Mit der Verordnung (EU) 2022/2554 hat die Europäische Union Anfang 2025 den Digital Operational Resilience Act (DORA) in Kraft gesetzt. Damit wird erstmals ein einheitlicher europäischer Rechtsrahmen geschaffen, um die digitale Widerstandsfähigkeit des Finanzsektors zu stärken. Ziel ist es, ein harmonisiertes Sicherheitsniveau herzustellen, das Finanzunternehmen wirksam gegen IKT-Risiken absichert und so die Stabilität der Finanzmärkte unterstützt. Die Verordnung enthält Kernpflichten, deren praktische Umsetzung sowie mögliche Folgen für die Aufsicht.
Der Finanzsektor ist besonders von digitalen Abläufen abhängig – vom Online-Banking bis zu komplexen Cloud-basierten Kernsystemen. Mit wachsender Vernetzung nehmen Bedrohungen durch Cyberangriffe, Systemausfälle und Störungen in globalen Lieferketten deutlich zu. Nationale Vorgaben galten bislang als fragmentarisch und ungeeignet für international agierende Märkte. Mit DORA soll dieses Problem durch europaweit verbindliche Mindeststandards gelöst werden. Digitale operationelle Resilienz bedeutet dabei die Fähigkeit, auch unter widrigen Umständen wie Angriffen oder Systemausfällen den Geschäftsbetrieb fortzuführen und die Integrität der Abläufe sicherzustellen.
DORA gilt für nahezu alle Akteure der Finanzmärkte: Kredit- und Zahlungsinstitute, Versicherer, Wertpapierfirmen, Pensionskassen, Handelsplätze, Ratingagenturen, Benchmark-Administratoren oder Crowdfunding-Plattformen. Erstmals werden auch externe IKT-Dienstleister – etwa Cloud-Anbieter oder Core-Banking-Spezialisten – unmittelbar reguliert. Damit erfasst die Verordnung den gesamten Finanzsektor einschließlich neuer Technologien und Krypto-Assets.
Zentrales Element ist der IKT-Risikomanagementrahmen. Finanzunternehmen müssen Strategien, Prozesse und Kontrollsysteme etablieren, die über eine klassische IT-Sicherheit hinausgehen. Erforderlich ist eine Resilienzstrategie, die mit der Gesamtstrategie des Unternehmens abgestimmt ist. Dazu zählen die Identifikation und Bewertung von Risiken, der Umgang mit Auslagerungen und Lieferketten, die Einrichtung spezieller Kontrollfunktionen sowie die kontinuierliche Überwachung von Systemen. Zudem sind regelmäßige Berichte über Risiken, Vorfälle und Resilienzmaßnahmen an die Aufsicht vorgeschrieben.
Besondere Bedeutung haben die neuen Berichtspflichten. Schwerwiegende IKT-Zwischenfälle sind unverzüglich an die Aufsicht zu melden. Kriterien zur Klassifizierung sowie die Formate und Inhalte der Meldungen sind in den Artikeln 18 bis 20 DORA festgelegt. Neben Pflichtmeldungen können Institute auch freiwillig bedeutende Bedrohungen anzeigen, um den Informationsaustausch zu verbessern. Ein gestuftes System mit Erstmeldung, Zwischenbericht und abschließender Analyse ermöglicht es den Behörden, zeitnah zu reagieren und internationale Koordination einzuleiten.
Auch die Testpflichten sind streng gefasst. Alle Institute müssen Schwachstellen-Scans und Notfallübungen durchführen. Für bedeutende Institute gilt zusätzlich die Pflicht, mindestens alle drei Jahre Threat-Led Penetration Tests durchzuführen – realistische Angriffssimulationen, die unter Einbindung der Aufsicht durchgeführt werden und über klassische Audits hinausgehen.
Ein Novum ist die direkte Regulierung von IKT-Dienstleistern. Aufsichtsbehörden erhalten umfassende Prüf- und Auskunftsrechte, können die Behebung von Schwachstellen anordnen und im Extremfall sogar empfehlen, Verträge mit Anbietern zu kündigen. Damit wird eine Lücke geschlossen, da es bislang keine einheitliche Kontrolle über Cloud-Dienstleister auf EU-Ebene gab.
Auch die Durchsetzung wird verschärft. Die Verordnung nennt zwar keine festen Bußgeldhöhen, verpflichtet die Mitgliedstaaten jedoch, wirksame und abschreckende Sanktionen einzuführen. Behörden können Prüfungen und Inspektionen durchführen, Mitarbeiter befragen und Unternehmen rechtsverbindlich zur Umsetzung von Maßnahmen anweisen. Cyberrisiken werden so ähnlich streng überwacht wie Kapital- oder Liquiditätsvorgaben.
DORA bietet erhebliche Chancen: Die Widerstandsfähigkeit des Finanzsektors wird gestärkt, regulatorische Fragmentierung abgebaut, die Zusammenarbeit zwischen Unternehmen und Behörden verbessert und die Verantwortung der Unternehmensführung deutlich ausgeweitet.
Gleichzeitig entstehen spürbare Belastungen. Institute müssen erheblichen organisatorischen Aufwand und hohe Kosten für Meldepflichten und Tests bewältigen. Konflikte mit bestehenden nationalen Regelungen sind möglich, und für Geschäftsleiter ergeben sich zusätzliche Haftungsrisiken.
Insgesamt markiert DORA eine grundlegende Veränderung im europäischen Aufsichtsrecht. Mit verbindlichen Mindeststandards, klaren Berichtspflichten und der Regulierung externer Anbieter wird ein zuvor zersplitterter Bereich vereinheitlicht. Für Finanzunternehmen bedeutet dies einen erheblichen Anpassungsbedarf, der frühzeitig angegangen werden muss, um Unsicherheiten zu vermeiden und die Resilienz des europäischen Finanzsystems dauerhaft zu sichern.