Zum Inhalt springen
compliance advisory
Erstgespräch vereinbaren
DORA: Pflichten, Fristen & Säulen 2026 erklärt | vsca
DORAZuletzt aktualisiert: 2026-06-23

DORA: Pflichten, Fristen und die fünf Säulen im Überblick

Zuletzt aktualisiert: 23.06.2026

DORA – der Digital Operational Resilience Act (Verordnung (EU) 2022/2554) – ist die EU-Verordnung zur digitalen operationalen Resilienz des Finanzsektors und seit dem 17. Januar 2025 unmittelbar anwendbar. 2026 steht nicht mehr im Zeichen der Vorbereitung, sondern der aktiven Aufsicht durch BaFin und Bundesbank. Auf dieser Seite erklären wir verständlich, was DORA ist, wer betroffen ist – einschließlich der vielen IT-, Cloud- und Software-Dienstleister, die über den sogenannten Flow-down mit hineingezogen werden –, welche Fristen und Pflichten gelten und wie Sie die Anforderungen entlang der fünf DORA-Säulen strukturiert umsetzen.

Zur DORA-Beratungtabea@vsquadrat.de · +49 151 40701461

Inhaltsverzeichnis

  1. Was ist DORA? Eine kurze Definition
  2. Wer ist von der DORA-Verordnung betroffen?
  3. Der Flow-down: Wenn DORA Ihre Dienstleister erreicht
  4. Fristen und rechtlicher Stand 2026
  5. Die fünf Säulen von DORA
  6. Die zentralen Pflichten im Überblick
  7. In sechs Schritten zur DORA-Konformität
  8. DORA im Zusammenspiel mit anderen Regelwerken
  9. Häufige Fragen zu DORA

Was ist DORA? Eine kurze Definition

DORA steht für Digital Operational Resilience Act und ist die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor. Anders als eine Richtlinie muss eine EU-Verordnung nicht erst in nationales Recht umgesetzt werden – sie gilt unmittelbar und einheitlich in allen Mitgliedstaaten. Genau das ist bei der DORA-Verordnung der Fall: Sie ist seit dem 17. Januar 2025 anwendbar.

Das Ziel von DORA ist im Kern einfach: Der Finanzsektor soll auch dann funktionsfähig bleiben, wenn die Informations- und Kommunikationstechnologie (IKT) gestört wird – sei es durch einen Cyberangriff, einen Ausfall beim Cloud-Anbieter oder einen schweren technischen Fehler. Bislang waren IKT-Risiken in der Finanzregulierung über viele Einzelregelungen verstreut. DORA bündelt sie zu einem einheitlichen, verbindlichen Rahmen und macht die digitale operationale Resilienz zur eigenständigen aufsichtlichen Pflicht.

Wichtig zu verstehen: DORA ist kein reines IT-Thema. Die Verordnung verankert die Verantwortung ausdrücklich beim Leitungsorgan – also bei der Geschäftsleitung. Sie verlangt nachweisbare Prozesse, prüffeste Dokumentation und vertragliche Vorgaben für ausgelagerte IT-Leistungen. DORA ist damit eine Frage von Governance, Vertragsgestaltung und Nachweisbarkeit gegenüber der Aufsicht – genau an der Schnittstelle von Recht, Compliance und IT.

Wer ist von der DORA-Verordnung betroffen?

Die DORA-Verordnung richtet sich an den Finanzsektor – und der ist weiter gefasst, als viele annehmen. Erfasst werden unter anderem:

  • Kreditinstitute und Banken
  • Zahlungs- und E-Geld-Institute
  • Wertpapierfirmen und Handelsplätze
  • Versicherungs- und Rückversicherungsunternehmen sowie Versicherungsvermittler
  • Kapitalverwaltungsgesellschaften und Verwalter alternativer Investmentfonds
  • Anbieter von Krypto-Dienstleistungen
  • Weitere regulierte Finanzunternehmen wie Datenbereitstellungsdienste, Ratingagenturen oder Schwarmfinanzierungsdienstleister

DORA folgt dabei einem Proportionalitätsprinzip: Die Anforderungen müssen zur Größe, zum Geschäftsmodell und zum Risikoprofil des Unternehmens passen. Ein kleines Institut muss nicht denselben Apparat aufbauen wie eine systemrelevante Großbank – die Pflichten gelten aber dem Grunde nach für alle erfassten Finanzunternehmen.

Die entscheidende Erkenntnis für 2026 lautet jedoch: Sie müssen kein Finanzunternehmen sein, um von DORA betroffen zu sein. Über die Lieferketten erreicht die Verordnung auch zahlreiche IKT-Dienstleister, die selbst gar nicht reguliert sind. Diesem Mechanismus widmen wir den nächsten Abschnitt.

Der Flow-down: Wenn DORA Ihre Dienstleister erreicht

Der vielleicht meist unterschätzte Effekt von DORA ist der Flow-down: DORA verpflichtet Finanzunternehmen, mit ihren IKT-Dienstleistern Verträge zu schließen, die bestimmte Pflichtinhalte enthalten. Diese Anforderungen wandern damit über die Vertragsklauseln in die Organisationen von IT-, Cloud- und Software-Dienstleistern – auch wenn diese selbst kein Finanzunternehmen sind und gar nicht direkt unter DORA fallen.

Konkret bedeutet das: Wer Banken, Versicherer oder andere Finanzunternehmen mit IT-, Cloud-, SaaS- oder Software-Leistungen beliefert, wird über Artikel 30 DORA vertraglich mitverpflichtet. Die Finanzkunden müssen vertraglich sicherstellen, dass ihre Dienstleister bestimmte Sicherheits-, Audit-, Melde- und Exit-Anforderungen erfüllen. In der Praxis erreichen diese Klauseln Dienstleister oft in Form von Vertragsnachträgen oder Neuverhandlungen – und plötzlich steht die DORA-Konformität auch auf der Agenda von Unternehmen, die sich nie als Adressaten der Finanzregulierung gesehen haben.

Eine zusätzliche Schärfe bekommt das Thema durch die Kategorie der kritischen IKT-Drittdienstleister. Besonders bedeutsame IKT-Anbieter für den Finanzsektor unterliegen einer direkten europäischen Aufsicht. Die erste Liste kritischer IKT-Drittdienstleister wurde am 18. November 2025 veröffentlicht. Für Anbieter, die in diese Logik geraten, bedeutet das einen erheblichen Sprung in der Verantwortung.

Wenn Sie also IT-Leistungen an den Finanzsektor erbringen, lautet die richtige Frage nicht „Sind wir ein Finanzunternehmen?", sondern: „Bedienen wir Finanzkunden – und was wandert über deren Verträge an Pflichten zu uns?" Genau diese Einordnung nehmen wir mit Ihnen in der DORA-Beratung vor.

Fristen und rechtlicher Stand 2026

Bei DORA ist der wichtigste Termin bereits Vergangenheit. Anders als bei Regelwerken, die 2026 noch als Countdown kommuniziert werden, gilt DORA längst – und 2026 steht im Zeichen der Durchsetzung.

TerminEreignis
17.1.2025DORA-Verordnung (EU) 2022/2554 ist anwendbar.
18.11.2025Erste Liste kritischer IKT-Drittdienstleister veröffentlicht.
2026Aktive Aufsicht durch BaFin und Bundesbank; flankiert durch das deutsche Finanzmarktdigitalisierungsgesetz (FinmadiG).

Die Botschaft 2026 lautet deshalb nicht „bald wird es ernst", sondern: Die Verordnung ist anwendbar, und die Aufsicht prüft nun aktiv. Geprüft wird nicht mehr nur, ob Dokumente existieren, sondern ob die Maßnahmen tatsächlich greifen – ob Ihr IKT-Risikomanagement belastbar ist, Ihre Meldeprozesse im Ernstfall halten und Ihr Drittparteienmanagement vollständig und prüffest ist.

Die Frage 2026 lautet nicht „Sind wir startklar?", sondern: „Halten unsere Maßnahmen, wenn die Aufsicht hinschaut – und wenn morgen ein Vorfall meldepflichtig wird?"

In Deutschland ordnet das Finanzmarktdigitalisierungsgesetz (FinmadiG) die nationalen Zuständigkeiten und Befugnisse rund um DORA. Verantwortlich für die Aufsicht sind BaFin und Bundesbank.

Die fünf Säulen von DORA

DORA strukturiert seine Anforderungen in fünf großen Themenfeldern. Diese fünf Säulen sind der beste Kompass, um die Verordnung zu verstehen und die eigene Umsetzung zu strukturieren.

Säule 1 – IKT-Risikomanagement

Das Herzstück von DORA. Finanzunternehmen müssen einen umfassenden, dokumentierten Rahmen für das IKT-Risikomanagement betreiben: Governance und klare Verantwortlichkeiten, Identifikation und Schutz kritischer Funktionen und Daten, Erkennung von Anomalien sowie Reaktion und Wiederherstellung nach Störungen. Die Verantwortung liegt ausdrücklich beim Leitungsorgan.

Säule 2 – Behandlung, Klassifizierung und Meldung IKT-bezogener Vorfälle

Schwerwiegende IKT-bezogene Vorfälle müssen erkannt, nach festen Kriterien klassifiziert und an die zuständige Aufsichtsbehörde gemeldet werden. Entscheidend ist ein eingerichteter Prozess: Im Ernstfall muss klar sein, wer was bis wann meldet – improvisieren lässt sich das nicht.

Säule 3 – Testen der digitalen operationalen Resilienz

DORA verlangt ein Programm regelmäßiger Resilienztests der kritischen IKT-Systeme. Für bestimmte, größere Unternehmen kommen anspruchsvollere bedrohungsgeleitete Penetrationstests (TLPT – Threat-Led Penetration Testing) hinzu. Die Tiefe der Tests folgt dem Risiko und der Bedeutung des Unternehmens.

Säule 4 – Management des IKT-Drittparteienrisikos

Hier liegt der oben beschriebene Flow-down begründet. Finanzunternehmen müssen ihre IKT-Dienstleisterbeziehungen aktiv steuern, vertraglich nach Artikel 30 DORA absichern und ein Register der Informationen zu allen vertraglichen Vereinbarungen mit IKT-Dienstleistern führen. Dieses Informationsregister muss prüffest und vollständig sein – es ist regelmäßig einer der ersten Punkte, auf die die Aufsicht schaut.

Säule 5 – Informationsaustausch über Cyberbedrohungen

DORA fördert den freiwilligen Austausch von Cyber-Threat-Intelligence zwischen Finanzunternehmen – etwa zu Bedrohungen, Schwachstellen und Indikatoren. Eingebettet in eine saubere Governance, stärkt dieser Austausch die kollektive Abwehrfähigkeit des Sektors.

Die zentralen Pflichten im Überblick

Aus den fünf Säulen ergeben sich Pflichten, die ineinandergreifen. Die wichtigsten im Überblick:

  • IKT-Risikomanagement-Rahmen aufbauen, dokumentieren und laufend pflegen.
  • Leitungsverantwortung wahrnehmen: Das Leitungsorgan trägt die letzte Verantwortung für den Rahmen des IKT-Risikomanagements. Delegation an die IT entbindet nicht von der Verantwortung.
  • Vorfälle klassifizieren und melden – innerhalb der aufsichtlichen Fristen, mit klar definierten Zuständigkeiten.
  • Resilienz testen – risikobasiert und für betroffene Unternehmen bis hin zu TLPT.
  • Drittparteienrisiko steuern – Verträge nach Art. 30 absichern, Audit-, Kündigungs- und Exit-Rechte vereinbaren.
  • Informationsregister führen – vollständig, aktuell und prüffest, als zentraler Nachweis gegenüber der Aufsicht.

Für IKT-Dienstleister mit Finanzkunden gilt: Die für Sie relevanten Pflichten kommen über den Vertrag. Sie müssen die zugesagten Sicherheits-, Audit-, Melde- und Unterstützungsleistungen tatsächlich erbringen können – nicht nur unterschreiben.

In sechs Schritten zur DORA-Konformität

Der Weg zur DORA-Konformität lässt sich strukturieren – ob Sie als Finanzunternehmen direkt betroffen sind oder als Dienstleister über den Flow-down hineingezogen werden.

  1. Rolle und Scope bestimmen: Klären Sie dokumentiert, ob DORA Sie direkt als Finanzunternehmen oder mittelbar als IKT-Dienstleister über Art. 30 trifft – und ob die Logik der kritischen Drittdienstleister relevant ist.
  2. Gap-Analyse durchführen: Vergleichen Sie Ihren Ist-Zustand entlang der fünf Säulen mit den DORA-Anforderungen und legen Sie die Lücken offen.
  3. Risiken priorisieren: Bewerten Sie die Lücken nach realem Risiko und Aufsichtsrelevanz – zuerst dort, wo es am meisten zählt.
  4. Maßnahmen umsetzen: Bauen Sie den IKT-Risikomanagement-Rahmen, die Melde- und Vorfallprozesse sowie das Testprogramm auf.
  5. Verträge und Informationsregister in Ordnung bringen: Überarbeiten Sie die Verträge mit IKT-Dienstleistern nach Art. 30 und führen Sie das Register der Informationen prüffest zusammen.
  6. Governance verankern und nachweisen: Binden Sie das Leitungsorgan ein, dokumentieren Sie die Überwachung und sorgen Sie für eine prüffeste Nachweisführung.

Diesen Weg müssen Sie nicht allein gehen. In unserer DORA-Beratung begleiten wir Sie durch den gesamten Prozess – pragmatisch, risikobasiert und nach dem Baukastenprinzip: Sie kombinieren genau die Bausteine, die Ihr Reifegrad und Ihre Rolle erfordern.

DORA im Zusammenspiel mit anderen Regelwerken

DORA steht selten allein. Für regulierte Finanzunternehmen und ihre Dienstleister greift es mit benachbarten Regelwerken ineinander:

  • ISO/IEC 27001:2022 – Ein Informationssicherheits-Managementsystem (ISMS) nach dieser Norm ist kein automatischer DORA-Nachweis, aber ein anerkanntes Gerüst, das viele Anforderungen des IKT-Risikomanagements abdeckt und die Nachweisführung erheblich erleichtert. Mehr dazu unter ISO 27001.
  • NIS2 – Die EU-Cybersicherheitsrichtlinie gilt branchenübergreifend. DORA ist für den Finanzsektor das speziellere Regime und geht insoweit vor; Unternehmen außerhalb der reinen Finanzwelt können parallel unter NIS2 fallen. Details unter NIS2.
  • Cyber Resilience Act (CRA) – Wer „Produkte mit digitalen Elementen" herstellt oder vertreibt, muss zusätzlich die CRA-Anforderungen beachten. Mehr unter Cyber Resilience Act.

Der pragmatische Weg ist, diese Anforderungen nicht in Silos abzuarbeiten, sondern gemeinsam zu denken – als Teil unseres Produkts CaaS (Compliance as a Service). Für die branchenspezifische Sicht lohnt der Blick auf unsere Compliance-Beratung für Finanzdienstleister, die DORA in den größeren regulatorischen Kontext des Finanzsektors einordnet.

Häufige Fragen zu DORA

Was ist DORA einfach erklärt? DORA ist der Digital Operational Resilience Act, die EU-Verordnung (EU) 2022/2554 zur digitalen operationalen Resilienz des Finanzsektors. Sie verpflichtet Finanzunternehmen, ihre IKT-Risiken nachweisbar zu beherrschen, schwerwiegende Vorfälle zu melden, ihre Resilienz zu testen und ihre IT-Dienstleister vertraglich abzusichern. DORA ist seit dem 17. Januar 2025 unmittelbar anwendbar.

Seit wann gilt DORA und was ändert sich 2026? DORA ist seit dem 17. Januar 2025 anwendbar. 2026 steht im Zeichen der aktiven Aufsicht durch BaFin und Bundesbank, flankiert durch das deutsche FinmadiG. Geprüft wird nicht mehr nur die Dokumentation, sondern die tatsächliche Wirksamkeit Ihres IKT-Risikomanagements, Ihrer Meldeprozesse und Ihres Drittparteienmanagements.

Sind wir von DORA betroffen, obwohl wir kein Finanzunternehmen sind? Möglicherweise ja. Über den Flow-down nach Artikel 30 DORA werden IT-, Cloud- und Software-Dienstleister mit Finanzkunden vertraglich mitverpflichtet – auch ohne selbst Finanzunternehmen zu sein. Die DORA-Pflichtinhalte wandern über die Verträge in Ihre Organisation. In welchem Umfang Sie betroffen sind, klären wir im Erstgespräch der DORA-Beratung.

Was sind die fünf Säulen von DORA? Die fünf Säulen sind: (1) IKT-Risikomanagement, (2) Behandlung, Klassifizierung und Meldung IKT-bezogener Vorfälle, (3) Testen der digitalen operationalen Resilienz, (4) Management des IKT-Drittparteienrisikos und (5) Informationsaustausch über Cyberbedrohungen. Sie bilden den Rahmen für die gesamte DORA-Umsetzung.

Was sind kritische IKT-Drittdienstleister? Das sind besonders bedeutsame IKT-Anbieter für den Finanzsektor, die einer direkten europäischen Aufsicht unterliegen. Die erste Liste kritischer IKT-Drittdienstleister wurde am 18. November 2025 veröffentlicht. Ob diese Logik für Sie relevant ist – als Anbieter oder als Finanzunternehmen, das solche Dienstleister einsetzt –, prüfen wir individuell.

Reicht ein ISMS nach ISO 27001 für DORA aus? Ein ISMS nach ISO/IEC 27001:2022 ist kein automatischer DORA-Nachweis, aber ein sehr hilfreiches Gerüst: Es deckt viele Anforderungen des IKT-Risikomanagements ab und erleichtert die Nachweise. DORA-spezifische Lücken – etwa beim Drittparteienregister, beim Vorfallmanagement und bei den Resilienztests – müssen zusätzlich geschlossen werden. Mehr dazu unter ISO 27001.

Bringen Sie Ihre DORA-Pflichten auf prüffesten Stand

DORA ist anwendbar, die Aufsicht ist aktiv und der Flow-down erreicht ganze Dienstleisterketten – deshalb ist der richtige Zeitpunkt zum Handeln jetzt. Wir klären Ihre Rolle, schließen die Lücken entlang der fünf Säulen und sichern Ihre Governance ab. Pragmatisch, risikobasiert, nachweisbar.

Zur DORA-Beratung – im kostenlosen Erstgespräch klären wir Ihren Bedarf und die nächsten Schritte.

Jetzt zur DORA-Beratung · Compliance-Beratung für Finanzdienstleister

Ihr Kontakt: vsquadrat compliance advisory GmbH Kleiner Burstah 12, 20457 Hamburg Tabea Lehnert, Managing Director · tabea@vsquadrat.de · +49 151 40701461 Team Legal · legal@vsquadrat.dewww.vsquadrat.de

Zuletzt aktualisiert: 23.06.2026. Alle regulatorischen Angaben auf dieser Seite geben den Stand vom 23.06.2026 wieder. Diese Seite dient der allgemeinen Information und ersetzt keine individuelle Rechtsberatung.

Kostenloses Erstgespräch

Lassen Sie uns sprechen.

Unverbindlich, kostenfrei und konkret: Wir klären Ihren Bedarf und stellen die passenden Bausteine zusammen.

Antwort i. d. R. innerhalb von 24 Stunden. Keine Kosten, keine Verpflichtung.