Mit dem Digital Operational Resilience Act (DORA) setzt die EU neue Maßstäbe für Cybersicherheit im Finanzsektor. Seit dem 17. Januar 2025 müssen Banken, Versicherer, Zahlungsdienste und ihre IT-Zulieferer nachweisen, dass sie digital widerstandsfähig sind – nicht nur technisch, sondern auch organisatorisch.
Ein Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27001 ist dafür zwar nicht vorgeschrieben, aber faktisch unverzichtbar, um die Anforderungen systematisch umzusetzen.
Was ist DORA?
DORA ist die Abkürzung für den Digital Operational Resilience Act (EU-Verordnung 2022/2554). Ziel ist es, die Stabilität, Sicherheit und Widerstandsfähigkeit der Finanzbranche gegenüber digitalen Risiken zu erhöhen.
Die Verordnung verpflichtet betroffene Unternehmen dazu, Cyberrisiken strukturiert zu steuern, Vorfälle zu melden, Lieferanten zu kontrollieren – und ihre digitale Resilienz regelmäßig zu testen.
Wer ist betroffen?
DORA gilt für eine breite Gruppe regulierter Finanzmarktakteure, darunter:
- Banken, Sparkassen, Zahlungsdienstleister
- Versicherungen & Rückversicherungen
- Wertpapierfirmen, Investmentfonds, Krypto-Plattformen
- IT-Dienstleister und Softwareanbieter für Finanzunternehmen
Auch externe Anbieter, die kritische digitale Services bereitstellen, müssen Anforderungen erfüllen – selbst wenn sie außerhalb der EU sitzen.
Was fordert DORA konkret?
DORA gliedert sich in fünf zentrale Themenbereiche:
- ICT-Risikomanagement: Risiken erkennen, bewerten, behandeln
- Incident Reporting: Cybervorfälle melden (i. d. R. innerhalb von 24–72 Stunden)
- Tests digitaler Resilienz: z. B. externe Penetrationstests
- Kontrolle von Drittanbietern: Verträge, Auditrechte, Exit-Strategien
- Krisenreaktion: Notfallpläne & sektorübergreifende Übungen
Warum ist ein ISMS dafür so wichtig?
Ein funktionierendes ISMS nach ISO/IEC 27001 deckt viele DORA-Anforderungen ab – strukturiert, dokumentiert und prüfbar:
| DORA-Anforderung | Gedeckt durch ISMS (ISO 27001) |
|---|---|
| Risikomanagement | ✔ Kapitel 6 & Annex A |
| Incident Response | ✔ Annex A.5.24, A.6.5 |
| Kontinuitätsplanung | ✔ Annex A.5.29, A.5.30 |
| Lieferantenmanagement | ✔ Annex A.5.20, A.5.21 |
| Dokumentation & Nachweise | ✔ Policies, Protokolle, Management Review |
Fazit: Ein ISMS schafft genau die Strukturen, die DORA verlangt – auch wenn es nicht namentlich gefordert wird.
DORA und die nationalen Vorgaben: BAIT, VAIT, KAIT, ZAIT
In Deutschland regelten bislang die Verwaltungsvorgaben der BaFin – BAIT, VAIT, KAIT, ZAIT – die Anforderungen an Informationssicherheit und IT im Finanzsektor:
- BAIT: Banken
- VAIT: Versicherungen
- KAIT: Kapitalverwaltungsgesellschaften
- ZAIT: Zahlungsinstitute und E-Geld-Institute
Diese Vorgaben lehnten sich stark an ISO 27001 an – genau wie DORA. Seit dem 17. Januar 2025 gelten jedoch neue Verhältnisse:
- VAIT, KAIT und ZAIT wurden mit Ablauf des 16. Januar 2025 vollständig aufgehoben.
- BAIT bleibt noch teilweise in Kraft und wird schrittweise bis zum 31. Dezember 2026 durch DORA ersetzt – abhängig vom Anwendungsbereich der betroffenen Institute.
Was bedeutet das für die Praxis?
- Ein ISMS hilft, die Übergangsphase regelkonform und konsistent zu gestalten
- Unternehmen sollten prüfen, ob DORA oder BAIT aktuell gilt – oder beides
- Dienstleister müssen vertraglich & technisch auf die neuen DORA-Pflichten reagieren
Ein ISMS bildet den stabilen Rahmen, um Anforderungen aus beiden Welten – DORA und BAIT – strukturiert, dokumentiert und revisionssicher umzusetzen.
Wie unterscheidet sich DORA von NIS2 und CRA?
| Regelwerk | Geltung | Zielgruppe | Fokus |
|---|---|---|---|
| DORA | Verordnung (seit 01/2025 gültig) | Finanzsektor & IT-Dienstleister | Digitale Resilienz, Incident Reporting |
| NIS2 | Richtlinie (Umsetzung bis 10/2024) | Kritische & wichtige Einrichtungen | IT-Sicherheit & Risikomanagement |
| CRA | Verordnung (Pflichten ab 12/2027) | Hersteller digitaler Produkte | Produktsicherheit, SBOM, CE-Kennzeichnung |
Fazit
DORA fordert nichts Geringeres als digitale Resilienz als Standard im Finanzsektor. Unternehmen, die ein strukturiertes ISMS betreiben, erfüllen einen Großteil der Anforderungen bereits – oder können sie gezielt erweitern.
DORA ist seit Januar 2025 verpflichtend – höchste Zeit, regulatorische Sicherheit systematisch umzusetzen.
Unterstützung gesucht?
Wir unterstützen Finanzdienstleister und ihre Partner dabei, ein ISMS aufzubauen oder zu erweitern – abgestimmt auf DORA, NIS2, ISO 27001 und CRA. Mit durchdachter Methodik, verständlicher Beratung und praxisnaher Softwarelösung.
Nehmen Sie Kontakt auf – wir begleiten Sie in Richtung Resilienz.