Zum Hauptinhalt springen
Zur Wissensdatenbank

EU-Regulierung

DORA: Digitale operationale Resilienz im Finanzsektor — Pflichten, Aufsicht und Personalbedarf

Der Digital Operational Resilience Act (DORA, Verordnung (EU) 2022/2554) ist der einheitliche EU-Rechtsrahmen für die digitale operationale Resilienz des Finanzsektors. Als Verordnung gilt DORA seit dem 17. Januar 2025 unmittelbar in allen Mitgliedstaaten — ohne nationales Umsetzungsgesetz. Erfasst sind rund 20 Kategorien von Finanzunternehmen, von Banken über Versicherer bis zu Krypto-Dienstleistern, sowie erstmals auch kritische IKT-Drittdienstleister wie große Cloud-Anbieter. Für den Finanzsektor ist DORA lex specialis gegenüber NIS2 und seit 2025 gelebte Aufsichtspraxis von BaFin und europäischen Aufsichtsbehörden — mit entsprechendem Bedarf an spezialisierten Fachkräften.

Stand: Juni 2026Zuletzt aktualisiert: 10. Juni 2026

Was ist DORA?

Der Digital Operational Resilience Act (Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor) wurde am 27. Dezember 2022 im Amtsblatt der EU veröffentlicht und gilt seit dem 17. Januar 2025. Anders als die NIS2-Richtlinie ist DORA eine Verordnung: Sie wirkt unmittelbar in jedem Mitgliedstaat, ohne dass es eines nationalen Umsetzungsgesetzes bedarf. Deutschland hat lediglich begleitend das Finanzmarktdigitalisierungsgesetz (FinmadiG) erlassen, das unter anderem Zuständigkeiten und Sanktionen regelt und die BaFin als zuständige Behörde bestimmt.

Ziel der Verordnung ist, dass Finanzunternehmen schwere IKT-Störungen — von Cyberangriffen bis zum Ausfall eines Cloud-Dienstes — verkraften können, ohne dass kritische Funktionen ausfallen. DORA bündelt dafür zuvor verstreute Aufsichtsanforderungen in einem einzigen, direkt geltenden Regelwerk und ergänzt sie um einen völlig neuen Baustein: die europäische Überwachung kritischer IKT-Drittdienstleister. Dabei gilt der Grundsatz der Proportionalität — die Anforderungen skalieren mit Größe, Risikoprofil und Systemrelevanz des Unternehmens.

Anwendungsbereich: Wer fällt unter DORA?

Artikel 2 der Verordnung zählt rund 20 Kategorien von Finanzunternehmen auf: Kreditinstitute, Zahlungs- und E-Geld-Institute, Wertpapierfirmen, Handelsplätze, Zentralverwahrer und zentrale Gegenparteien, Verwalter alternativer Investmentfonds und Verwaltungsgesellschaften, Versicherungs- und Rückversicherungsunternehmen samt größeren Vermittlern, Einrichtungen der betrieblichen Altersversorgung, Ratingagenturen, Schwarmfinanzierungsdienstleister sowie Anbieter von Krypto-Dienstleistungen nach der MiCA-Verordnung. DORA reicht damit weit über die klassische Bankenaufsicht hinaus.

Die zweite Gruppe sind IKT-Drittdienstleister: Cloud-Anbieter, Rechenzentren, Software- und Datenanbieter, die Finanzunternehmen IKT-Dienstleistungen erbringen. Sie unterliegen DORA auf zwei Wegen — mittelbar über die strengen Vertrags- und Steuerungsanforderungen ihrer Finanzkunden und, bei Einstufung als kritisch, unmittelbar über den europäischen Überwachungsrahmen nach Artikel 31 ff. Wer als IT-Dienstleister Banken oder Versicherer bedient, ist von DORA daher faktisch genauso betroffen wie die Finanzunternehmen selbst.

Die fünf Säulen von DORA

DORA strukturiert die digitale Resilienz in fünf Pflichtenblöcke, die ineinandergreifen und jeweils eigene fachliche Zuständigkeiten im Unternehmen erfordern:

  • IKT-Risikomanagement (Art. 5–16): ein vom Leitungsorgan verantworteter Risikomanagementrahmen mit Identifikation, Schutz, Detektion, Reaktion und Wiederherstellung — inklusive Business-Continuity- und Wiederanlaufplänen für kritische Funktionen.
  • Meldung IKT-bezogener Vorfälle (Art. 17–23): Klassifizierung von Vorfällen nach einheitlichen Kriterien und Meldung schwerwiegender Vorfälle an die zuständige Behörde — in Deutschland fungiert die BaFin als zentraler Melde-Hub des Finanzsektors.
  • Testen der digitalen operationalen Resilienz (Art. 24–27): ein risikobasiertes Testprogramm für alle, ergänzt um bedrohungsorientierte Penetrationstests (TLPT, threat-led penetration testing) mindestens alle drei Jahre für dafür identifizierte Finanzunternehmen — methodisch angelehnt an das TIBER-EU-Rahmenwerk.
  • Management des IKT-Drittparteienrisikos (Art. 28–30): eine Strategie für Drittparteienrisiken, ein vollständiges Informationsregister aller IKT-Verträge und verbindliche vertragliche Mindestinhalte — von Zugangs- und Prüfrechten bis zu Ausstiegsstrategien für kritische Funktionen.
  • Informationsaustausch (Art. 45): die ausdrücklich erlaubte und geförderte Weitergabe von Cyber-Bedrohungsinformationen zwischen Finanzunternehmen in vertrauenswürdigen Gemeinschaften.

Aufsicht: BaFin, ESAs und das Oversight kritischer IKT-Anbieter

National beaufsichtigt die BaFin die Einhaltung von DORA; sie nimmt die Vorfallsmeldungen entgegen, sammelt die Informationsregister ein und integriert DORA in die laufende Aufsicht. Auf europäischer Ebene koordinieren die drei Aufsichtsbehörden EBA, EIOPA und ESMA (ESAs) die Anwendung und haben den Rahmen mit technischen Regulierungs- und Durchführungsstandards (RTS/ITS) ausgefüllt — etwa zur Vorfallsklassifizierung, zu Vertragsinhalten, zur Durchführung von TLPT (Delegierte Verordnung (EU) 2025/1190) und zur Harmonisierung der Überwachungstätigkeiten (u. a. Delegierte Verordnungen (EU) 2025/295 und (EU) 2025/420).

Das aufsichtliche Novum ist der Überwachungsrahmen für kritische IKT-Drittdienstleister: Auf Basis der 2025 erstmals eingereichten Informationsregister haben die ESAs am 18. November 2025 die ersten 19 kritischen IKT-Drittdienstleister benannt — darunter die großen Cloud-Plattformen Amazon Web Services, Google Cloud und Microsoft sowie weitere Technologie-, Daten- und Netzanbieter. Jeder benannte Anbieter erhält eine federführende Überwachungsbehörde (Lead Overseer), die Prüfungen durchführen, Empfehlungen aussprechen und Zwangsgelder verhängen kann. Seit 2026 läuft diese Überwachung im Wirkbetrieb — erstmals stehen damit Tech-Konzerne unter direkter europäischer Finanzaufsicht.

DORA und NIS2: lex specialis für den Finanzsektor

DORA und NIS2 überschneiden sich im Anwendungsbereich — Banken und Finanzmarktinfrastrukturen sind auch Sektoren der NIS2-Richtlinie. Den Konflikt löst Artikel 4 der NIS2-Richtlinie: Sektorspezifische EU-Rechtsakte mit mindestens gleichwertigen Anforderungen gehen vor, und DORA ist von der EU-Kommission ausdrücklich als ein solcher Rechtsakt benannt. Finanzunternehmen im DORA-Anwendungsbereich wenden daher für Risikomanagement und Meldepflichten DORA statt der NIS2-Vorgaben an — die Anforderungen sind dabei in mehreren Punkten strenger und detaillierter als unter NIS2.

Für die Praxis heißt das: Ein Finanzkonzern kann gleichwohl mit beiden Regimen in Berührung kommen, etwa wenn Tochtergesellschaften außerhalb des DORA-Anwendungsbereichs unter das BSI-Gesetz fallen. Und IT-Dienstleister müssen doppelt denken — als mögliche wichtige Einrichtung unter NIS2 und als IKT-Drittdienstleister unter DORA mit den Vertragsanforderungen ihrer Finanzkunden. Dieser Guide ordnet die Rechtslage redaktionell ein und ersetzt keine Rechtsberatung im Einzelfall.

// recruiting-bezug

Was DORA für Hiring und Arbeitsmarkt bedeutet

DORA hat im Finanzsektor neue Rollenprofile etabliert und bestehende geschärft. Gefragt sind IKT-Risikomanager und Resilienz- beziehungsweise DORA-Officer, die den Risikomanagementrahmen nach Artikel 5 ff. betreiben und das Leitungsorgan berichtsfähig machen; Third-Party-Risk-Manager, die Informationsregister, Vertragsverhandlungen und Exit-Strategien für Cloud- und IT-Verträge verantworten; SOC-Analysten und Incident-Responder für Detektion und fristgerechte Vorfallsmeldungen; sowie Penetration Tester mit Red-Team-Erfahrung, die TLPT nach TIBER-Methodik planen und durchführen können — ein besonders dünn besetztes Segment des Marktes.

Der Bedarf endet nicht bei Banken und Versicherern: IT-Dienstleister der Finanzbranche müssen die DORA-Vertragsanforderungen ihrer Kunden operativ erfüllen und besetzen dafür eigene Compliance- und Security-Rollen — die als kritisch eingestuften Anbieter stehen zusätzlich unter direkter ESA-Überwachung. Da DORA seit 2025 geltendes Recht ist und die Aufsicht ihre Prüfpraxis ausbaut, konkurrieren Finanzunternehmen, Beratungen und Tech-Anbieter gleichzeitig um dieselben knappen Profile. Wer Schlüsselrollen klar zuschneidet und zügig besetzt, reduziert nicht nur Aufsichtsrisiken, sondern gewinnt operative Handlungsfähigkeit.

// faq

Häufige Fragen

DORA ist eine EU-Verordnung und gilt seit dem 17. Januar 2025 unmittelbar in allen Mitgliedstaaten — anders als die NIS2-Richtlinie, die erst durch ein nationales Gesetz wirksam wurde. Ein deutsches Umsetzungsgesetz war daher nicht erforderlich. Deutschland hat aber begleitend das Finanzmarktdigitalisierungsgesetz (FinmadiG) erlassen, das die BaFin als zuständige Behörde bestimmt, Sanktionen regelt und die deutschen Fachgesetze an DORA anpasst. Für betroffene Finanzunternehmen bedeutet die unmittelbare Geltung: Die Pflichten aus der Verordnung und den zugehörigen technischen Standards gelten seit Januar 2025 ohne Übergangsfrist und werden von der BaFin aktiv beaufsichtigt. Wer Lücken im IKT-Risikomanagement oder im Drittparteienregister hat, sollte sie prioritär schließen — die Aufsicht fragt diese Punkte inzwischen konkret ab.

TLPT (threat-led penetration testing) ist ein bedrohungsorientierter Penetrationstest: Auf Basis aktueller Bedrohungsanalysen simuliert ein Red Team realistische Angriffe auf die kritischen Live-Systeme eines Finanzunternehmens. Artikel 26 der DORA-Verordnung verpflichtet dafür identifizierte Finanzunternehmen — ausgewählt nach Systemrelevanz und Risikoprofil — zu TLPT mindestens alle drei Jahre. Die Einzelheiten regelt die Delegierte Verordnung (EU) 2025/1190, die sich methodisch am TIBER-EU-Rahmenwerk der EZB orientiert; das Rahmenwerk wurde 2025 entsprechend an DORA angepasst. TLPT erfordert spezialisierte Threat-Intelligence- und Red-Team-Anbieter sowie interne Koordinatoren, die Scoping, Geheimhaltung und Behördenabstimmung steuern. Solche Profile sind am Markt rar — Unternehmen sollten Testzyklen und Personalplanung daher früh zusammendenken.

Ja, auf zwei Wegen. Erstens mittelbar: Finanzunternehmen dürfen IKT-Dienstleistungen nur auf Basis von Verträgen beziehen, die die Mindestinhalte aus Artikel 30 der DORA-Verordnung abdecken — von Sicherheitsanforderungen über Zugangs- und Prüfrechte bis zu Ausstiegsstrategien bei kritischen Funktionen. Diese Anforderungen reichen Banken und Versicherer an ihre Dienstleister durch, die sie operativ erfüllen müssen, um im Geschäft zu bleiben. Zweitens unmittelbar: IKT-Drittdienstleister, die die ESAs als kritisch für den Finanzsektor einstufen, unterliegen dem europäischen Überwachungsrahmen mit Prüfungen, Empfehlungen und Zwangsgeldern — im November 2025 wurden die ersten 19 Anbieter benannt, darunter die großen Cloud-Plattformen. IT-Dienstleister der Finanzbranche brauchen daher eigene DORA-kompetente Compliance- und Security-Teams.

DORA ist für den Finanzsektor lex specialis: Nach Artikel 4 der NIS2-Richtlinie gehen sektorspezifische EU-Rechtsakte vor, wenn ihre Anforderungen mindestens gleichwertig sind — und die EU-Kommission hat DORA ausdrücklich als solchen Rechtsakt benannt. Finanzunternehmen im DORA-Anwendungsbereich wenden für IKT-Risikomanagement und Vorfallsmeldungen daher DORA an, nicht die NIS2-Pflichten des BSI-Gesetzes. Inhaltlich ist DORA dabei vielfach strenger: detailliertere Vorgaben zum Risikomanagementrahmen, ein vollständiges Vertragsregister, verpflichtende Resilienztests bis hin zu TLPT. Komplex wird es in Konzernen, in denen einzelne Gesellschaften nicht unter DORA fallen und dann NIS2-pflichtig sein können, sowie bei IT-Dienstleistern, die beide Regime gleichzeitig berühren. Die genaue Abgrenzung im Einzelfall gehört in die Rechtsberatung.

Die fünf Säulen von DORA lassen sich auf konkrete Funktionen abbilden: ein CISO oder IKT-Risikoverantwortlicher, der den Risikomanagementrahmen steuert und an das Leitungsorgan berichtet; GRC- beziehungsweise DORA-Officer für Richtlinien, Kontrolltests und die Aufsichtskommunikation; Third-Party-Risk-Manager für Informationsregister, Vertragsanforderungen und Cloud-Exit-Strategien; SOC-Analysten und Incident-Responder für Detektion, Klassifizierung und fristgerechte Meldung von Vorfällen; sowie TLPT-fähige Penetration Tester oder die Steuerung externer Red-Team-Anbieter. Je nach Institutsgröße werden Rollen kombiniert oder teilweise ausgelagert — die Verantwortung bleibt nach DORA jedoch beim Finanzunternehmen selbst. NOBA Experts besetzt diese Security- und Risk-Profile in Festanstellung und kennt Gehaltsbänder und Verfügbarkeiten im deutschen Finanzsektor.

// quellen

Quellen

  1. 01Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor (DORA), ABl. L 333 vom 27.12.2022
  2. 02Delegierte Verordnung (EU) 2025/1190 der Kommission (RTS zu threat-led penetration testing nach Art. 26 DORA), ABl. L vom 18.6.2025
  3. 03BaFin: DORA — Digital Operational Resilience Act, Aufsichts-Überblick (abgerufen Juni 2026)
  4. 04BaFin: Überwachungsrahmen für kritische IKT-Drittdienstleister (abgerufen Juni 2026)
  5. 05BDO: DORA — ESAs benennen 19 kritische IKT-Drittdienstleister (zur ESA-Veröffentlichung vom 18.11.2025, abgerufen Juni 2026)
  6. 06Richtlinie (EU) 2022/2555 (NIS-2-Richtlinie), Art. 4 — Verhältnis zu sektorspezifischen Rechtsakten, ABl. L 333 vom 27.12.2022

// verwandte rollen

Verwandte Rollenprofile

CISO (Chief Information Security Officer)

Was macht ein CISO? Aufgaben, Gehaltsspannen in Deutschland, geforderte Zertifizierungen wie CISSP/CISM und die wichtigsten Interviewfragen im Überblick.

Zum Rollenprofil

GRC-Manager (Governance, Risk & Compliance)

Was macht ein GRC-Manager? Aufgaben rund um ISO 27001, NIS2 und DORA, Gehaltsspannen in Deutschland, geforderte Skills und typische Interviewfragen.

Zum Rollenprofil

Penetration Tester (Ethical Hacker)

Was macht ein Penetration Tester? Aufgaben, OSCP & Co., realistische Gehaltsspannen in Deutschland und fachlich tiefe Interviewfragen für die Besetzung.

Zum Rollenprofil

SOC-Analyst (Security Operations Center)

Was macht ein SOC-Analyst? Aufgaben von Alert-Triage bis Threat Hunting, Gehälter nach Level (L1–L3) in Deutschland, Skills und typische Interviewfragen.

Zum Rollenprofil

// verwandte themen

Verwandte Themen

EU-Regulierung

NIS2-Richtlinie: Pflichten, deutsche Umsetzung und Personalbedarf

NIS2 verpflichtet 18 Sektoren zu Risikomanagement, 24h-Meldungen und Governance. Pflichten, Stand der deutschen Umsetzung und Personalbedarf im Überblick.

Zum Themen-Guide

EU-Regulierung

Cyber Resilience Act (CRA): Pflichten, Fristen und Personalbedarf

Der Cyber Resilience Act verpflichtet Hersteller vernetzter Produkte zu Security by Design, SBOM und Updates. Fristen 2026/2027 und Personalbedarf im Überblick.

Zum Themen-Guide

Die passenden Köpfe für dieses Thema?

NOBA Experts besetzt die Rollen, die DORA: Digitale operationale Resilienz im Finanzsektor — Pflichten, Aufsicht und Personalbedarf im Unternehmen tragen — mit KI-gestütztem Matching und persönlicher technischer Vorabprüfung, DACH-weit.

Cybersecurity-Personalberatung von NOBA ExpertsAls Kandidat:in bewerben