Steuer- und Rechtsglosssar

DORA (Digital Operational Resilience Act)

DORA (Verordnung EU 2022/2554) ist der EU-Regulierungsrahmen, der Finanzunternehmen verpflichtet, IKT-Risiken zu verwalten und zu minimieren, operative Widerstandsfähigkeit gegen digitale Störungen zu gewährleisten und vertragliche Standards für ihre Technologiedienstleister einzuführen. Sie wurde ab dem 17. Januar 2025 in allen EU-Mitgliedstaaten einschließlich Spanien unmittelbar anwendbar.

digital

Was ist DORA?

Der Digital Operational Resilience Act (DORA — Verordnung EU 2022/2554) ist eine EU-Verordnung, die in allen Mitgliedstaaten unmittelbar gilt — keine nationale Umsetzung erforderlich. Sie wurde mit Wirkung vom 17. Januar 2025 anwendbar und ist eine der bedeutendsten Finanzmarktgesetzgebungen der letzten Jahre. DORA ist Teil des umfassenderen EU-Digital-Finance-Pakets und ergänzt andere Verpflichtungen wie DSGVO und NIS2.

Die fünf Säulen von DORA

1. IKT-Risikomanagement

Finanzunternehmen müssen einen umfassenden IKT-Risikomanagementrahmen aufrechterhalten, der umfasst: Identifizierung und Klassifizierung von IKT-Assets und Risiken, Schutzmaßnahmen und Präventionskontrollen, Erkennungs- und Reaktionsfähigkeiten für Anomalien sowie Wiederherstellungs- und Lernprozesse.

2. Meldung wesentlicher IKT-Vorfälle

Finanzunternehmen müssen wesentliche IKT-Vorfälle an ihre zuständige Behörde melden: innerhalb von 4 Geschäftsstunden (erste Meldung), 72 Stunden (Zwischenbericht) und einem Monat (abschließender Bericht).

3. Testen der digitalen operativen Widerstandsfähigkeit

Regelmäßige Tests sind obligatorisch: grundlegende jährliche Tests für alle Unternehmen sowie fortgeschrittene Bedrohungsbasierte Penetrationstests (TLPT) alle drei Jahre für bedeutende Unternehmen.

4. Risikomanagement von IKT-Drittanbietern

Finanzunternehmen müssen alle IKT-Dienstleister in einem detaillierten Register erfassen, Risikoklassifizierungen vornehmen und verpflichtende Vertragsklauseln aufnehmen.

5. Informationsaustausch

Freiwilliger Informationsaustausch über Cyber-Bedrohungen und Schwachstellen zwischen Finanzunternehmen wird gefördert.

Auswirkungen auf Technologiedienstleister

Wenn ein Finanzunternehmen Sie als IKT-Drittanbieter einsetzt, müssen Ihre Verträge enthalten: Servicelevel-Vereinbarungen, Prüfungsrechte des Finanzunternehmens, Einschränkungen beim Unteroutsourcing, Regelungen zur Betriebskontinuität und Exit-Strategien.

Kritische Drittanbieter

Die Europäischen Aufsichtsbehörden (ESAs) können große Cloud-, Software- und Datenanbieter als kritische IKT-Drittanbieter einstufen, was diese direkter EU-Aufsicht und strengeren Anforderungen unterwirft.

Wie BMC helfen kann

Wir unterstützen Finanzunternehmen und ihre IKT-Anbieter bei der DORA-Compliance: Lückenanalyse, Überarbeitung von Lieferantenverträgen, Einrichtung von Risikomanagementrahmen und Unterstützung bei Meldeverfahren.

Zurück zum Glossar

bm.consulting

¿Necesitas aplicar esto a tu caso concreto?

La teoría está clara. El paso a seguir también puede estarlo. Hablemos.

Kostenlose Beratung Alle Dienste ansehen
AEAT Colaborador Social 4.9/5 bei Google · 47 Bewertungen 30+ Nationalitäten betreut
E-Mail
Kontakt

Häufig gestellte Fragen

Wann wurde DORA in Spanien anwendbar und wer setzt sie durch?
DORA (Verordnung EU 2022/2554) wurde ab dem 17. Januar 2025 in allen EU-Mitgliedstaaten einschließlich Spanien unmittelbar anwendbar. Keine nationale Umsetzung war erforderlich. In Spanien erfolgt die Durchsetzung durch die Banco de España für Banken, die CNMV für Investmentfirmen und die DGSFP für Versicherer.
Welche spanischen Finanzunternehmen müssen DORA einhalten?
DORA erfasst eine breite Palette von Finanzunternehmen: Kreditinstitute, Zahlungs- und E-Geld-Institute, Investmentfirmen, Fondsmanager (OGAW, AIFM), Versicherungs- und Rückversicherungsunternehmen, Krypto-Asset-Dienstleister nach MiCA, zentrale Gegenparteien und kritische IKT-Drittanbieter. Kleinstunternehmen profitieren in bestimmten Bereichen von vereinfachten Regimen.
Was sind die DORA-Vorfallsmeldungsfristen für spanische Finanzunternehmen?
DORA schreibt eine dreistufige Meldepflicht für wesentliche IKT-Vorfälle vor: eine erste Meldung innerhalb von 4 Geschäftsstunden nach Einstufung des Vorfalls als wesentlich, einen Zwischenbericht innerhalb von 72 Stunden und einen abschließenden Bericht innerhalb eines Monats.
Wie beeinflusst DORA Verträge mit Technologieanbietern in Spanien?
Der Drittanbieter-Risikomanagement-Pfeiler von DORA verlangt, dass Finanzunternehmen verpflichtende Vertragsklauseln in alle IKT-Dienstleistungsverträge aufnehmen, die Servicelevel, Prüfungsrechte, Unteroutsourcing-Bedingungen, Business-Continuity-Vereinbarungen, Datenspeicherort und Exit-Strategien abdecken.
Wie verhält sich DORA zu NIS2 für spanische Finanzunternehmen?
Viele spanische Finanzunternehmen fallen in den Geltungsbereich sowohl von DORA als auch von NIS2. DORA hat als lex specialis für IKT-Risikomanagement und Vorfallsmeldepflichten im Finanzsektor Vorrang. NIS2 gilt weiterhin für allgemeine Cybersicherheits-Governance-Aspekte, die nicht von DORA abgedeckt werden.

Verwandte Branchen

Technologie & Startups Finanzdienstleistungen

Verwandte Artikel

Apr. 2026

Gesundheitssektor: Datenschutz und KI 2025

Dez. 2024

Logistiksektor: Lieferkette und Compliance 2024

Juli 2025

37,5-Stunden-Woche: Praktische Auswirkungen

März 2026

KI-Gesetz: Pflichten für Hochrisikosysteme