-
» Herausragend «
Die Verordnung (EU) 2022/2554, der Digital Operational Resilience Act (DORA), gilt seit Anfang 2025 und schafft einen einheitlichen europäischen Rechtsrahmen für die digitale Widerstandsfähigkeit im Finanzsektor. Ziel ist ein harmonisiertes Sicherheitsniveau, um Finanzunternehmen besser gegen IKT-Risiken abzusichern und damit die Stabilität der Finanzmärkte zu stärken. Analysiert werden die Kernpflichten der Verordnung, deren praktische Auswirkungen sowie mögliche aufsichtsrechtliche Konsequenzen.
Der Finanzsektor ist in besonderem Maße von digitalen Prozessen abhängig, von Online-Banking bis zu Cloud-basierten Kernsystemen. Mit der wachsenden Vernetzung steigt die Gefahr von Cyberangriffen, Systemausfällen und Störungen in globalen Lieferketten. Bisherige nationale Regelungen haben sich als Flickenteppich erwiesen, der internationalen Märkten nicht genügt. DORA soll Abhilfe schaffen, indem verbindliche Mindeststandards in allen Mitgliedstaaten gelten. Digitale operationelle Resilienz bedeutet dabei die Fähigkeit, auch unter Cyberangriffen oder IKT-Ausfällen den Geschäftsbetrieb aufrechtzuerhalten und die Integrität sowie Verlässlichkeit aller Abläufe sicherzustellen.
DORA gilt für nahezu alle Finanzmarktakteure, darunter Kredit- und Zahlungsinstitute, Wertpapierfirmen, Versicherungen, Pensionskassen, Ratingagenturen, Handelsplätze, Crowdfunding-Plattformen und Benchmark-Administratoren. Erstmals werden zudem IKT-Drittanbieter wie Cloud-Provider oder Core-Banking-Dienstleister in die Regulierung einbezogen, sodass auch externe Partner direkt erfasst sind. Damit entsteht ein umfassender Anwendungsbereich, der den gesamten Finanzsektor einschließlich neuer Technologien und Krypto-Assets abdeckt.
Ein zentrales Element ist der IKT-Risikomanagementrahmen. Finanzunternehmen müssen Strategien, Prozesse und Kontrollmechanismen etablieren, die über klassisches IT-Sicherheitsmanagement hinausgehen. Gefordert wird eine digitale Resilienzstrategie, abgestimmt mit der Geschäftsstrategie. Dazu gehören die Identifikation, Bewertung und Steuerung von Risiken, die Einrichtung von Kontrollfunktionen, klare Vorgaben für den Umgang mit Auslagerungen und Lieferketten sowie die kontinuierliche Überwachung von IKT-Systemen. Zudem müssen regelmäßig Berichte über Risiken, Vorfälle und Resilienzmaßnahmen an die Aufsichtsbehörden übermittelt werden.
Einheitliche Meldepflichten für schwerwiegende IKT-Zwischenfälle bilden einen weiteren Schwerpunkt. Institute müssen Prozesse einrichten, um Vorfälle, die erhebliche Auswirkungen auf kritische Funktionen haben, unverzüglich zu melden. Kriterien zur Klassifizierung, Formate und Inhalte der Meldungen sind in den Artikeln 18 bis 20 DORA festgelegt. Neben den Pflichtmeldungen können Institute auch freiwillig bedeutende Bedrohungen anzeigen, um den Informationsaustausch zu fördern. Ein gestuftes Verfahren mit Erstmeldung, Zwischenbericht und Abschlussanalyse soll sicherstellen, dass Aufsichtsbehörden frühzeitig reagieren und internationale Koordination ermöglichen können.
Auch Testpflichten sind streng geregelt. Alle Institute müssen regelmäßige Schwachstellen-Scans und Notfallübungen durchführen. Bedeutende Institute sind zusätzlich verpflichtet, alle drei Jahre Threat-Led Penetration Tests durchzuführen. Diese realistischen Angriffssimulationen durch unabhängige Experten liefern ein praxisnahes Bild der Widerstandsfähigkeit und gehen damit über herkömmliche Audits hinaus.
Ein wesentliches Novum ist die Regulierung von IKT-Dienstleistern. Aufsichtsbehörden erhalten Prüfungs- und Auskunftsrechte, können Vorgaben zur Beseitigung von Schwachstellen erlassen und im Ernstfall sogar empfehlen, Verträge zu kündigen. Damit wird eine bislang bestehende Lücke geschlossen, da es zuvor keine einheitliche Cloud-Aufsicht auf EU-Ebene gab. Systemische Risiken können so besser kontrolliert werden.
Auch die Sanktionsmechanismen sind verschärft. Zwar nennt die Verordnung keine festen Bußgeldhöhen, doch müssen die Mitgliedstaaten wirksame, abschreckende und verhältnismäßige Strafen vorsehen. Behörden erhalten Prüfungsrechte, können Inspektionen durchführen, Mitarbeiter befragen und Unternehmen zur Umsetzung konkreter Maßnahmen verpflichten. Cyberrisiken werden damit ähnlich streng beaufsichtigt wie Kapitalanforderungen oder Liquiditätsvorschriften.
DORA bietet mehrere Chancen: Sie stärkt die Widerstandsfähigkeit des Finanzsektors, schafft einheitliche Standards, reduziert regulatorische Fragmentierung und verbessert die Kooperation zwischen Behörden und Unternehmen. Besonders bedeutsam ist die stärkere Verantwortung des Managements, das nun für IKT-Risiken direkt haftet.
Gleichzeitig entstehen Herausforderungen. Institute sehen sich mit erheblichem organisatorischem Aufwand und hohen Kosten für Test- und Meldepflichten konfrontiert. Konflikte mit bestehenden nationalen Regelungen und erhöhte Haftungsrisiken für Geschäftsleiter sind weitere Belastungen.
Insgesamt stellt DORA eine Zäsur im europäischen Finanzaufsichtsrecht dar. Mit verbindlichen Mindeststandards für IKT-Sicherheit, klaren Melde- und Testpflichten sowie der Regulierung externer Anbieter wird ein bisher zersplitterter Bereich vereinheitlicht. Für Finanzunternehmen bedeutet dies erheblichen Anpassungsbedarf, der frühzeitig angegangen werden muss, um Unsicherheiten zu vermeiden und die Resilienz des gesamten Finanzsystems nachhaltig zu stärken.