3 Fragen, 3 Antworten: DORA (Digital Operational Resilience Act)

Diana Campar aus unserem Team Banktechnologie und Sicherheit erklärt, was die DORA-Verordnung für Banken und Unternehmen des europäischen Finanzsektors bedeutet.

Mit der zunehmenden Digitalisierung im Finanzsektor steigen auch die Risiken durch IT-Störungen, Cyberangriffe oder technische Fehler. Um die Stabilität und Sicherheit des Finanzsystems zu stärken, hat die Europäische Union die Verordnung über digitale operationelle Resilienz – kurz: DORA – beschlossen. Seit Anfang 2023 ist sie in Kraft und wird seit Januar 2025 verbindlich angewendet. Doch was genau regelt DORA? Und was bedeutet das für Banken – und für Kundinnen und Kunden?

1. Was regelt DORA?

DORA (Digital Operational Resilience Act) ist eine EU-Verordnung, die die umfassenden Anforderungen an die digitale Sicherheit von Finanzunternehmen vereinheitlicht und verstärkt. Sie betrifft Banken, Versicherungen, Zahlungsdienstleister, Wertpapierfirmen und viele weitere Akteure der Finanzbranche – auch bestimmte IT-Dienstleister, die mit diesen Unternehmen zusammenarbeiten.

Ziel von DORA ist es, dass Finanzunternehmen in Krisen oder bei IT-Ausfällen handlungsfähig bleiben. Die Verordnung regelt, dass Unternehmen:

• Risiken im Zusammenhang mit Informations- und Kommunikationstechnologie (IKT) aktiv managen,
• regelmäßige Tests durchführen, um Schwachstellen zu erkennen,
• Vorkehrungen für den Ernstfall treffen (z. B. Notfall- und Wiederherstellungspläne),
• schwerwiegende IT-Vorfälle melden und dokumentieren sowie
• die Risiken aus der Zusammenarbeit mit externen IT-Dienstleistern kontrollieren.

Damit soll das Finanzsystem widerstandsfähiger gegen Cyberrisiken werden.

2. Was bedeutet dies für die Banken?

Für Banken und andere Finanzinstitute bringt DORA eine Reihe neuer Aufgaben mit sich. Sie müssen ihre IT-Systeme umfassend überprüfen, verbessern und sich auf mögliche Störungen vorbereiten. Auch bestehende Prozesse – etwa im Risikomanagement, in der IT-Sicherheit oder beim Einsatz von Dienstleistern – müssen an die neuen Anforderungen angepasst werden.

Ein besonderer Fokus liegt auf der Überwachung und Steuerung von Drittanbietern, etwa Cloud- oder Softwaredienstleistern. Denn Banken bleiben verantwortlich, wenn Probleme bei ihren IT-Partnern entstehen. Zudem müssen sie schwerwiegende IT-Vorfälle zeitnah an die zuständigen Behörden melden, um eine schnelle Reaktion auf Systemrisiken zu ermöglichen.

Langfristig soll DORA helfen, die digitale Stabilität zu sichern und das Vertrauen in die Branche nachhaltig zu stärken.

3. Was bedeutet dies für Kunden?

Für Verbraucherinnen und Verbraucher ist Sicherheit von höchster Bedeutung. Wenn Banken und andere Finanzdienstleister ihre Systeme noch besser gegen Cyberangriffe, Ausfälle oder technische Pannen absichern, sinkt das Risiko von längeren technischen Störungen oder Datenverlusten.

Auch mehr Transparenz bei Sicherheitsvorfällen kann dazu beitragen, schneller informiert und geschützt zu werden. Langfristig stärkt DORA somit das Vertrauen in digitale Finanzdienstleistungen – ein wichtiger Schritt in einer zunehmend vernetzten Welt.