Publiziert: Zuletzt aktualisiert:

DORA: operative IKT-Resilienz im Finanzsektor

Der Digital Operational Resilience Act, die Verordnung (EU) 2022/2554, ist der EU-Rechtsrahmen für die digitale operative Resilienz des Finanzsektors. Er verlangt, dass Finanzunternehmen Störungen ihrer Informations- und Kommunikationstechnik (IKT) verkraften, darauf reagieren und sich davon erholen können. DORA ist am 16. Januar 2023 in Kraft getreten und gilt seit dem 17. Januar 2025 unmittelbar.

Eine Vorbemerkung zur Abgrenzung: Im Sprachgebrauch der Software-Lieferung steht das Kürzel DORA für die DORA-Metriken der DevOps-Research-and-Assessment-Forschung. Diese Seite behandelt etwas anderes, nämlich die gleichnamige EU-Finanzmarktverordnung. Beide teilen nur den Namen, nicht den Gegenstand.

DORA setzt an einer konkreten Abhängigkeit an: Banken, Versicherer, Wertpapierfirmen und weitere Finanzunternehmen hängen für ihren Betrieb an IKT-Systemen und an einer überschaubaren Zahl von Technologieanbietern. Fällt ein zentraler Dienst aus, etwa durch einen Cyberangriff oder einen Anbieterausfall, kann das die Erbringung von Finanzdienstleistungen stören und auf andere Sektoren ausstrahlen. Diese Seite referiert, was die Verordnung regelt, wie sie aufgebaut ist und warum sie auch für Schweizer Akteure relevant sein kann.

Geltungsbereich: wer betroffen ist

DORA adressiert nicht Unternehmen pauschal, sondern eine breite Liste von Finanzunternehmen. Die Europäischen Aufsichtsbehörden (ESAs) zählen rund 21 Arten betroffener Einrichtungen, von Kreditinstituten und Zahlungsdienstleistern über Wertpapierfirmen, Versicherungs- und Rückversicherungsunternehmen bis zu Handelsplätzen, Krypto-Dienstleistern und Anbietern von Schwarmfinanzierung. Quer dazu erfasst die Verordnung kritische IKT-Drittdienstleister, also etwa grosse Cloud-Anbieter, deren Ausfall systemische Wirkung hätte.

Massgeblich ist also die Funktion im Finanzsystem, nicht die Branchenbezeichnung. Der Grundsatz der Verhältnismässigkeit zieht sich durch die Verordnung: Der Umfang der konkreten Anforderungen hängt von der Grösse, dem Risikoprofil und der Komplexität des Unternehmens ab. Daneben sieht die Verordnung für bestimmte, genau definierte Arten von Einrichtungen einen vereinfachten IKT-Risikomanagement-Rahmen oder Ausnahmen vor; ein vereinfachter Rahmen gilt also nicht automatisch für jedes kleine oder Kleinstunternehmen.

Die fünf Säulen

DORA ordnet die operative Resilienz in fünf Pflichtenfelder. Sie greifen gemeinsam, nicht alternativ:

  • IKT-Risikomanagement. Das Leitungsorgan trägt die Verantwortung für einen Rahmen, der IKT-Risiken identifiziert, schützt, erkennt, eindämmt und wiederherstellt. Dazu gehören Strategien für Geschäftskontinuität und Wiederherstellung. Diese Säule ist die organisatorische Grundlage; sie überschneidet sich inhaltlich mit dem, was die Disaster Recovery und die Incident Response technisch beschreiben.
  • Behandlung und Meldung IKT-bezogener Vorfälle. Finanzunternehmen müssen IKT-Vorfälle erkennen, einstufen und schwerwiegende Vorfälle an die zuständige Behörde melden. Die konkreten Klassifizierungsschwellen und Meldefristen legen nicht die Verordnung selbst, sondern die nachgelagerten technischen Standards (Level 2) fest.
  • Testen der digitalen operativen Resilienz. Vorgesehen ist ein Programm aus regelmässigen Basistests. Für bestimmte, nach Bedeutung ausgewählte Unternehmen kommen zusätzlich erweiterte, bedrohungsgeleitete Penetrationstests (Threat-Led Penetration Testing, TLPT) hinzu, die reale Angriffsszenarien nachstellen.
  • Management des IKT-Drittparteien-Risikos. Auslagerungen an IKT-Anbieter unterliegen vertraglichen Mindestanforderungen. Finanzunternehmen führen ein Informationsregister über ihre vertraglichen Vereinbarungen mit IKT-Drittdienstleistern.
  • Informationsaustausch. Die Verordnung ermöglicht es Finanzunternehmen, untereinander Erkenntnisse über Cyberbedrohungen auszutauschen, freiwillig und in vertrauenswürdigen Gemeinschaften.

Quer zu den fünf Säulen steht die Aufsicht über kritische IKT-Drittdienstleister: Die drei ESAs (EBA, ESMA, EIOPA) übernehmen als gemeinsamer Lead Overseer eine europaweite Aufsicht über jene Anbieter, die als kritisch eingestuft werden.

Wie die Säulen ineinandergreifen

Die fünf Säulen sind keine getrennten Projekte, sondern Beiträge zu einem Ergebnis: einem Finanzunternehmen, das einen IKT-Vorfall verkraftet und den Betrieb aufrechterhält. Das Risikomanagement bildet den Unterbau, die übrigen Säulen setzen darauf auf:

mindmap
  root((DORA))
    IKT Risikomanagement
      Verantwortung des Leitungsorgans
      Kontrollen
    Vorfälle
      Erkennen
      Einstufen
      Melden
    Resilienztests
      Basistests
      TLPT
    Drittparteien
      Verträge
      Informationsregister
      ESA Aufsicht
    Informationsaustausch
      Bedrohungen teilen

Das Diagramm zeigt die Logik: Das IKT-Risikomanagement trägt die übrigen Säulen, alle zahlen auf die operative Resilienz ein, und das Drittparteien-Risiko verbindet sich zusätzlich mit der europaweiten Aufsicht über kritische Anbieter. Es ist eine Lesehilfe, kein Ersatz für die Prüfung am Verordnungstext.

Aufbau der Verordnung

DORA ist ein zweistufiges Regelwerk. Die Verordnung selbst formuliert die Grundsätze; die Detailtiefe steckt in den nachgelagerten technischen Standards (technische Regulierungs- und Durchführungsstandards, RTS und ITS), die von den ESAs ausgearbeitet werden. Genau dort werden die operativ entscheidenden Grössen festgelegt, etwa das Format des Informationsregisters, der Meldeprozess für schwerwiegende IKT-Vorfälle und die Methodik für die bedrohungsgeleiteten Tests. Wer DORA umsetzt, arbeitet deshalb nicht nur am Verordnungstext, sondern an diesem Geflecht aus Standards. Diese Seite nennt bewusst keine Einzelfristen oder Schwellenwerte aus den Standards, weil diese der laufenden Konkretisierung unterliegen und am Primärtext zu prüfen sind.

Berührungspunkte mit anderen Regelwerken

DORA steht nicht allein. Für die organisatorische Absicherung der Informationssicherheit liefert ISO 27001 einen etablierten Management-Rahmen, an dem sich viele der IKT-Risikomanagement-Anforderungen spiegeln lassen. Die übergreifende Cybersicherheitsrichtlinie NIS2 verfolgt ein ähnliches Resilienzziel für ein breiteres Spektrum kritischer und wichtiger Einrichtungen; für den Finanzsektor gilt DORA als spezifischeres Regime (lex specialis) und geht insoweit vor. Verarbeitet ein betroffenes System Personendaten, greifen Datenschutzregeln unabhängig davon, in der Schweiz das revidierte Datenschutzgesetz (revDSG). Die methodische und technische Sicht auf prüfbare Nachweisführung beschreibt die Seite Compliance; die regulatorische Logik einer risikobasierten Einstufung kennt auch der EU AI Act.

Wann die Pflicht eine Organisation erreicht

DORA richtet sich an Finanzunternehmen, doch die Pflicht erreicht eine Organisation auf mehreren Wegen, auch ohne direkten EU-Sitz. Erstens über die Wertschöpfungskette: Ein IKT-Dienstleister, der Finanzunternehmen in der EU beliefert, kann über die vertraglichen Anforderungen seiner Kunden faktisch in den Wirkungsbereich der Drittparteien-Pflichten geraten. Zweitens über Konzernstrukturen: Eine Finanzgruppe mit EU-Tochtergesellschaften trifft DORA dort direkt. Drittens über die nationale Aufsicht: In der Schweiz stellt die Aufsichtspraxis eigene Anforderungen an das operationelle Risikomanagement und die operative Resilienz von Banken, etwa über das FINMA-Rundschreiben 2023/1 zu operationellen Risiken und Resilienz. Diese folgen einem ähnlichen Resilienzgedanken, sind rechtlich aber von DORA zu unterscheiden und im Einzelfall an den einschlägigen FINMA-Rundschreiben und der FINMA-Aufsichtspraxis zu prüfen. Ob und wie DORA einen konkreten Schweizer Akteur erfasst, hängt von der jeweiligen Konstellation ab; diese Seite referiert nur die Mechanik, sie stellt keine Feststellung zu einem bestimmten Unternehmen auf.

Wer die operative Resilienz technisch belegen will, braucht Sichtbarkeit auf den eigenen Betrieb.

Wo die Umsetzung bricht

  • Papier statt Betrieb. Ein dokumentiertes IKT-Risikomanagement, das im Tagesgeschäft niemand lebt, erfüllt die Form, nicht den Zweck. Resilienz zeigt sich erst im getesteten Ernstfall.
  • Drittparteien unsichtbar. Wer das Informationsregister nicht vollständig pflegt, übersieht genau die Abhängigkeiten, deren Risiko die Verordnung steuern will. Eingebettete Subdienstleister fallen leicht durch das Raster.
  • Tests als Pflichtübung. Resilienztests, die bekannte Szenarien nachstellen und keine Konsequenz haben, trainieren nichts. Der Wert liegt im gefundenen und behobenen Befund.
  • Standards übersehen. Wer nur den Verordnungstext liest und die technischen Standards (RTS und ITS) ausblendet, verpasst die operativ entscheidenden Vorgaben.

Referenzen


Verwandte Themen

  • Incident Response, die strukturierte Bewältigung von IKT-Vorfällen.
  • Disaster Recovery, die Wiederherstellung nach katastrophalen Ausfällen.
  • Compliance, die technische Sicht auf Nachweis und Kontrolle.
  • ISO 27001, der Management-Rahmen für Informationssicherheit.
  • EU AI Act, die parallele risikobasierte EU-Regulierung für KI.
  • nFADP / revDSG, der Schweizer Datenschutz, der unabhängig greift.

KI fragen

Diese Links öffnen externe KI-Dienste, die Unterhaltung und deren Inhalt werden dabei an den jeweiligen Anbieter übertragen.