DORA

Also: Digital Operational Resilience Act, EU-Verordnung 2022/2554

EU-Verordnung 2022/2554 für digitale operationale Resilienz im Finanzsektor. Seit 17. Januar 2025 unmittelbar geltend. Fünf Säulen: ICT-Risikomanagement, Vorfallsmanagement, Resilienz-Testing inkl. TLPT, Drittanbieter-Steuerung, Informationsaustausch.

DORA ist eine Verordnung (kein Richtlinien-Akt) und gilt damit unmittelbar in allen EU-Mitgliedstaaten ohne nationale Umsetzung. Sie betrifft rund 20 Kategorien von Finanzunternehmen: Banken, Versicherer, Wertpapierfirmen, Krypto-Asset-Dienstleister, Zahlungsinstitute, AIFM, Ratingagenturen, Crowdfunding-Anbieter und mehr. Plus kritische ICT-Drittanbieter unter direkter EU-Aufsicht.

Art. 28-30 sind das harte Drittanbieter-Regime: Informationsregister aller ICT-Verträge, Eignungsprüfung vor Vertragsschluss, dokumentierte Exit-Strategie, Pflichtklauseln für normale und kritische Funktionen (Audit-Rechte, Sub-Outsourcing-Kontrolle, SLA, Datenresidenz).

TLPT nach Art. 26-27 verpflichtet signifikante Entitäten zu Threat-Led Penetration Tests mindestens alle drei Jahre, methodisch angelehnt an TIBER-EU. Meldefristen bei schwerwiegenden ICT-Vorfällen: 24h Erstmeldung, 72h Zwischenmeldung, 1 Monat Abschlussbericht.

DORA

Related terms