DORA-Säulen darstellt. Die Meldefrist für Drittanbieter am 30. April 2025 erfordert Maßnahmen, falls Sie diese Lücken noch nicht geschlossen haben.

Das Verständnis der Gründe für diese Verordnung hilft, den Umfang ihrer Anforderungen einzuordnen.

What is DORA Regulation - Featured Image | SentinelOne

Warum DORA für Finanzinstitute wichtig ist

DORA schafft harmonisierte Anforderungen an die digitale operationelle Resilienz im gesamten EU-Finanzsektor und beseitigt Fragmentierung, die zuvor zu komplexen Compliance-Anforderungen und Sicherheitslücken führte. Jüngste Cyberangriffe auf Finanzinstitute zeigen genau, warum diese Verordnung existiert.

2016 nutzten Angreifer SWIFT-Nachrichtensysteme aus, um 81 Millionen US-Dollar von der Bangladesh Bank zu stehlen, wodurch kritische Schwächen im IKT-Risikomanagement Dritter offengelegt wurden, die DORA nun adressiert. Beim Capital One-Vorfall 2019 wurden über 100 Millionen Kundendatensätze durch eine falsch konfigurierte Cloud-Umgebung kompromittiert, was den Bedarf an einheitlichen IKT-Rahmenwerken für hybride Infrastrukturen verdeutlicht. 2018 setzten Angreifer zerstörerische Malware ein, um Mitarbeiter der Banco de Chile abzulenken und gleichzeitig 10 Millionen US-Dollar durch betrügerische SWIFT-Transaktionen zu stehlen – ein Beispiel dafür, wie operationelle Störungen finanziellen Diebstahl verschleiern können.

  • Systemische Risikoreduzierung: Durch die Vorgabe einheitlicher Standards für das IKT-Risikomanagement verringert DORA die Wahrscheinlichkeit, dass operationelle Ausfälle bei einem Institut auf das gesamte Finanzsystem übergreifen. Dieser einheitliche Ansatz stellt sicher, dass Finanzunternehmen IKT-Störungen widerstehen, darauf reagieren und sich davon erholen können.
  • Transparenz bei Drittrisiken: Das kritische Überwachungsrahmenwerk für Drittanbieter adressiert das Konzentrationsrisiko, das entsteht, wenn der Finanzsektor auf wenige IKT-Anbieter angewiesen ist. Laut dem  EIOPA-Überwachungsrahmen etablieren die Artikel 31-44 eine direkte regulatorische Aufsicht über kritische IKT-Drittanbieter (CTPPs) – erstmals in diesem Umfang in der EU.
  • Standardisierung der Incident Response: Die 4-Stunden-Meldepflicht sorgt für Konsistenz im Umgang mit Sicherheitsvorfällen. Bei IKT-bezogenen Großvorfällen mit systemischem Potenzial koordinieren Behörden die Reaktion über das European Systemic Cyber Incident Coordination Framework (EU-SCICF).
  • Stärkung des Kundenschutzes: DORA verpflichtet Finanzunternehmen, schwerwiegende IKT-bezogene Vorfälle und bedeutende Cybersecurity-Bedrohungen an zuständige Behörden zu melden. Eine Verpflichtung zur Kundeninformation ergibt sich, falls überhaupt, aus anderen sektoralen Gesetzen wie DSGVO oder PSD2, nicht aus DORA selbst.

Diese Vorteile gelten branchenweit, aber der erste Schritt ist die Feststellung, ob Ihre Organisation unter den Anwendungsbereich von DORA fällt.

Wer muss DORA einhalten?

DORA gilt für 21 Kategorien von Finanzunternehmen, die in der EU tätig sind, und schafft damit einen der umfassendsten regulatorischen Anwendungsbereiche im Bereich Cybersecurity für Finanzdienstleistungen. Artikel 2 definiert die vollständige Liste der erfassten Unternehmen.

Traditionelle Finanzinstitute bilden den Kernbereich: Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, Wertpapierfirmen und Zentralverwahrer. Versicherungs- und Rückversicherungsunternehmen, Versicherungsvermittler und Einrichtungen der betrieblichen Altersversorgung unterliegen ebenfalls den DORA-Anforderungen. Die Verordnung gilt auch für Krypto-Asset-Dienstleister, Crowdfunding-Dienstleister und Verbriefungsregister.

Marktinfrastruktureinrichtungen wie Handelsplätze, Transaktionsregister, zentrale Gegenparteien und Datenmeldedienste müssen DORA einhalten. Ratingagenturen, Administratoren kritischer Benchmarks und Kontoinformationsdienste vervollständigen die Kategorien der Finanzunternehmen.

IKT-Drittanbieter unterliegen den DORA-Anforderungen, wenn sie EU-Finanzunternehmen bedienen, unabhängig vom Sitz des Anbieters. Nicht in der EU ansässige Technologieunternehmen, die Cloud-Dienste, Software oder Managed Services für EU-Banken bereitstellen, müssen die vertraglichen Anforderungen von DORA erfüllen. Die ESAs benennen bestimmte Anbieter als Critical Third-Party Providers (CTPPs) aufgrund ihrer systemischen Bedeutung und unterwerfen sie einer direkten regulatorischen Aufsicht.

Das Proportionalitätsprinzip gemäß Artikel 4 erlaubt es kleineren Unternehmen, Anforderungen entsprechend ihrer Größe, ihres Risikoprofils und ihrer Komplexität umzusetzen. Kleinstunternehmen qualifizieren sich gemäß Artikel 16(3) für vereinfachte IKT-Risikomanagement-Rahmenwerke, unterliegen jedoch weiterhin Meldepflichten und Drittanbieter-Überwachung.

Wenn Sie festgestellt haben, dass DORA für Ihre Organisation gilt, stellt sich als nächstes die Frage, welche spezifischen Sicherheitsanforderungen Sie erfüllen müssen.

DORA-Cybersicherheitsanforderungen

DORA adressiert explizit die Sicherheit von Netz- und Informationssystemen, die Geschäftsprozesse im Finanzsektor unterstützen. IKT-bezogene Störungen und Cyberbedrohungen stellen erhebliche Risiken für Finanzstabilität, Betriebskontinuität und Kundenschutz dar.

Artikel 15 legt explizite Cybersicherheitsanforderungen fest: Sie müssen anomales Verhalten in Bezug auf Netzwerk-Nutzungsmuster, Uhrzeiten, IT-Aktivitäten und unbekannte Geräte überwachen. Laut offiziellem Verordnungstext müssen Finanzunternehmen die Überwachung anomalen Verhaltens im Zusammenhang mit IKT-Risiken anhand geeigneter Indikatoren implementieren.

Die Meldepflichten für Vorfälle gehen über traditionelle Cybersecurity-Rahmenwerke hinaus. Artikel 19 und 20 verlangen, dass Sie in Ihren Vorfall- und Bedrohungsberichten eine Zuordnung von Bedrohungsakteuren vornehmen. Sie müssen Vorfälle innerhalb von 4 Stunden als schwerwiegend oder nicht schwerwiegend klassifizieren und dann eine Erstmeldung an Ihre nationale zuständige Behörde abgeben.

DORA fungiert als lex specialis für den Finanzsektor und hat Vorrang vor NIS2. Während ISO 27001 eine Grundlage bietet, erweitert DORA die Anforderungen um verpflichtende Bedrohungsakteur-Attribution, Kundenbenachrichtigungspflichten und Drittanbieter-Überwachungsmechanismen zur Adressierung systemischer Konzentrationsrisiken.

Diese Cybersicherheitsanforderungen sind Teil der umfassenderen regulatorischen Struktur von DORA, die Verpflichtungen in fünf verschiedene Säulen gliedert.

Wie DORA funktioniert

DORA wird durch verpflichtende technische Anforderungen umgesetzt, die von nationalen zuständigen Behörden unter Koordination der Europäischen Aufsichtsbehörden durchgesetzt werden.

Ihr IKT-Risikomanagement-Rahmenwerk erfordert Strategien, Richtlinien und Verfahren. Ihr Leitungsorgan trägt die letztendliche Verantwortung für die Überwachung von IKT-Risiken, wie es in den regulatorischen Anforderungen von DORA festgelegt ist, siehe  Citi's regulatory briefing.

Wenn ein Vorfall auftritt, klassifizieren Sie Vorfälle unmittelbar nach Identifizierung anhand vordefinierter Kriterien. Bei schwerwiegenden Vorfällen erfolgt die Erstmeldung innerhalb von 4 Stunden nach Klassifizierung an Ihre nationale zuständige Behörde, gefolgt von weiteren Meldungen im Verlauf des Vorfalls.

Das Resilienztestprogramm läuft in definierten Zyklen. Für die meisten Unternehmen führen Sie regelmäßige Bewertungen und szenariobasierte Tests entsprechend Ihrem Risikoprofil durch. Wenn die Aufsichtsbehörden Ihr Institut als bedeutend einstufen, führen Sie mindestens alle 3 Jahre TLPT durch. Nach Abschluss der Tests dokumentieren Sie zusammenfassende Ergebnisse und Maßnahmenpläne mit Zeitrahmen.

Die Überwachung von Drittanbietern erfolgt über vertragliche Anforderungen und regulatorische Einstufung. Vor der Beauftragung von IKT-Dienstleistern prüfen Sie, ob diese die Informationssicherheitsstandards von DORA erfüllen. Gemäß  Artikel 30 müssen Ihre Verträge Folgendes enthalten:

  • Service Level Agreements mit Leistungskennzahlen
  • Sicherheitsstandards und Compliance-Anforderungen
  • Auditrechte und Zugangsregelungen
  • Ausstiegsstrategien und Übergangsplanung

Die ESAs benennen bestimmte Anbieter als kritische Drittanbieter (CTPPs) aufgrund ihrer systemischen Bedeutung. Diese CTPPs unterliegen einer direkten regulatorischen Aufsicht, unabhängig von ihrem Sitz.

Zwei der fünf DORA-Säulen sind für Sicherheitsteams besonders relevant: IKT-Risikomanagement und Vorfallberichterstattung.

IKT-Risikomanagement nach DORA

Das IKT-Risikomanagement bildet das Fundament des regulatorischen Rahmens von DORA. Artikel 6 verlangt von Finanzunternehmen, IKT-Risikomanagement-Rahmenwerke als integralen Bestandteil ihres gesamten  Risikomanagementsystems zu etablieren, wobei die direkte Verantwortung beim Leitungsorgan liegt.

Ihr Leitungsorgan muss IKT-Risikomanagementregelungen definieren, genehmigen, überwachen und dafür verantwortlich sein. Dazu gehört die Festlegung von Risikotoleranzniveaus, die Genehmigung von Richtlinien zur IKT-Betriebskontinuität und die Bereitstellung ausreichender Budgets für digitale operationelle Resilienz. DORA stellt klar, dass IKT-Risiken eine Vorstandsverantwortung sind, keine reine IT-Aufgabe.

Artikel 8 verlangt die Identifikation aller IKT-Risikoquellen, einschließlich Risiken aus IKT-Drittanbieterabhängigkeiten. Sie müssen ein vollständiges Inventar aller IKT-Assets führen, Abhängigkeiten zwischen Systemen abbilden und alle IKT-gestützten Geschäftsprozesse dokumentieren. Diese Abbildung deckt Konzentrationsrisiken und Single Points of Failure auf, die kritische Finanzdienstleistungen beeinträchtigen könnten.

Die Anforderungen an Schutz und Prävention gemäß Artikel 9 schreiben vor, dass Finanzunternehmen IKT-Sicherheitsrichtlinien in mehreren Bereichen umsetzen müssen:

  • Informationssicherheit für Daten in Transit und in Ruhe
  • Netzwerksicherheitsmanagement und Segmentierung
  • Zugriffskontrollrichtlinien und Authentifizierungsmechanismen
  • Patch- und Update-Management-Verfahren
  • Physische und umgebungsbezogene Sicherheit für IKT-Assets

Diese Kontrollen müssen als integriertes System funktionieren und dürfen nicht isoliert angewendet werden.

Erkennungsfähigkeiten sind ebenso entscheidend. Artikel 10 verlangt Mechanismen zur schnellen Erkennung anomaler Aktivitäten, einschließlich Netzwerkleistungsproblemen und IKT-bezogenen Vorfällen. Ihre Erkennungsinfrastruktur muss anomales Verhalten anhand geeigneter Indikatoren überwachen und mehrere Kontrollschichten ermöglichen.

Reaktions- und Wiederherstellungsverfahren gemäß Artikel 11 und 12 vervollständigen das Rahmenwerk. Sie müssen Richtlinien zur IKT-Betriebskontinuität, Notfallwiederherstellungspläne und Backup-Richtlinien implementieren. Diese müssen regelmäßig getestet und auf Basis von Erkenntnissen aus Störungen, Resilienztests und Audits aktualisiert werden.

Die Erfüllung dieser IKT-Risikomanagementpflichten bildet die Grundlage für die ebenso anspruchsvollen Meldepflichten von DORA.

Vorfallerstattungsanforderungen nach DORA

DORA etabliert ein strukturiertes, zeitgebundenes Melderahmenwerk für Vorfälle, das über das hinausgeht, was die meisten Finanzunternehmen unter früheren Regelungen umgesetzt haben. Artikel 17 bis 23 definieren Klassifizierungskriterien, Meldefristen und Benachrichtigungspflichten für IKT-bezogene Vorfälle.

Sie müssen zunächst jeden IKT-bezogenen Vorfall anhand der in Artikel 18 definierten Kriterien klassifizieren. Zu den Klassifizierungsfaktoren zählen die Anzahl betroffener Kunden, Dauer und geografische Ausbreitung des Vorfalls, Datenverluste, Kritikalität der betroffenen Dienste und wirtschaftliche Auswirkungen. Auf Basis dieser Bewertung bestimmen Sie, ob der Vorfall gemäß DORA als "schwerwiegend" einzustufen ist.

Für schwerwiegende Vorfälle gelten strenge Meldefristen:

  • Erstmeldung: Innerhalb von 4 Stunden nach Klassifizierung des Vorfalls
  • Zwischenbericht: Innerhalb von 72 Stunden nach der Erstmeldung, mit Fortschrittsupdates, vorläufiger Ursachenanalyse und temporären Maßnahmen
  • Abschlussbericht: Innerhalb eines Monats nach dem Zwischenbericht, mit bestätigter Ursachenanalyse, tatsächlicher Auswirkungsbewertung und ergriffenen Abhilfemaßnahmen

Effektive  Incident-Response-Prozesse sind unerlässlich, um diese Fristen einzuhalten. Artikel 19 und 20 verlangen zudem die Attribution von Bedrohungsakteuren in Ihren Vorfall- und Bedrohungsberichten, was eine  Integration von Threat Intelligence in Ihre Reporting-Workflows erforderlich macht.

Über schwerwiegende Vorfälle hinaus führt DORA die freiwillige Meldung signifikanter Cyberbedrohungen gemäß Artikel 19 ein. Finanzunternehmen können ihre zuständige Behörde benachrichtigen, wenn sie eine Cyberbedrohung identifizieren, die sie für das Finanzsystem als relevant erachten, auch wenn daraus noch kein Vorfall resultiert ist.

Diese Meldepflichten haben Durchsetzungsfolgen, was uns zum Sanktionsrahmen von DORA führt.

DORA-Sanktionen und Durchsetzung

Die Durchsetzung von DORA erfolgt durch nationale zuständige Behörden unter Koordination der Europäischen Aufsichtsbehörden (EBA, ESMA und EIOPA). Jeder EU-Mitgliedstaat implementiert seinen eigenen Sanktionsrahmen innerhalb der DORA-Parameter, was zu Unterschieden bei Höchststrafen und Durchsetzungsansätzen führt.

Die Sanktionsstrukturen unterscheiden sich erheblich zwischen den Mitgliedstaaten. Laut  DLA Piper-Analyse verhängt Belgien Höchststrafen von 5 Millionen EUR oder 10 % des jährlichen Nettoumsatzes. Schweden berechnet Strafen als das Höchste aus 1 Million EUR, 10 % des jährlichen Nettoumsatzes oder dem Dreifachen des aus dem Verstoß erzielten Vorteils. Das deutsche System erlaubt Strafen bis zu 5 Millionen EUR für juristische Personen und 500.000 EUR für natürliche Personen in Leitungsfunktionen.

Die Durchsetzungsbefugnisse gehen über finanzielle Sanktionen hinaus. Zuständige Behörden können:

  • Unterlassungsanordnungen mit sofortigem Handlungsbedarf erlassen
  • Öffentliche Warnungen mit Nennung nicht konformer Unternehmen veröffentlichen
  • Vorstandsmitglieder abberufen, die bei der Überwachung von IKT-Risiken versagt haben

Diese Reputationsfolgen übersteigen oft die direkten finanziellen Sanktionen in ihrer langfristigen Wirkung auf das Geschäft.

Artikel 54 verpflichtet zuständige Behörden, Entscheidungen über Verwaltungssanktionen auf ihren offiziellen Websites zu veröffentlichen, einschließlich Angaben zur Art und zum Charakter des Verstoßes sowie zur Identität der verantwortlichen Personen. Dieser Mechanismus schafft Transparenz, birgt aber auch erhebliche Reputationsrisiken für nicht konforme Organisationen.

Kritische Drittanbieter unterliegen der direkten Aufsicht durch den von den ESAs benannten Lead Overseer. CTPPs, die den Aufsichtsempfehlungen nicht nachkommen, müssen periodische Strafzahlungen leisten, bis sie die Compliance erreichen – unabhängig von den Strafen, die den von ihnen bedienten Finanzunternehmen auferlegt werden.

Angesichts dieser Durchsetzungsrisiken ist das Verständnis der praktischen Hürden für die Compliance entscheidend.

Herausforderungen bei der Umsetzung von DORA

Branchenerhebungen zeigen systematische Umsetzungsbarrieren im Finanzsektor, wobei das Management von IKT-Drittrisiken und das Testen der digitalen operationellen Resilienz die niedrigsten Compliance-Werte aufweisen.

  1. Komplexität des Drittanbieter-Risikomanagements: Das Management von IKT-Drittrisiken ist der Bereich mit der geringsten Compliance über alle DORA-Säulen hinweg. Organisationen stehen vor der Herausforderung, technologiegestützte rechtliche Prüfungen potenziell tausender Verträge durchzuführen, wobei jeweils zu verifizieren ist, dass Anbieter die Sicherheitsstandards von DORA erfüllen.
  2. Mängel im Testprogramm: Das Testen der digitalen operationellen Resilienz weist ähnlich bedenkliche Compliance-Werte auf. Dies deutet darauf hin, dass Organisationen Schwierigkeiten haben, die unter DORA geforderten Threat-Led Penetration Testing-Rahmenwerke umzusetzen.
  3. Sichtbarkeitslücken bei Multi-Cloud: Die zentrale Übersicht über komplexe, segmentierte und getrennte IKT-Systeme ist eine große Herausforderung. Sie benötigen Metadatenaufnahme aus Multi-Cloud-Umgebungen, Integration von On-Premise-Infrastruktur und vollständige Asset-Inventare. Zentrale Sichtbarkeitsplattformen, die Monitoring über Multi-Cloud- und On-Premise-Umgebungen konsolidieren, helfen bei der Bewältigung dieser Herausforderung.
  4. Anforderungen an die Incident-Attribution: Die Verpflichtung zur  Attribution von Bedrohungsakteuren in Vorfallberichten schafft einen operativen Mehraufwand über die traditionelle Incident Response hinaus. Dies erfordert Zugriff auf Threat-Intelligence-Feeds und Analysten mit Attributionsexpertise sowie autonome Reporting-Workflows zur Unterstützung der Benachrichtigung mehrerer Stakeholder, einschließlich Kundenkommunikation.
  5. Zeitdruck: Die 4-Stunden-Meldepflicht ab Vorfallklassifizierung erzeugt erheblichen operativen Druck. Sicherheitsplattformen mit autonomen Fähigkeiten verkürzen die Reaktionszeit, indem sie Bedrohungen ohne manuelles Eingreifen erkennen und klassifizieren. Tritt ein Vorfall um 2 Uhr morgens auf, haben Sie vier Stunden Zeit, die Schwere zu klassifizieren, Auswirkungen zu bewerten, Bedrohungsakteure zu bestimmen und die Erstmeldung abzugeben.

Diese Hürden lassen sich nur mit gezielten Strategien überwinden, die die anspruchsvollsten Anforderungen von DORA adressieren.

DORA Best Practices

Eine erfolgreiche DORA-Umsetzung erfordert strukturierte Ansätze in den Bereichen Governance, Betrieb und Technologie.

Drittanbieter-Risikomanagement priorisieren: Da das Drittanbieter-Risikomanagement die niedrigsten Compliance-Raten aufweist, führen Sie technologiegestützte rechtliche Prüfungen aller IKT-Dienstleisterverträge durch. Implementieren Sie individuelle Ansätze für kritische Anbieter. Etablieren Sie ein kontinuierliches Monitoring der Drittanbieter-Compliance und adressieren Sie Konzentrationsrisiken durch Diversifizierungsstrategien.

Autonome Incident Response implementieren: Sicherheitsplattformen, die verhaltensbasierte KI zur Überwachung anomalen Verhaltens in Netzwerk-Mustern, Uhrzeiten, IT-Aktivitäten und unbekannten Geräten gemäß Artikel 15 einsetzen, ermöglichen eine schnelle Incident Response. Sie benötigen  Sicherheitsplattformen mit autonomen Fähigkeiten zur Erkennung und Klassifizierung von Bedrohungen, um die 4-Stunden-Meldepflicht einzuhalten. Stellen Sie sicher, dass Ihre Infrastruktur eine Threat-Intelligence-Integration zur Unterstützung der Bedrohungsakteur-Attribution gemäß Artikel 19-20 umfasst.

Testprogramme über Risikoprofile hinweg aufbauen: Führen Sie Threat-Led Penetration Testing (TLPT) für identifizierte kritische Systeme mindestens alle 3 Jahre durch. Ihr Testprogramm sollte Folgendes umfassen:

  • Regelmäßige szenariobasierte Resilienzübungen
  • Dokumentierte Testergebnisse mit zusammenfassenden Erkenntnissen
  • Abhilfemaßnahmen mit konkreten Zeitplänen
  • Integration in die Notfallplanung

Zentrale Sichtbarkeitsplattformen einsetzen: Etablieren Sie eine zentrale Sichtbarkeit über Multi-Cloud- und On-Premise-Umgebungen hinweg. Führen Sie vollständige IKT-Asset-Inventare. Implementieren Sie kontinuierliches Posture Management. Schaffen Sie eine Single Source of Truth für IKT-Abhängigkeiten auf Basis von Branchenempfehlungen zur Bewältigung von Multi-Cloud- und Hybrid-Infrastruktur-Sichtbarkeitsherausforderungen.

Kontinuierliche Compliance etablieren: Richten Sie laufende  Compliance-Monitoring-Programme ein, statt punktueller Bewertungen. Bauen Sie Feedbackschleifen von Tests zum Risikomanagement auf. Halten Sie sich über sich entwickelnde Aufsichtserwartungen auf dem Laufenden. Planen Sie für Updates der regulatorischen technischen Standards. Überwachen Sie die Einstufung kritischer Drittanbieter durch Behörden.

Neben diesen operativen Maßnahmen hilft das Verständnis des DORA-Compliance-Zeitplans bei der Priorisierung der Umsetzung.

DORA-Compliance-Zeitplan und wichtige Fristen

DORA folgt einem gestaffelten Umsetzungszeitplan, der mit der Veröffentlichung begann und durch laufende regulatorische technische Standard-Updates fortgesetzt wird. Die Einhaltung dieser Fristen ist entscheidend für die Aufrechterhaltung der Compliance.

DORA wurde am  Amtsblatt der EU am 27. Dezember 2022 veröffentlicht und trat am 16. Januar 2023 in Kraft. Finanzunternehmen und IKT-Drittanbieter hatten eine zweijährige Übergangsfrist zur Umsetzung der Anforderungen der Verordnung.

Das Hauptdurchsetzungsdatum war der 17. Januar 2025. Ab diesem Datum müssen alle erfassten Finanzunternehmen die Einhaltung der zentralen DORA-Anforderungen nachweisen: IKT-Risikomanagement-Rahmenwerke, Vorfallmeldeverfahren, Resilienztestprogramme und Drittanbieter-Risikomanagementpflichten.

Wichtige Fristen nach Inkrafttreten:

  • 17. Januar 2025: Vollständige Compliance für alle erfassten Unternehmen erforderlich
  • 30. April 2025: Erste Einreichungsfrist für das Register der IKT-Drittanbietervereinbarungen bei den zuständigen Behörden
  • Laufend (alle 3 Jahre): Threat-Led Penetration Testing (TLPT) für als bedeutend eingestufte Unternehmen
  • Laufend: Jährliche Aktualisierung des IKT-Drittanbieterregisters und kontinuierliches Monitoring der Drittanbieter-Compliance

Die Europäischen Aufsichtsbehörden veröffentlichen weiterhin Regulatory Technical Standards (RTS) und Implementing Technical Standards (ITS), die detaillierte Leitlinien zu spezifischen DORA-Anforderungen bieten. Die  erste RTS-Tranche zu IKT-Risikomanagement, Vorfallklassifizierung und Drittanbieterrisiko wurde Anfang 2024 finalisiert. Eine zweite Tranche zu TLPT-Anforderungen und fortgeschrittenen Testframeworks folgte.

Finanzunternehmen sollten die Veröffentlichungen der ESAs auf Updates zu technischen Standards und Aufsichtsleitlinien überwachen, die die Compliance-Anforderungen im Zeitverlauf präzisieren können. DORA überschneidet sich zudem mit anderen EU-Regelwerken, die Finanzunternehmen parallel beachten müssen.

DORA und verwandte EU-Regelungen

DORA wirkt zusammen mit mehreren EU-Regelungen, die gemeinsam die Cybersecurity- und Resilienzlandschaft für Finanzinstitute prägen. Das Verständnis dieser Wechselwirkungen verhindert Doppelarbeit und stellt vollständige regulatorische Abdeckung sicher.

  • DORA und NIS2: DORA fungiert als lex specialis für den Finanzsektor und hat Vorrang vor der Network and Information Security Directive (NIS2) für Unternehmen im Anwendungsbereich. Wo beide Regelungen greifen könnten, überlagern DORAs spezifische Anforderungen die allgemeinen Cybersecurity-Vorgaben von NIS2. IKT-Dienstleister, die nicht als CTPPs eingestuft sind, können jedoch weiterhin NIS2-Pflichten unterliegen, wenn sie als wesentliche oder wichtige Einrichtungen gelten.
  • DORA und DSGVO: Die Datenschutz-Grundverordnung gilt weiterhin parallel zu DORA, insbesondere bei der Meldung von Datenschutzverletzungen. Bei IKT-bezogenen Vorfällen mit Personenbezug müssen Sie sowohl die DORA-Meldefrist (4-Stunden-Erstmeldung an die zuständigen Behörden) als auch die 72-Stunden-Meldung an Datenschutzbehörden nach DSGVO einhalten. Die beiden Meldewege laufen parallel mit unterschiedlichen Fristen, Empfängern und Inhaltsanforderungen.
  • DORA und Cyber Resilience Act (CRA): Der CRA konzentriert sich auf Cybersicherheitsanforderungen für Produkte mit digitalen Elementen, die auf dem EU-Markt bereitgestellt werden. Während DORA regelt, wie Finanzunternehmen IKT-Risiken operationell managen, adressiert der CRA die Sicherheit der von diesen Unternehmen beschafften Hard- und Softwareprodukte. Zusammen schaffen sie einen Supply-Chain-Sicherheitsrahmen, in dem Hersteller CRA-Standards erfüllen und Finanzunternehmen die Lieferanten-Compliance nach DORA verifizieren müssen.
  • DORA und ISO 27001: ISO 27001 bietet ein freiwilliges Rahmenwerk für Informationssicherheitsmanagementsysteme, während DORA verbindliche Anforderungen vorschreibt. ENISA stellt offizielle Mapping-Tabellen bereit, die DORA-Anforderungen mit ISO 27001-Kontrollen korrelieren. Nach ISO 27001 zertifizierte Finanzunternehmen haben einen Vorsprung, müssen aber weiterhin Lücken bei Bedrohungsakteur-Attribution, Kundenbenachrichtigung, Management von Drittanbieter-Konzentrationsrisiken und TLPT-Anforderungen schließen, die DORA explizit vorschreibt.

Die Umsetzung dieser Best Practices und die Navigation durch regulatorische Überschneidungen erfordern eine Sicherheitsinfrastruktur, die auf kontinuierliches Monitoring und schnelle Reaktion ausgelegt ist.

Entfesseln Sie AI-gestützte Cybersicherheit

Verbessern Sie Ihre Sicherheitslage durch Echtzeit-Erkennung, maschinelle Reaktion und vollständige Transparenz Ihrer gesamten digitalen Umgebung.

Demo anfordern

Wichtige Erkenntnisse

DORA verpflichtet Finanzunternehmen in der EU ab dem 17. Januar 2025 zur digitalen operationellen Resilienz. Die Verordnung verlangt IKT-Risikomanagement-Rahmenwerke mit Vorstandsverantwortung, Vorfallklassifizierung und -meldung innerhalb von 4 Stunden bei schwerwiegenden Vorfällen einschließlich Bedrohungsakteur-Attribution, Resilienztests mit TLPT mindestens alle drei Jahre für bedeutende Unternehmen, Drittanbieter-Überwachung mit IKT-Anbietermeldung ab 30. April 2025 sowie Mechanismen zum Informationsaustausch über Cyberbedrohungsinformationen.

Drittanbieter-Risikomanagement und Resilienztests weisen die niedrigsten Compliance-Raten im Finanzsektor auf und schaffen erhebliche regulatorische Risiken. Sicherheitsplattformen, die anomales Verhalten überwachen, Threat-Intelligence-Integration bieten und schnelle Incident Response ermöglichen, helfen Organisationen, die anspruchsvollen Anforderungen von DORA zu erfüllen.

FAQs

DORA (Digital Operational Resilience Act) ist die EU-Verordnung 2022/2554, die einheitliche Anforderungen an das IKT-Risikomanagement für Finanzunternehmen in der EU festlegt. Die Verordnung verpflichtet Finanzinstitute, digitale operationelle Resilienz durch die Implementierung von IKT-Risikomanagement-Rahmenwerken, Verfahren zur Vorfallmeldung, Programme zur Resilienzprüfung und Überwachung von Drittanbietern zu erreichen. 

DORA trat am 17. Januar 2025 in Kraft und gilt für 21 Arten von Finanzunternehmen, darunter Banken, Wertpapierfirmen, Versicherungsunternehmen und deren IKT-Dienstleister.

DORA gilt für 21 Kategorien von Finanzunternehmen, die innerhalb der EU tätig sind, darunter Kreditinstitute, Wertpapierfirmen, Versicherungsunternehmen, Zahlungsdienstleister, Krypto-Asset-Dienstleister und Handelsplätze. 

IKT-Drittdienstleister, die diese Finanzunternehmen bedienen, müssen ebenfalls die Vorschriften einhalten, unabhängig davon, ob der Anbieter seinen Hauptsitz innerhalb oder außerhalb der EU hat. Das Proportionalitätsprinzip ermöglicht es kleineren Unternehmen, vereinfachte Anforderungen umzusetzen, die ihrer Größe und ihrem Risikoprofil entsprechen.

DORA trat am 16. Januar 2023 in Kraft, nachdem sie am 27. Dezember 2022 im Amtsblatt der EU veröffentlicht wurde. Die Verordnung ist nach einer zweijährigen Übergangsfrist ab dem 17. Januar 2025 vollständig anwendbar und durchsetzbar. 

Finanzunternehmen und IKT-Drittanbieter mussten bis zu diesem Stichtag alle erforderlichen Rahmenwerke, Richtlinien und Verfahren implementiert haben.

Ja. DORA schreibt gemäß den Artikeln 24-27 Tests zur digitalen operationellen Resilienz vor, darunter Schwachstellenbewertungen, Netzwerksicherheitsbewertungen und szenariobasierte Tests. 

Für von den Aufsichtsbehörden als bedeutend eingestufte Unternehmen verlangt  Artikel 26 mindestens alle drei Jahre eine bedrohungsgeleitete Penetrationstest (TLPT). TLPT muss reale Angriffsszenarien simulieren und dabei Informationen über tatsächliche Bedrohungsakteure nutzen, die gezielt die jeweilige Organisation angreifen.

Beginnen Sie mit der Erfassung Ihrer IKT-Assets und Drittanbieter-Abhängigkeiten, um den vollständigen regulatorischen Umfang zu verstehen. Etablieren Sie ein IKT-Risikomanagement-Rahmenwerk mit Verantwortlichkeit auf Vorstandsebene, wie in Artikel 6 gefordert. 

Überprüfen und aktualisieren Sie alle Verträge mit IKT-Dienstleistern, um die Anforderungen aus Artikel 30 zu erfüllen. Implementieren Sie Verfahren zur Vorfallklassifizierung und -meldung, die die 4-Stunden-Benachrichtigungsfrist einhalten. Bauen oder verbessern Sie Ihr Resilienztestprogramm entsprechend Ihrem Risikoprofil.

Die Sanktionen variieren je nach Mitgliedstaat und liegen in der Regel zwischen 5-10 Millionen EUR oder 5-10 % des jährlichen Nettoumsatzes. Belgien verhängt Höchststrafen von 5 Millionen EUR oder 10 % des jährlichen Nettoumsatzes. 

In Schweden wird die Strafe als der höchste Wert aus 1 Million EUR, 10 % des gesamten jährlichen Nettoumsatzes oder dem Dreifachen des aus dem Verstoß erzielten Vorteils berechnet. Artikel 54 erlaubt es den Behörden zudem, Details zu Sanktionen zu veröffentlichen, was über die finanziellen Folgen hinaus ein Reputationsrisiko darstellt.

DORA gilt für 21 Arten von Finanzunternehmen, darunter Kreditinstitute, Wertpapierfirmen, Versicherungsunternehmen, Anbieter von Krypto-Asset-Dienstleistungen und Handelsplätze. 

IKT-Drittanbieter, die EU-Finanzunternehmen bedienen, müssen die Vorgaben ebenfalls erfüllen, unabhängig vom Sitz des Unternehmens. Kleinstunternehmen können gemäß Artikel 16(3) von vereinfachten Rahmenwerksanforderungen profitieren.

DORA verlangt die Zuordnung von Bedrohungsakteuren in Vorfallberichten, die Benachrichtigung von Kunden über Vorfälle und eine direkte behördliche Aufsicht über IKT-Drittanbieter. ISO 27001 bietet eine Grundlage für das Risikomanagement, enthält jedoch nicht diese spezifischen Anforderungen. 

DORA fungiert als lex specialis für Finanzdienstleistungen und hat Vorrang vor den allgemeinen Cybersicherheitsanforderungen von NIS2. Finanzunternehmen, die nach ISO 27001 zertifiziert sind, haben weiterhin Lücken bei der Zuordnung von Bedrohungsakteuren, den Protokollen zur Kundenbenachrichtigung und dem Management von Konzentrationsrisiken bei Drittanbietern, die durch DORA adressiert werden.

TLPT verlangt von als bedeutend eingestuften Unternehmen, mindestens alle drei Jahre fortgeschrittene Tests durchzuführen, die reale Cyberangriffe simulieren. Die Tests müssen Informationen über tatsächliche Bedrohungsakteure, Taktiken, Techniken und Verfahren nutzen, die gezielt auf Ihre Organisation ausgerichtet sind. 

Nach Abschluss dokumentieren Sie die Ergebnisse und Maßnahmenpläne zur Behebung mit Zeitplänen und reichen anschließend die Compliance-Dokumentation zur Überprüfung bei den zuständigen Behörden ein.

Artikel 28 legt fest, dass Finanzunternehmen nur Verträge mit IKT-Anbietern abschließen dürfen, die den Informationssicherheitsstandards von DORA entsprechen. Bestehende Verträge mit nicht konformen Anbietern führen zu regulatorischen Risiken und müssen auf erforderliche Bestimmungen überprüft werden. 

Die ESAs benennen kritische Drittanbieter für eine direkte regulatorische Aufsicht. Finanzunternehmen müssen Informationen zu IKT-Drittanbieterbeziehungen im Register einreichen und fortlaufende Compliance-Dokumentation führen.

Erfahren Sie mehr über Cybersecurity

Was ist das Purdue-Modell? Definition, Ebenen & Best PracticesCybersecurity

Was ist das Purdue-Modell? Definition, Ebenen & Best Practices

Das Purdue-Modell ist der Bundesstandard für die Segmentierung von ICS-Netzwerken und organisiert OT-Umgebungen in sechs hierarchische Ebenen mit durchgesetzten Vertrauensgrenzen.

Mehr lesen
Was ist ein Secure Web Gateway (SWG)? Netzwerkschutz erklärtCybersecurity

Was ist ein Secure Web Gateway (SWG)? Netzwerkschutz erklärt

Secure Web Gateways filtern Web-Traffic, blockieren Malware und setzen Richtlinien für verteilte Belegschaften durch. Erfahren Sie mehr über SWG-Komponenten, Bereitstellungsmodelle und Best Practices.

Mehr lesen
Was ist OS Command Injection? Ausnutzung, Auswirkungen & AbwehrCybersecurity

Was ist OS Command Injection? Ausnutzung, Auswirkungen & Abwehr

OS Command Injection (CWE-78) ermöglicht Angreifern die Ausführung beliebiger Befehle über nicht bereinigte Eingaben. Erfahren Sie mehr über Ausnutzungstechniken, reale CVEs und Abwehrmaßnahmen.

Mehr lesen
Malware-StatistikenCybersecurity

Malware-Statistiken

Erfahren Sie mehr über die neuesten Malware-Statistiken für 2026 in den Bereichen Cloud und Cybersecurity. Sehen Sie, womit Organisationen konfrontiert sind, bereiten Sie Ihre nächsten Investitionen vor und mehr.

Mehr lesen
Erleben Sie die fortschrittlichste Cybersecurity-Plattform

Erleben Sie die fortschrittlichste Cybersecurity-Plattform

Erfahren Sie, wie die intelligenteste und autonomste Cybersicherheitsplattform der Welt Ihr Unternehmen heute und in Zukunft schützen kann.

Demo anfordern
  • Fangen Sie an!
  • Demo anforden
  • Produkt-Tour
  • Warum SentinelOne
  • Preise & Pakete
  • FAQ
  • Kontakt
  • Kontaktieren Sie uns
  • Support
  • SentinelOne Status
  • Sprache
  • Plattform
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Services
  • Wayfinder TDR
  • SentinelOne GO
  • Technical Account Management
  • Support-Services
  • Branchen
  • Energieversorger
  • Öffentlicher Sektor
  • Finanzsektor
  • Gesundheitswesen
  • Hochschulen
  • Fertigungsindustrie
  • Retail
  • Regionale & kommunale Verwaltung
  • Cybersecurity for SMB
  • Ressourcen
  • Blog
  • Labs
  • Fallstudien
  • Videos
  • Produkt-Tour
  • Events
  • Cybersecurity 101
  • eBooks
  • Webinars
  • White Papers
  • Presse
  • News
  • Ransomware Anthologie
  • Unternehmen
  • Über uns
  • Unsere Kunden
  • Karriere
  • Partner
  • Legal & Compliance
  • Security & Compliance
  • S Foundation
  • S Ventures

©2026 SentinelOne, Alle Rechte vorbehalten.

Hinweis zum Datenschutz Nutzungsbedingungen

Deutsch