DORA · EU-Verordnung zur digitalen operationellen Resilienz im Finanzsektor

Unabhaengige Beratung in Marketing, Compliance (ISO, ENS, DSGVO), Digitalisierung und B2B-Vertrieb aus Aranda de Duero (Kastilien und Leon) fuer ganz Spanien.

Unabhängige Beratung in Marketing, Compliance (ISO, ENS, DSGVO), Digitalisierung und B2B-Vertrieb aus Aranda de Duero (Kastilien und León) für ganz Spanien.

DORA ist die EU-Verordnung 2022/2554 zur digitalen operationellen Resilienz des Finanzsektors. Sie gilt seit dem 17. Januar 2025 für Banken, Versicherer, FinTechs, Investmentplattformen und ihre kritischen IKT-Dienstleister.

Executive Summary · TL;DR

DORA (Digital Operational Resilience Act) ist die EU-Verordnung 2022/2554, die Anforderungen an die digitale Resilienz im Finanzsektor vereinheitlicht. Sie ist seit dem 17. Januar 2025 in Kraft. Sie verpflichtet Finanzinstitute (Banken, Versicherer, Investmentfonds, FinTechs), einen umfassenden Rahmen zum IKT-Risikomanagement vorzuhalten, schwerwiegende Vorfälle innerhalb von 4 Stunden an die Aufsichtsbehörden zu melden, regelmässige Resilienztests durchzuführen (Penetrationstests, Red Teaming) und das Risiko kritischer IKT-Drittanbieter spezifisch zu steuern. Die Geldbussen betragen bis zu 1 % des täglichen Umsatzes mit einer jährlichen Obergrenze von 10 %. Es besteht eine teilweise Überschneidung mit NIS2: Wer DORA erfüllt, ist für NIS2 weitgehend vorbereitet, denn die Anforderungen an Governance, Vorfallmanagement und Lieferkette laufen weitgehend parallel.

Für wen gilt DORA in Spanien?

Der Anwendungsbereich umfasst drei Blöcke. Erstens Finanzinstitute: Geschäfts- und Investmentbanken, Fondsverwaltungsgesellschaften, Versicherer und Rückversicherer, E-Geld-Institute (EDE), Crowdfunding-Plattformen sowie zugelassene FinTechs. Zweitens kritische IKT-Anbieter: Unternehmen, die von den Europäischen Aufsichtsbehörden (ESA) als kritisch eingestuft werden, darunter Cloud-Hyperscaler, Zahlungsplattformen und sektorale SaaS-Anbieter. Drittens IKT-Auditoren des Sektors: mit spezifischen Anforderungen an Kompetenz und Unabhängigkeit. Die Banco de España wirkt als national zuständige Behörde an der Aufsicht mit und arbeitet mit der CNMV und der DGSFP für die jeweiligen Teilsektoren zusammen.

Was muss eine Einheit tun, um DORA zu erfüllen?

Es gibt fünf tragende Säulen. Erstens ein dokumentierter Rahmen zum IKT-Risikomanagement, der vom Verwaltungsorgan genehmigt und mindestens jährlich überprüft wird. Zweitens ein Verwaltungs- und Meldesystem für schwerwiegende IKT-Vorfälle, das die initiale Meldung an die Aufsichtsbehörde innerhalb von 4 Stunden nach Einstufung als schwerwiegend ermöglicht, gefolgt von Zwischen- und Abschlussbericht. Drittens ein Programm für Tests der operationellen Resilienz: Penetrationstests, Red Teaming mindestens alle drei Jahre für bedeutende Einheiten, mit dokumentierten Behebungsplänen. Viertens das spezifische Management des Risikos von IKT-Drittanbietern: detaillierte Verträge mit Mindestklauseln, vorvertragliche Due Diligence, kontinuierliche Überwachung der Leistung sowie Exit- und Substitutionsstrategien. Fünftens der Austausch von Cyberbedrohungsinformationen mit den Aufsichtsbehörden und Branchengremien, um die kollektive Reaktion auf systemische Vorfälle zu fördern.

Wo liegt der Unterschied zwischen DORA und NIS2?

DORA ist spezifisch für den Finanzsektor und seine IKT-Anbieter konzipiert. NIS2 ist sektorenübergreifend und erfasst kritische Bereiche wie Energie, Wasser, Gesundheit, Lebensmittel, Verkehr und Verwaltung. Ein Finanzinstitut unterliegt für denselben Gegenstand DORA (lex specialis) und nicht NIS2. Ein Industrieunternehmen, ein Wasser- oder Energieversorger unterliegt nur NIS2. Es gibt kontrollierte Überschneidungsbereiche, insbesondere bei kritischen IKT-Drittanbietern, die beide Finanzinstitute (DORA) und andere wesentliche Einheiten (NIS2) bedienen. In diesen Fällen weist die Koordinierung zwischen der nationalen NIS2-Behörde und den finanzaufsichtsrechtlichen Stellen Sorge dafür, dass keine doppelten Vorfallmeldungen oder widersprüchlichen Anforderungen entstehen.

Praktischer Implementierungsplan

Ein realistischer DORA-Plan für ein mittelgrosses Finanzinstitut sieht in den ersten drei Monaten die Lückenanalyse und die Genehmigung des Rahmens vor, in den Monaten vier bis neun die Umsetzung der Massnahmen zum IKT-Risikomanagement, des Vorfallmanagements und der Lieferantenverträge, und ab dem zehnten Monat den fortlaufenden Betrieb mit periodischen Resilienztests. Frühzeitige Investitionen in Tooling für Vorfallmanagement, Drittanbieterverwaltung und kontinuierliches Monitoring zahlen sich rasch aus.

Offizielle Quellen

EUR-Lex · Verordnung EU 2022/2554 DORA
Banco de España · DORA Resilienz Finanzsektor
ESMA, EIOPA, EBA · technische Leitlinien
ENISA · Schnittstellen DORA und NIS2

Autor: Ángel Ortega Castro · unabhängiger Berater für Strategie, Qualität und Digitalisierung für KMU.

Haeufig gestellte Fragen

Wie wirkt sich das auf mein KMU aus?

Es gilt, sobald Sie spanische Kunden bedienen oder spanische Daten verarbeiten; der Rahmen ist oberhalb der in der Tabelle zusammengefassten Schwellenwerte verbindlich.

Wie hoch sind die Kosten 2026?

Richtwerte fuer KMU mit 10-50 Mitarbeitenden: 2.500-12.000 EUR fuer die Dokumentation + Auditorenhonorare AENOR / BV / SGS / LRQA.

Welche spanische Regelung gilt?

Die BOE verweist auf RD 311/2022 (ENS), Verordnung EU 2016/679 (DSGVO), LOPDGDD, NIS2, DORA und EU AI Act 2024/1689 je nach Umfang.

Wie lange dauert die Implementierung?

Durchschnittlich 4-7 Monate pro ISO. Ein integriertes SGI (9001+14001+27001) dauert in der Regel 8-12 Monate.

Kann es ueber Kit Digital oder Kit Consulting kofinanziert werden?

Ja, Kit Consulting 2026 deckt bis zu 24.000 EUR Beratungsstunden ab; Kit Digital deckt Werkzeuge (CRM, ERP, Cybersicherheit) bis zu 29.000 EUR ab.