DORA (Digital Operational Resilience Act)
EU-Verordnung zur digitalen Betriebsstabilität im Finanzsektor — mit strengen Anforderungen an IT-Risikomanagement und Incident-Meldung.
Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung, die seit Januar 2025 verbindlich gilt und die digitale Widerstandsfähigkeit von Finanzinstituten und ihren IT-Dienstleistern reguliert. Sie gilt für Banken, Versicherungen, Wertpapierfirmen und — neu — auch für kritische IKT-Drittdienstleister.
Was fordert DORA konkret?
DORA schreibt vor: ein umfassendes IKT-Risikomanagement, die Meldung schwerwiegender Vorfälle an Aufsichtsbehörden, regelmäßige Tests der digitalen Resilienz (einschließlich Penetrationstests), ein Register aller IKT-Drittanbieter sowie Mindestanforderungen an Verträge mit IT-Dienstleistern.
Für IT-Dienstleister, die Finanzinstitute bedienen, ist DORA besonders relevant: Sie werden indirekt in die Regulierung einbezogen und müssen Auskunfts-, Prüfungs- und Auditrechte vertraglich einräumen.