Was ist die DORA-Verordnung? Alles, was Finanzunternehmen wissen müssen
Der Digital Operational Resilience Act der EU ist am 17.01.2025 vollumfänglich anwendbar geworden und verändert grundlegend, wie Finanzunternehmen und ihre IKT-Dienstleister digitale Risiken steuern müssen. Wenn Ihre Organisation im Finanzsektor über mehrere Unternehmen, Tochtergesellschaften oder Rechtsräume hinweg tätig ist, ist das Verständnis von DORA nicht optional. Nichteinhaltung zieht aufsichtsrechtliche Sanktionen, vertragliche Störungen und Reputationsschäden nach sich.
Vertraut von Compliance-Teams, die Folgendes verwalten
50+
Konzerneinheiten
Swiss-Hosted
Datensouveränität
ISO 27001
ausgerichtete Plattform
DSGVO-konform
durch Design
Was ist DORA und warum ist es jetzt relevant?
Der Digital Operational Resilience Act (Verordnung (EU) 2022/2554) ist das Regelwerk der EU, das sicherstellen soll, dass Finanzunternehmen IKT-bedingten Störungen standhalten, auf sie reagieren und sich von ihnen erholen können. Er ersetzt einen Flickenteppich nationaler Leitlinien durch ein einheitliches, harmonisiertes Anforderungspaket, das seit dem 17.01.2025 durchsetzbar ist.
Vor DORA war das IKT-Risikomanagement im Finanzsektor durch sektorspezifische Leitlinien geregelt: die EBA-Leitlinien zum IKT- und Sicherheitsrisikomanagement, die EIOPA-Leitlinien zur Auslagerung an Cloud-Dienstleister sowie verschiedene nationale Aufsichtserwartungen. Das Ergebnis: uneinheitliche Standards, regulatorische Arbitrage und systemische blinde Flecken, wenn kritische IKT-Dienstleister mehrere Finanzunternehmen über Grenzen hinweg bedienten.
DORA ändert dies grundlegend. Es schafft ein einheitliches Regelwerk, das für alle Teilsektoren des EU-Finanzwesens gilt: Banken, Versicherungen, Investment, Zahlungsdienste, Krypto-Werte und mehr, mit direkten Anforderungen an die IKT-Drittdienstleister, von denen diese Unternehmen abhängen.
Für Organisationen, die Compliance über mehrere Unternehmen und Rechtsräume hinweg verwalten, bringt DORA sowohl Komplexität als auch Chancen mit sich. Die Komplexität ergibt sich aus der Koordination von fünf miteinander verknüpften Säulen über jede Tochtergesellschaft hinweg. Die Chance besteht darin, endlich über einen klaren, einheitlichen Standard zu verfügen, auf dem Sie Ihr Programm für operationale Resilienz aufbauen können.
Wer muss DORA einhalten?
DORA gilt für praktisch alle regulierten Finanzunternehmen in der EU sowie für die IKT-Dienstleister, von denen sie abhängen. Die Europäische Kommission schätzt, dass über 22'000 Unternehmen in den Geltungsbereich fallen.
Finanzunternehmen (Artikel 2)
- Kreditinstitute (Banken)
- Zahlungsinstitute und E-Geld-Institute
- Wertpapierfirmen und Verwaltungsgesellschaften
- Erst- und Rückversicherungsunternehmen
- Zentralverwahrer
- Zentrale Gegenparteien und Transaktionsregister
- Anbieter von Krypto-Dienstleistungen
- Schwarmfinanzierungs-Dienstleister
- Einrichtungen der betrieblichen Altersversorgung
- Ratingagenturen und Verbriefungsregister
IKT-Drittdienstleister
- Cloud-Dienstleister, die Finanzunternehmen bedienen
- Anbieter von Datenanalyse und Rechenzentren
- Softwareanbieter (SaaS, Kernbankensysteme usw.)
- Anbieter von IKT-Infrastruktur
- Managed-Security-Service-Provider
- Kritische IKT-Drittdienstleister, die von den ESAs benannt werden, unterliegen dem neuen EU-weiten Aufsichtssystem mit direkten Aufsichtsbefugnissen
Grundsatz der Verhältnismässigkeit: DORA gilt verhältnismässig: Kleinstunternehmen und bestimmte Unternehmen unterliegen vereinfachten Anforderungen nach den Artikeln 16(1) und 25(1). Doch Verhältnismässigkeit bedeutet keine Befreiung.
Was DORA tatsächlich verlangt, und warum Konzerne mit mehreren Einheiten am meisten zu kämpfen haben
Die Anforderungen von DORA erstrecken sich über fünf miteinander verknüpfte Säulen. Für Organisationen, die Compliance über mehrere Tochtergesellschaften und Rechtsräume hinweg verwalten, vervielfacht sich die Komplexität jeder Säule. Folgendes muss Ihr Compliance-Programm abdecken.
SAEULE 1
Rahmenwerk für das IKT-Risikomanagement
Die Artikel 5-16 schreiben ein umfassendes Rahmenwerk für das IKT-Risikomanagement mit direkter Verantwortlichkeit des Leitungsorgans vor. Ihre Organisation muss Prozesse zur Identifizierung, zum Schutz, zur Erkennung, zur Reaktion und zur Wiederherstellung dokumentieren, einschliesslich der Verwaltung von Altsystemen, und zwar über jede Einheit hinweg.
Die Herausforderung bei mehreren Einheiten: Jede Tochtergesellschaft benötigt ihr eigenes dokumentiertes Rahmenwerk, doch für die aufsichtsrechtliche Prüfung ist Konsistenz auf Konzernebene erforderlich.
4 Stunden
Maximale Zeit zur Erkennung und Klassifizierung eines schwerwiegenden IKT-Vorfalls nach dessen Feststellung. Klassifizierungskriterien nach DORA Artikel 17
SAEULE 2
Meldung und Klassifizierung von Vorfällen
Die Artikel 17-23 verlangen eine harmonisierte Klassifizierung von Vorfällen sowie einen strengen Meldezeitplan: Erstmeldung innerhalb von 4 Stunden nach der Klassifizierung, Zwischenbericht innerhalb von 72 Stunden und Abschlussbericht innerhalb eines Monats. Die freiwillige Meldung erheblicher Cyber-Bedrohungen wird ebenfalls gefördert.
Die Herausforderung bei mehreren Einheiten: Ein einzelner IKT-Vorfall kann mehrere Tochtergesellschaften gleichzeitig betreffen, jede mit ihrer eigenen Meldepflicht gegenüber unterschiedlichen nationalen Behörden.
72 Stunden
Frist für den Zwischenbericht über einen Vorfall an die zuständige Behörde. Meldeanforderungen nach DORA Artikel 19
SAEULE 3
Tests der digitalen operationalen Resilienz
Die Artikel 24-27 verlangen regelmässige Tests von IKT-Systemen, von grundlegenden Schwachstellenbewertungen für alle Unternehmen bis hin zu fortgeschrittenen bedrohungsorientierten Penetrationstests (TLPT) alle drei Jahre für systemisch bedeutende Institute. Testprogramme müssen alle kritischen IKT-Systeme und -Anwendungen abdecken.
Die Herausforderung bei mehreren Einheiten: Die Koordination von TLPT-Uebungen über gemeinsam genutzte Infrastruktur hinweg, die mehrere Tochtergesellschaften bedient, erfordert eine zentralisierte Planung und ein zentrales Nachweismanagement.
Alle 3 Jahre
Mindesthäufigkeit für bedrohungsorientierte Penetrationstests bei bedeutenden Finanzunternehmen. DORA Artikel 26
SAEULE 4
Management von IKT-Drittparteienrisiken
Die Artikel 28-44 legen strenge Anforderungen an das Management von IKT-Drittdienstleistern fest. Finanzunternehmen müssen ein Register aller IKT-Auslagerungsvereinbarungen führen, eine vorvertragliche Due-Diligence-Prüfung durchführen, verpflichtende Vertragsklauseln aufnehmen und die Leistung sowie das Risiko der Dienstleister kontinuierlich überwachen.
Die Herausforderung bei mehreren Einheiten: Derselbe Cloud-Dienstleister kann 15 Tochtergesellschaften unter 15 verschiedenen Verträgen bedienen; ohne zentralisiertes Lieferantenmanagement bleiben Lücken unsichtbar, bis eine Aufsichtsbehörde sie aufdeckt.
22'000+
Finanzunternehmen und IKT-Dienstleister, die DORA unterliegen. Schätzungen der Europäischen Kommission, 2022
SAEULE 5
Vereinbarungen zum Informationsaustausch
Artikel 45 ermutigt Finanzunternehmen, Erkenntnisse über Cyber-Bedrohungen und Schwachstelleninformationen mit Branchenkollegen über vertrauenswürdige Vereinbarungen auszutauschen. Obwohl freiwillig, stärkt die Teilnahme an Informationsaustausch-Gemeinschaften die kollektive Resilienz und zeigt Aufsichtsbehörden ein proaktives Risikomanagement.
Die Herausforderung bei mehreren Einheiten: Der Austausch von Bedrohungserkenntnissen zwischen Tochtergesellschaften in unterschiedlichen Rechtsräumen erfordert Data-Governance-Massnahmen, um eine versehentliche Verletzung der DSGVO oder von Vertraulichkeitspflichten zu vermeiden.
17.01.2025
Datum der vollumfänglichen Anwendung von DORA: alle fünf Säulen in allen EU-Mitgliedstaaten durchsetzbar. Verordnung (EU) 2022/2554
DER ROTE FADEN
Jede Säule wird mit jeder zusätzlichen Tochtergesellschaft anspruchsvoller
Für Konzerne, die Compliance über mehrere Einheiten hinweg verwalten, addieren die fünf Säulen von DORA nicht nur Anforderungen, sie vervielfachen sie. Zentralisierte Lieferantenregister, koordinierte Vorfallmeldungen und konsistente Risiko-Rahmenwerke werden in Tabellenkalkulationen unmöglich.
Vereinbaren Sie eine 30-minütige DemoDORA-Zeitachse: Von der Verabschiedung bis zur Durchsetzung
200+
Eingesparte Stunden beim Management des Verarbeitungsverzeichnisses
Medtec lenkte über 200 Stunden von der manuellen Pflege des Verarbeitungsverzeichnisses auf die Vorbereitung der ISO 27001 um und erreichte die Zertifizierung 3 Monate vor dem Zeitplan.
60%
Weniger Verwaltungsaufwand für Compliance
Ein Flugzeughersteller reduzierte den Verwaltungsaufwand für Compliance in den ersten 6 Monaten um 60 %, mit vorhersehbarer Preisgestaltung auf Basis von Unternehmen statt Gebühren pro Nutzer.
3 Mt.
Vor dem Zeitplan bei der ISO 27001
Medtec erreichte die ISO-27001-Zertifizierung 3 Monate vor dem geplanten Zeitrahmen, dank der prüfbereiten Nachweispakete von Priverion.
Die OneTrust-Alternative, gebaut für die Realität des Mittelstands
Enterprise-Plattformen verkaufen Ihnen Komplexität, die Sie nicht brauchen, zu Preisen, die Sie nicht rechtfertigen können. Folgendes ändert sich, wenn Ihr Datenschutz-Tool darauf ausgelegt ist, wie Organisationen mit mehreren Einheiten tatsächlich arbeiten.
Das typische Erlebnis mit Enterprise-Plattformen
Hosting und Datenresidenz
US-Hauptsitz, Daten werden oft ausserhalb der EU verarbeitet. Nach Schrems II entsteht dadurch ein Uebermittlungsrisiko, das Sie gegenüber den Aufsichtsbehörden dokumentieren und rechtfertigen müssen.
Preismodell
Preisgestaltung pro Nutzer und pro Modul, die anschwillt, sobald Sie Tochtergesellschaften einbinden. Budgetüberraschungen bei jedem Verlängerungszyklus. Funktionen hinter Tarif-Upgrades versteckt.
Implementierung
6- bis 12-monatige Einführungen, die dedizierte Berater erfordern. Sie zahlen für die Plattform, bevor Sie sie auch nur für eine einzige Tochtergesellschaft konfiguriert haben.
Benutzererlebnis
Gebaut für GRC-Teams mit dediziertem Verwaltungspersonal. Verantwortliche in den Geschäftsbereichen sträuben sich gegen die Einführung, weil die Oberfläche schon für das Einreichen einer Verarbeitungstätigkeit eine Schulung erfordert.
Plattformumfang
Ausuferndes Paket, das ESG, Ethik, Drittparteienrisiken und mehr abdeckt. Sie bezahlen für alles, nutzen einen Bruchteil und brauchen trotzdem Behelfslösungen für das Datenschutzmanagement über mehrere Einheiten hinweg.
Das Erlebnis mit Priverion
Swiss-Hosted, europäische Datenresidenz
Alle Daten werden innerhalb der Schweizer Infrastruktur verarbeitet. In einer Welt nach Schrems II ist Swiss Hosting kein Marketing-Häkchen, sondern ein rechtlicher Vorteil für grenzüberschreitende Datenübermittlungen. Ein Risiko weniger zu dokumentieren.
Vorhersehbare, konzernbasierte Preisgestaltung
Preisgestaltung auf Basis der Anzahl der Unternehmen und der Organisationsgrösse, nicht pro Nutzer oder pro Modul. Binden Sie jeden Geschäftsbereichsverantwortlichen ein, ohne die Kosten klettern zu sehen. Keine Expansionsfallen bei der Verlängerung.
In Wochen einsatzbereit, nicht in Monaten
Ein Flugzeughersteller erreichte innerhalb der ersten 6 Monate eine Reduktion des Compliance-Verwaltungsaufwands um 60 %. Die meisten Kunden betreiben innerhalb weniger Wochen nach Vertragsabschluss produktive Workflows.
Basierend auf dem Einsatz bei einem Flugzeughersteller, erste 6 Monate
Konzipiert für die Menschen, die die Arbeit tatsächlich machen
Geschäftsbereichsverantwortliche führen Rezertifizierungen des Verarbeitungsverzeichnisses ohne Schulung durch. KI-gestütztes Verfassen übernimmt die Schwerstarbeit bei Datenschutz-Folgenabschätzungen (DSFA) und der Risikobewertung. Ihr Datenschutzbeauftragter konzentriert sich auf Strategie statt auf die Pflege von Tabellen.
All-in-One-Datenschutzplattform, nichts, was Sie nicht brauchen
Verarbeitungsverzeichnis, DSFA, Lieferantenrisiko, Vorfallmanagement, Bearbeitung von Betroffenenanfragen, einheitsübergreifendes Data-Mapping, KI-Register: alles für das konzernweite Datenschutzmanagement in einer einzigen Plattform. Wir decken weder ESG noch Cookie-Einwilligung ab. Wir gehen dort in die Tiefe, wo es darauf ankommt.
Ehrliche Anmerkung: Wir sind nicht für Unternehmen mit nur einer Einheit gebaut, und wir bieten keine 200 Integrationen. Wir integrieren uns tief in die Systeme, die für Datenschutz-Workflows wichtig sind: HR, Beschaffung, IT-Asset-Management, statt oberflächliche Konnektoren anzubieten, die Wartungsaufwand erzeugen.
Vereinbaren Sie eine 30-minütige DemoIhre Checkliste zur DORA-Compliance-Bereitschaft
Nutzen Sie diese Checkliste, um die Bereitschaft Ihrer Organisation über alle fünf DORA-Säulen hinweg zu bewerten. Bei Konzernen mit mehreren Einheiten muss jeder Punkt sowohl auf Ebene der Tochtergesellschaft als auch auf Konzernebene beurteilt werden.
Säule 1: IKT-Risikomanagement
- 1. Dokumentiertes Rahmenwerk für das IKT-Risikomanagement, vom Leitungsorgan für jede Einheit genehmigt
- 2. Definierte Rollen und Verantwortlichkeiten für das IKT-Risikomanagement, einschliesslich einer dedizierten Massnahmenfunktion
- 3. Vollständiges Inventar der IKT-Assets, -Systeme und ihrer Abhängigkeiten über alle Einheiten hinweg
- 4. Pläne zur Geschäftskontinuität und Notfallwiederherstellung, die IKT-bedingte Störungen abdecken
- 5. Jährlicher Prüf- und Aktualisierungsprozess für das Rahmenwerk des IKT-Risikomanagements
Säule 2: Vorfallmeldung
- 6. Klassifizierungsprozess für Vorfälle, abgestimmt auf die Kriterien von DORA Artikel 18 (betroffene Kunden, Datenintegrität, Kritikalität der Dienste, Dauer)
- 7. Meldeworkflows, die die Fristen von 4 Stunden für die Erstmeldung, 72 Stunden für den Zwischenbericht und 1 Monat für den Abschlussbericht einhalten können
- 8. Koordinationsprozess für Vorfälle, die mehrere Tochtergesellschaften mit unterschiedlichen nationalen Behörden betreffen
- 9. Prozess zur Ursachenanalyse von Vorfällen mit Dokumentation der gewonnenen Erkenntnisse
Säule 3: Resilienztests
- 10. Jährliches Testprogramm, das Schwachstellenbewertungen, Netzwerksicherheitstests und szenariobasierte Tests abdeckt
- 11. Eingerichtetes TLPT-Programm (sofern als bedeutendes Unternehmen eingestuft) mit qualifizierten externen Testern
- 12. Verfolgung der Behebung aller Feststellungen aus Testaktivitäten mit definierten Zeitvorgaben
Säule 4: Management von Drittparteienrisiken
- 13. Vollständiges Register aller Vereinbarungen mit IKT-Drittdienstleistern, einschliesslich konzerninterner Dienste
- 14. Vorvertraglicher Due-Diligence-Prozess für neue IKT-Dienstleister, der Risikobewertung und Konzentrationsrisiko abdeckt
- 15. Bestehende Verträge auf verpflichtende Klauseln geprüft (Prüfrechte, Ausstiegsstrategien, Datenstandort, Weiterauslagerung)
- 16. Laufender Ueberwachungsprozess für Leistung und Compliance der IKT-Dienstleister
- 17. Ausstiegsstrategien für alle kritischen oder wichtigen IKT-Dienstleistungsvereinbarungen dokumentiert
Säule 5: Informationsaustausch
- 18. Bewertung abgeschlossen, ob an Vereinbarungen zum Austausch von Bedrohungserkenntnissen teilgenommen werden soll
- 19. Bei Teilnahme: Data-Governance-Massnahmen vorhanden, um DSGVO- und Vertraulichkeitspflichten bei geteilten Erkenntnissen zu steuern
- 20. Interner Prozess zur Verteilung relevanter Bedrohungserkenntnisse über Tochtergesellschaften und Geschäftsbereiche hinweg
Brauchen Sie Hilfe bei der Koordination der DORA-Compliance über mehrere Einheiten hinweg?
Sehen Sie, wie Priverions konzernweites Lieferantenrisikomanagement, Vorfall-Workflows und prüfbereite Nachweispakete Organisationen mit mehreren Einheiten helfen, DORA-Bereitschaft ohne Tabellenchaos aufzubauen.
Vereinbaren Sie eine 30-minütige DemoHäufig gestellte Fragen zu DORA
Was ist die DORA-Verordnung?
DORA (Digital Operational Resilience Act) ist die EU-Verordnung 2022/2554, die einheitliche Anforderungen an die Sicherheit der Netzwerk- und Informationssysteme von Finanzunternehmen und ihren kritischen IKT-Drittdienstleistern festlegt. Sie ist seit dem 17.01.2025 vollumfänglich anwendbar und ersetzt einen Flickenteppich sektorspezifischer Leitlinien durch ein einheitliches harmonisiertes Rahmenwerk.
Wer muss DORA einhalten?
DORA gilt für praktisch alle regulierten Finanzunternehmen in der EU, darunter Banken, Versicherungen, Wertpapierfirmen, Zahlungsinstitute und Anbieter von Krypto-Dienstleistungen, sowie für ihre kritischen IKT-Drittdienstleister. Die Europäische Kommission schätzt, dass über 22'000 Unternehmen in den Geltungsbereich fallen. Die Verordnung gilt verhältnismässig, mit vereinfachten Anforderungen für Kleinstunternehmen, doch Verhältnismässigkeit bedeutet keine Befreiung.
Was sind die 5 Säulen von DORA?
Die fünf Säulen sind: (1) Rahmenwerk für das IKT-Risikomanagement (Artikel 5-16), (2) Meldung und Klassifizierung von Vorfällen (Artikel 17-23), (3) Tests der digitalen operationalen Resilienz (Artikel 24-27), (4) Management von IKT-Drittparteienrisiken (Artikel 28-44) und (5) Vereinbarungen zum Informationsaustausch (Artikel 45). Jede Säule hat spezifische Anforderungen, die sowohl auf Einheits- als auch auf Konzernebene erfüllt werden müssen.
Wann ist DORA in Kraft getreten?
DORA ist am 16.01.2023 in Kraft getreten, mit einer zweijährigen Umsetzungsphase. Seit dem 17.01.2025 ist sie vollumfänglich anwendbar, womit alle fünf Säulen nun in allen EU-Mitgliedstaaten durchsetzbar sind. Die ESAs (EBA, ESMA, EIOPA) entwickelten im Verlauf von 2023-2024 technische Regulierungsstandards und technische Durchführungsstandards, um detaillierte Umsetzungshinweise bereitzustellen.
Welche Sanktionen drohen bei Nichteinhaltung von DORA?
DORA ermächtigt die zuständigen nationalen Behörden, verwaltungsrechtliche Sanktionen und Abhilfemassnahmen zu verhängen, einschliesslich regelmässiger Zwangsgelder. Für kritische IKT-Drittdienstleister im Rahmen des EU-Aufsichtssystems können die Sanktionen bis zu 1 % des durchschnittlichen weltweiten Tagesumsatzes für jeden Tag der Nichteinhaltung betragen, für bis zu sechs Monate. Ueber finanzielle Sanktionen hinaus schafft die Nichteinhaltung Reputationsrisiken und potenzielle vertragliche Störungen mit Finanzunternehmen als Kunden.
Wie wirkt sich DORA auf IKT-Drittdienstleister aus?
DORA verpflichtet Finanzunternehmen, Register aller IKT-Auslagerungsvereinbarungen zu führen, eine vorvertragliche Due-Diligence-Prüfung durchzuführen, verpflichtende Vertragsklauseln aufzunehmen (zu Prüfrechten, Ausstiegsstrategien, Datenstandort und Weiterauslagerung) und die Leistung der Dienstleister zu überwachen. Kritische IKT-Drittdienstleister, die von den ESAs benannt werden, unterliegen einem neuen EU-weiten Aufsichtssystem mit direkten Aufsichtsbefugnissen, eine bedeutende Aenderung gegenüber dem bisherigen Modell der indirekten Aufsicht.
In welchem Verhältnis steht DORA zur DSGVO?
DORA und die DSGVO sind sich ergänzende Regelwerke. DORA konzentriert sich auf die operationale IKT-Resilienz von Finanzunternehmen, während die DSGVO den Schutz personenbezogener Daten abdeckt. Ein IKT-Vorfall im Sinne von DORA, der personenbezogene Daten betrifft, löst zugleich Meldepflichten bei Datenschutzverletzungen nach der DSGVO aus (72-Stunden-Meldung an die Aufsichtsbehörden nach Artikel 33). Organisationen benötigen abgestimmte Prozesse zur Reaktion auf Vorfälle, die beide Regelwerke gleichzeitig erfüllen, was insbesondere für Konzerne mit mehreren Einheiten, die an mehrere Behörden melden, eine Herausforderung darstellt.
Hören Sie auf, Datenschutz-Compliance in Tabellen zu verwalten. Verwalten Sie sie richtig.
Ein Flugzeughersteller reduzierte den Verwaltungsaufwand für Compliance in den ersten sechs Monaten um 60 %. AXA erreichte eine zu 100 % automatisierte Rezertifizierung des Verarbeitungsverzeichnisses. Medtec sparte über 200 Stunden bei der Vorbereitung der ISO 27001.
In 30 Minuten zeigen wir Ihnen genau, wie konzernweites Datenschutzmanagement funktioniert, wenn es für Organisationen mit mehreren Einheiten gebaut ist, nicht nachträglich aufgesetzt wurde. Swiss-Hosted. KI-gestützt mit vollständiger menschlicher Aufsicht. Vorhersehbare Preisgestaltung ohne Fallen pro Nutzer.
Wochen, nicht Monate
Durchschnittliche Zeit bis zum Go-live
50+ Einheiten
Bewährte konzernweite Skalierung
100 % Swiss-Hosted
Europäische Datenresidenz garantiert
Keine Verpflichtung erforderlich. Kein Verkaufsdruck. Nur ein klarer Blick darauf, was möglich ist.


