DORA (Digital Operational Resilience Act)
DORA ist die EU-Verordnung (seit 17. Januar 2025 in Kraft), die Finanzinstitute zu robustem IT-Risikomanagement, Incident-Meldung und strenger Aufsicht über kritische Drittanbieter wie Cloud-Provider verpflichtet.
DORA harmonisiert Regeln zur operativen Resilienz für alle Finanzentitäten in der EU: Banken, Versicherer, Wertpapierfirmen, Krypto-Dienstleister (unter MiCA) und kritische ICT-Anbieter. Fünf Säulen: ICT-Risikomanagement, ICT-Incident-Meldung, Resilience-Testing (inkl. TLPT-Pentests), Third-Party-Risk-Management, Informationsaustausch. Nichteinhaltung: Bußgelder bis zu 2 % des weltweiten Umsatzes. Praktische Folge: detaillierte ICT-Vertragsregister, Exit-Strategien, erhebliche Compliance-Investitionen.
Beispiel
Eine niederländische Challenger-Bank nutzt AWS für die gesamte Produktion. Unter DORA: Vertragsregister, Exit-Plan binnen 12 Monaten, regelmäßiges Joint Testing, signifikante Incidents binnen 4 Stunden an DNB/ESMA melden.
Häufig gestellte Fragen
Gilt DORA auch für Fintech-Startups?
Ja, wenn sie unter einem regulierten Finanzlabel tätig sind (EMI, PI, Krypto-CASP). Proportionalität: Regeln skalieren mit Größe, Grundpflichten gelten für alle.
Was ist TLPT?
Threat-Led Penetration Testing: fortgeschrittene, szenariobasierte Pentests. Pflicht für große Finanzentitäten alle 3 Jahre. Zertifizierte Tester; TIBER-EU-Framework als Basis.
Verwandte Begriffe
Weiterführende Links
- → Unser Service: Bitcoin & Fintech