DORA · digitale operationale Resilienz im Finanzsektor (EU)

DORA (EU-Verordnung 2022/2554) gilt seit Januar 2025 für Banken, FinTechs, Versicherer und ihre kritischen IKT-Anbieter im Finanzsektor.

Für wen gilt DORA in Spanien?

Drei Blöcke. Finanzinstitute: Geschäfts- und Investmentbanken, Fondsverwaltungsgesellschaften, Versicherer, Rückversicherer, E-Geld-Institute (EDE), Crowdfunding-Plattformen, zugelassene FinTechs. Kritische IKT-Anbieter: jene, die von den ESA als kritisch eingestuft werden (Cloud-Hyperscaler, Zahlungsplattformen, sektorale SaaS-Anbieter). IKT-Prüfer des Sektors: mit spezifischen Kompetenzanforderungen.

Was muss eine Einheit tun, um DORA zu erfüllen?

Fünf Säulen. (1) Ein dokumentierter Rahmen für das IKT-Risikomanagement, vom Verwaltungsorgan genehmigt. (2) Ein System zur Verwaltung und Meldung schwerwiegender IKT-Vorfälle an die Aufsichtsbehörde innerhalb von 4 Stunden. (3) Ein Programm für Tests der operationalen Resilienz: Penetrationstest, Red Teaming mindestens alle 3 Jahre. (4) Spezifisches Management des Risikos von IKT-Drittanbietern (Verträge, Due Diligence, kontinuierliche Überwachung). (5) Austausch von Cyberbedrohungsinformationen mit den Behörden.

Wo liegt der Unterschied zwischen DORA und NIS2?

DORA ist spezifisch für den Finanzsektor und seine IKT-Anbieter. NIS2 ist sektorenübergreifend über kritische Bereiche hinweg (Energie, Wasser, Gesundheit, Lebensmittel usw.). Ein Finanzinstitut unterliegt für denselben Gegenstand DORA (lex specialis) und NICHT NIS2. Ein Industrieunternehmen, ein Wasser- oder Energieversorger unterliegt nur NIS2. Es gibt Bereiche kontrollierter Überschneidung zwischen beiden.

Praxisfall: ein spanisches EDE bereitet DORA gegen die Uhr vor

Ein E-Geld-Institut (EDE) mit Sitz in Madrid, 95 Mitarbeitenden und einem jährlich verarbeiteten Volumen von 380 Mio. EUR stellte im Juli 2024 fest, dass sein Rahmen für das IKT-Risikomanagement einer DORA-Prüfung nicht standhalten würde. Sein System zur Vorfallmeldung beruhte auf Tabellenkalkulationen, es hatte keine an die Verordnung angepassten IKT-Anbieterverträge und nie ein Red Teaming durchgeführt. Das Verwaltungsorgan machte das Projekt zur regulatorischen Priorität.

Das Umsetzungsbudget belief sich auf 168.000 EUR, wie folgt aufgeteilt: 54.000 EUR für Beratung zum IKT-Risikorahmen und zu Richtlinien; 38.000 EUR für eine Plattform zur Verwaltung und Meldung von Vorfällen, integriert mit der Aufsichtsbehörde; 41.000 EUR für Resilienztests (ein jährlicher Penetrationstest plus ein TLPT — Threat-Led Penetration Testing — mit reduziertem Umfang); 22.000 EUR für die Neuverhandlung von 14 Verträgen mit IKT-Anbietern, darunter zwei Cloud-Hyperscaler; und 13.000 EUR für die Schulung des Verwaltungsorgans und des Schlüsselpersonals. Das Projekt lief über 6 Monate, mit Go-live des Rahmens im Dezember 2024, kurz vor dem Anwendungsdatum.

Der Nutzen bestand nicht nur darin, Sanktionen zu vermeiden. Die Einheit nutzte die Zertifizierung ihrer Resilienz als Vertriebsargument in zwei Ausschreibungen mit großen Firmenkunden, die DORA-fähige Zahlungsdienstleister verlangten, und senkte ihre Cyberversicherungsprämie um 11 %, indem sie dokumentierte Resilienztests nachwies. Die Kosten des Nichthandelns wurden auf eine Sanktionsexposition von bis zu 1,9 Mio. EUR sowie den Verlust der Betriebslizenz im schlimmsten Fall geschätzt.

Die 5 Säulen von DORA: Fristen und betroffene Einheiten

Die EU-Verordnung 2022/2554 gliedert sich in fünf Pflichtenblöcke. Diese Tabelle fasst zusammen, was jede Säule verlangt, ihre Referenzfrist und welche Einheiten sie am stärksten betrifft.

DORA-Säule	Kernanforderung	Frist / Häufigkeit	Am stärksten betroffene Einheiten
1. IKT-Risikomanagement	Dokumentierter, vom Verwaltungsorgan genehmigter Rahmen; Karte der kritischen Funktionen	In Kraft seit 17. Jan. 2025; jährliche Überprüfung	Alle Finanzinstitute
2. IKT-Vorfallmanagement	Klassifizierung, initiale Meldung an die Aufsichtsbehörde sowie Zwischen- und Abschlussbericht	Initiale Meldung: 4 Stunden nach Einstufung als schwerwiegend	Banken, EDE, Zahlungsplattformen
3. Resilienztests	Periodische Penetrationstests und Scans; TLPT für bedeutende Einheiten	Grundtests jährlich; TLPT alle 3 Jahre	Benannte bedeutende Einheiten
4. Risiko von IKT-Drittanbietern	Informationsregister, Verträge mit Mindestklauseln, Due Diligence und Überwachung	Informationsregister: jährlicher Bericht an die Aufsichtsbehörde	Einheiten mit Cloud- und SaaS-Abhängigkeit
5. Informationsaustausch	Freiwilliger Austausch von Cyberbedrohungsinformationen	Freiwillig und fortlaufend	Der gesamte Finanzsektor

Für IKT-Anbieter, die von den Europäischen Aufsichtsbehörden als kritisch (CTPP) eingestuft werden, gilt zusätzlich ein Regime der direkten Überwachung, mit einem zugewiesenen federführenden Überwacher (lead overseer) und der Befugnis, Zwangsgelder von bis zu 1 % ihres durchschnittlichen Tagesumsatzes zu verhängen.

DORA-Umsetzungs-Checkliste

12-Schritte-Fahrplan für ein Finanzinstitut, das bei null oder mit teilweiser Konformität startet:

Den Anwendungsbereich bestätigen: prüfen, ob die Einheit ein Finanzinstitut, ein IKT-Anbieter oder ein Prüfer ist, und die wesentlichen oder wichtigen Funktionen kartieren.
Eine verantwortliche Person für die digitale operationale Resilienz benennen und die Rechenschaftspflicht dem Verwaltungsorgan zuordnen.
Eine Lückenanalyse (Gap-Analyse) gegenüber den fünf Säulen und den zugehörigen technischen Regulierungsstandards (RTS) durchführen.
Den Rahmen für das IKT-Risikomanagement dokumentieren und genehmigen, einschließlich der Richtlinie zu Geschäftskontinuität und Wiederherstellung.
Alle IKT-Assets inventarisieren und jene klassifizieren, die kritische oder wichtige Funktionen unterstützen.
Einen Prozess für das Vorfallmanagement mit Schweregrad-Klassifizierungskriterien einführen, die auf die DORA-Schwellenwerte abgestimmt sind.
Den Kanal und die Vorlagen für die Meldung an die Aufsichtsbehörde einrichten, um die 4-Stunden-Frist bei schwerwiegenden Vorfällen einzuhalten.
Das Informationsregister der IKT-Anbieter aufbauen und es jährlich an die zuständige Behörde melden.
Die IKT-Verträge neu verhandeln, um die verpflichtenden Mindestklauseln aufzunehmen: Zugang, Audit, Unterauftragsvergabe, Ausstieg.
Das Resilienz-Testprogramm planen: jährlicher Penetrationstest und gegebenenfalls ein TLPT alle drei Jahre.
Das Verwaltungsorgan und das Schlüsselpersonal in IKT-Risiko und Resilienz schulen.
Die periodische Überprüfung des Rahmens und den Zyklus der kontinuierlichen Verbesserung mit der internen Revision etablieren.

5 häufige Fehler bei der DORA-Umsetzung

DORA als IT-Projekt und nicht als Governance-Projekt behandeln. Wenn das Verwaltungsorgan den Rahmen weder genehmigt noch überwacht, verstößt die Einheit gegen Säule 1, selbst wenn der technische Teil makellos ist. Folge: Aufforderung der Aufsichtsbehörde und Sanktionsexposition.
Die 4-Stunden-Frist für die initiale Meldung ignorieren. Viele Einheiten bereiten den Abschlussbericht vor, haben aber keinen agilen Prozess für die frühe Meldung. Folge: verspätete Meldung, die als formaler Verstoß erfasst wird.
Verträge mit IKT-Anbietern nicht aktualisieren. Alte Cloud-Verträge ohne Audit-, Unterauftrags- und Ausstiegsklauseln beizubehalten, lässt die Einheit ohne Absicherung. Folge: Feststellung bei der Prüfung und unkontrollierte Abhängigkeit von einem kritischen Dritten.
Einen kommerziellen Penetrationstest mit einem TLPT verwechseln. Bedeutende Einheiten benötigen bedrohungsgesteuerte Tests mit anerkannter Methodik; ein generischer Scan genügt nicht. Folge: ungültiger Test und Wiederholung der Übung unter regulatorischem Druck.
Das Informationsregister der Dritten vergessen. Das Register nicht aktuell zu halten und es nicht jährlich zu melden, ist einer der für die Aufsichtsbehörde am leichtesten erkennbaren Verstöße. Folge: unmittelbare Aufforderung und reputativer Schaden gegenüber der Behörde.

Offizielle Quellen

Verfasst von Ángel Ortega Castro · unabhängiger Berater für Strategie, Qualität und Digitalisierung für KMU.

Häufig gestellte Fragen

Für wen gilt DORA in Spanien?

Drei Blöcke. Finanzinstitute: Geschäfts- und Investmentbanken, Fondsverwaltungsgesellschaften, Versicherer, Rückversicherer, E-Geld-Institute (EDE), Crowdfunding-Plattformen, zugelassene FinTechs. Kritische IKT-Anbieter, die von den ESA als kritisch eingestuft werden. IKT-Prüfer des Sektors mit spezifischen Kompetenzanforderungen.

Was muss eine Einheit tun, um DORA zu erfüllen?

Fünf Säulen. (1) Ein dokumentierter, vom Verwaltungsorgan genehmigter Rahmen für das IKT-Risikomanagement. (2) Ein System zur Verwaltung und Meldung schwerwiegender IKT-Vorfälle an die Aufsichtsbehörde innerhalb von 4 Stunden. (3) Ein Programm für Tests der operationalen Resilienz: Penetrationstest, Red Teaming mindestens alle 3 Jahre. (4) Spezifisches Management des Risikos von IKT-Drittanbietern. (5) Austausch von Cyberbedrohungsinformationen mit den Behörden.

Wo liegt der Unterschied zwischen DORA und NIS2?

DORA ist spezifisch für den Finanzsektor und seine IKT-Anbieter. NIS2 ist sektorenübergreifend über kritische Bereiche hinweg (Energie, Wasser, Gesundheit, Lebensmittel usw.). Ein Finanzinstitut unterliegt für denselben Gegenstand DORA (lex specialis) und NICHT NIS2. Ein Industrieunternehmen, ein Wasser- oder Energieversorger unterliegt nur NIS2.

Was ist ein TLPT und für wen schreibt DORA es vor?

Ein TLPT (Threat-Led Penetration Testing) ist ein fortgeschrittener Penetrationstest, der von echter Bedrohungsaufklärung gesteuert wird und Angreifertaktiken auf Produktivsystemen simuliert. DORA schreibt es Finanzinstituten vor, die nach Größe und Risikoprofil als bedeutend gelten, mindestens alle drei Jahre. Übrige Einheiten führen jährlich grundlegende Resilienztests durch (Schwachstellenscans, Penetrationstests).

Was kostet die DORA-Umsetzung für ein KMU im Finanzsektor?

Für eine mittelgroße Einheit (50-100 Mitarbeitende) liegt die anfängliche Umsetzungsinvestition zwischen 120.000 und 250.000 EUR und umfasst die Beratung zum IKT-Risikorahmen, eine Plattform für das Vorfallmanagement, Resilienztests und die Neuverhandlung von Verträgen. Die anschließende jährliche Pflege (Tests, interne Revision, Aktualisierung des Drittanbieterregisters) liegt in der Regel zwischen 35.000 und 70.000 EUR.

Welche Bußgelder sieht DORA bei Verstößen vor?

Die Sanktionen werden in der Umsetzung und im Aufsichtsregime jedes Mitgliedstaats konkretisiert, doch die Verordnung sieht wirksame, verhältnismäßige und abschreckende Verwaltungsmaßnahmen und Sanktionen vor. Für kritische IKT-Anbieter unter europäischer Aufsicht gelten Zwangsgelder von bis zu 1 % ihres durchschnittlichen weltweiten Tagesumsatzes, für höchstens sechs Monate bis zur Herstellung der Konformität.

DORA · digitale operationale Resilienz im Finanzsektor.

Für wen gilt DORA in Spanien?

Was muss eine Einheit tun, um DORA zu erfüllen?

Wo liegt der Unterschied zwischen DORA und NIS2?

Praxisfall: ein spanisches EDE bereitet DORA gegen die Uhr vor

Die 5 Säulen von DORA: Fristen und betroffene Einheiten

DORA-Umsetzungs-Checkliste

5 häufige Fehler bei der DORA-Umsetzung

Offizielle Quellen

Spezialisierte Beratung in fortgeschrittener Compliance.

DORA · digitale operationale Resilienz im Finanzsektor.

Für wen gilt DORA in Spanien?

Was muss eine Einheit tun, um DORA zu erfüllen?

Wo liegt der Unterschied zwischen DORA und NIS2?

Praxisfall: ein spanisches EDE bereitet DORA gegen die Uhr vor

Die 5 Säulen von DORA: Fristen und betroffene Einheiten

DORA-Umsetzungs-Checkliste

5 häufige Fehler bei der DORA-Umsetzung

Offizielle Quellen

Verwandte Beiträge.

Cybersicherheitsregulierung Spanien

NIS2 Cybersicherheit für KMU

ISO 27001 Leitfaden

Spezialisierte Beratung in fortgeschrittener Compliance.