Der Digital Operational Resilience Act (DORA) ist seit dem 17. Januar 2025 in der gesamten EU unmittelbar anwendbar. Die Verordnung soll die digitale Betriebsstabilität des Finanzsektors stärken – also die Fähigkeit, IT-Störungen, Cyberangriffe und Ausfälle zu überstehen, ohne dass der Geschäftsbetrieb zusammenbricht. Viele Geschäftsführerinnen und Geschäftsführer kleiner und mittlerer Unternehmen fragen sich zu Recht: Betrifft mich das überhaupt – und wenn ja, was muss ich konkret tun? Dieser Leitfaden gibt Ihnen eine praxisnahe Orientierung. Er ersetzt keine Rechtsberatung, sondern hilft Ihnen, die richtigen Fragen zu stellen und die ersten Schritte einzuordnen.
Wer von DORA betroffen ist
DORA richtet sich an den Finanzsektor – aber der Begriff ist weiter gefasst, als viele denken. Zu den Finanzunternehmen im Sinne der Verordnung zählen unter anderem:
- Banken und Kreditinstitute
- Zahlungsdienstleister und E-Geld-Institute
- Versicherungen und Versicherungsvermittler
- Wertpapierfirmen und Vermögensverwalter
- Anbieter von Krypto-Dienstleistungen
Auch viele kleinere Akteure fallen darunter: Ein mittelständischer Versicherungsmakler oder ein FinTech mit wenigen Mitarbeitenden kann ebenso betroffen sein wie eine Großbank. Die Verordnung kennt zwar Proportionalitätsregeln, befreit kleine Unternehmen aber nicht grundsätzlich.
Ebenso wichtig: Wenn Sie als IT-Dienstleister oder Software-Anbieter kritische Dienste für Finanzunternehmen erbringen, geraten Sie indirekt in den Anwendungsbereich – über die Anforderungen an das Drittparteienrisiko Ihrer Kunden.
Die vier Säulen von DORA
DORA lässt sich in vier zentrale Themenbereiche gliedern. Die folgende Tabelle gibt Ihnen einen schnellen Überblick:
| Säule | Worum es geht | Typische Maßnahme |
|---|---|---|
| IKT-Risikomanagement | Steuerung aller IT- und Kommunikationsrisiken | Risikoinventar, Notfallpläne, klare Verantwortlichkeiten |
| Vorfallmeldung | Erkennen, Klassifizieren und Melden schwerwiegender Vorfälle | Meldeprozess an die Aufsicht, Eskalationswege |
| Resilienztests | Regelmäßige Tests der Widerstandsfähigkeit | Schwachstellenanalysen, ggf. bedrohungsorientierte Tests |
| Drittparteienrisiko | Kontrolle ausgelagerter IT-Leistungen | Vertragsklauseln, Anbieterregister, Ausstiegsstrategien |
IKT-Risikomanagement
Das Herzstück von DORA ist ein dokumentiertes Risikomanagement. Sie müssen wissen, welche IT-Systeme für Ihren Geschäftsbetrieb kritisch sind, welche Risiken bestehen und wie Sie im Ernstfall reagieren. Die Geschäftsleitung trägt die Verantwortung – DORA macht IT-Resilienz ausdrücklich zur Chefsache.
Meldung von IKT-Vorfällen
Schwerwiegende Vorfälle müssen klassifiziert und innerhalb enger Fristen an die zuständige Aufsichtsbehörde gemeldet werden. Dafür brauchen Sie definierte Prozesse, die im Alltag funktionieren – nicht erst, wenn die Systeme bereits stehen.
Testen der digitalen Resilienz
Regelmäßige Tests decken Schwachstellen auf, bevor es ein Angreifer tut. Für die meisten KMU reichen verhältnismäßige Verfahren wie Schwachstellenscans und Penetrationstests; nur große, systemrelevante Institute müssen aufwendige bedrohungsorientierte Tests durchführen.
Drittparteienrisiko
Wer IT-Leistungen auslagert – etwa Hosting, Cloud oder Managed Services – bleibt für die Risiken verantwortlich. DORA verlangt belastbare Verträge, ein Register aller Auslagerungen und realistische Ausstiegsszenarien.
In fünf Schritten zur DORA-Konformität
- Betroffenheit klären: Prüfen Sie, ob und in welchem Umfang DORA für Sie gilt.
- Ist-Stand aufnehmen: Erfassen Sie kritische Systeme, Dienstleister und bestehende Schutzmaßnahmen.
- Lücken schließen: Etablieren Sie Risikomanagement, Meldeprozesse und Vertragsanpassungen.
- Testen und dokumentieren: Führen Sie Resilienztests durch und halten Sie alles nachvollziehbar fest.
- Kontinuierlich verbessern: Verankern Sie DORA als laufenden Prozess, nicht als einmaliges Projekt.
Gerade Schritt 3 und 4 sind für KMU ohne eigene IT-Abteilung der Knackpunkt. Hier hilft ein erfahrener Partner, der Anforderungen pragmatisch übersetzt, statt Sie mit Bürokratie zu überfrachten. Wie eine solche Umsetzung konkret aussehen kann, zeigen wir Ihnen im Detail auf unserer Seite zur DORA-konformen IT für den Mittelstand.
Häufige Stolpersteine
Aus der Praxis lassen sich einige typische Fehler benennen:
- Unterschätzte Betroffenheit: „Wir sind doch nur ein kleiner Makler" – die Proportionalität reduziert den Aufwand, hebt die Pflicht aber nicht auf.
- Lückenhafte Verträge: Bestehende Dienstleisterverträge erfüllen die DORA-Anforderungen oft nicht und müssen nachverhandelt werden.
- Papierlage statt gelebter Prozess: Ein Notfallplan in der Schublade hilft im Ernstfall niemandem.
Eng verwandt ist übrigens die NIS-2-Richtlinie, die für viele andere Branchen ähnliche Sicherheitsanforderungen stellt – mehr dazu in unserem Beitrag NIS-2 für KMU.
Verschaffen Sie sich Klarheit
DORA wirkt auf den ersten Blick komplex, lässt sich für KMU aber strukturiert und mit Augenmaß umsetzen. Der erste Schritt ist immer eine ehrliche Standortbestimmung. Nutzen Sie dafür unseren kostenlosen Compliance-Checker, der Ihnen eine erste Einschätzung Ihres Handlungsbedarfs gibt. Auf dieser Basis lässt sich der weitere Weg gezielt planen – etwa gemeinsam im Rahmen einer DORA-konformen IT-Umsetzung mit einem festen persönlichen Ansprechpartner.
Dieser Beitrag dient der allgemeinen Orientierung und stellt keine Rechtsberatung dar. Für eine verbindliche Bewertung Ihrer individuellen Pflichten konsultieren Sie bitte fachkundigen Rechtsrat.