Was ist DORA?

Der Digital Operational Resilience Act (DORA, Verordnung EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für den gesamten Finanzsektor gilt. Das Ziel: Finanzunternehmen müssen ihre digitale Widerstandsfähigkeit systematisch sicherstellen - nicht nur auf dem Papier, sondern operativ nachweisbar.

Wen betrifft DORA? #

DORA gilt für 21 Kategorien von Finanzunternehmen (Art. 2 Abs. 1), darunter:

• Banken und Zahlungsdienstleister
• Wertpapierfirmen und Handelsplätze
• Versicherungen und Rückversicherer
• Fondsverwalter und Verwaltungsgesellschaften
• Krypto-Dienstleister und Ratingagenturen
• Betriebliche Altersvorsorgeeinrichtungen

Zusätzlich betroffen: IKT-Drittdienstleister -also alle IT-, Cloud- und Software-Zulieferer, die für Finanzunternehmen arbeiten.

Was fordert DORA konkret? #

DORA verlangt ein umfassendes IKT-Risikomanagement. Für Open-Source-Komponenten sind besonders relevant:

• Letztverantwortung des Leitungsorgans für das IKT-Risikomanagement (Art. 5 Abs. 2a)
• Inventarisierung aller IKT-Assets einschließlich Abhängigkeiten (Art. 8 Abs. 4-6)
• Schwachstellenerkennung und -behebung mit dokumentierten Prozessen (Art. 10, Art. 13)
• Open-Source-Analysen ausdrücklich als Pflichttest aufgeführt (Art. 25 Abs. 1)
• Quellcodeprüfungen, soweit durchführbar (Art. 25 Abs. 1)
• Strategie für IKT-Drittparteienrisiko, regelmäßig vom Leitungsorgan überprüft (Art. 28 Abs. 2)
• Jährliche Tests aller kritischen Systeme (Art. 24 Abs. 6)

Bei schwerwiegenden Vorfällen gilt eine Erstmeldepflicht von 4 Stunden (Art. 19 Abs. 4a).

Was droht bei Verstößen? #

• Zwangsgelder für kritische IKT-Drittdienstleister: 1 % des weltweiten Tagesumsatzes, täglich, bis zu 6 Monate (Art. 35 Abs. 8)
• Persönliche Haftung der Geschäftsleitung: Das Leitungsorgan trägt die letztendliche Verantwortung (Art. 5 Abs. 2a) und kann persönlich sanktioniert werden (Art. 50 Abs. 5)
• Fortbildungspflicht: Das Leitungsorgan muss Kenntnisse aktiv auf dem neuesten Stand halten (Art. 5 Abs. 4)
• Öffentliche Sichtbarkeit: Alle Sanktionsentscheidungen werden bis zu 5 Jahre auf Behörden-Websites veröffentlicht (Art. 54 Abs. 1-2, Abs. 6)
• D&O-Versicherungen decken Gesetzesverstöße typischerweise nicht ab

Umsetzung in Deutschland #

DORA ist eine EU-Verordnung und gilt direkt in allen Mitgliedstaaten - eine nationale Umsetzung ist nicht erforderlich. In Deutschland ist die BaFin die zuständige Aufsichtsbehörde. DORA ergänzt die bestehende Regulierung durch MaRisk und BAIT und verschärft insbesondere die Anforderungen an das IKT-Risikomanagement und die Überwachung von Drittanbietern. Finanzunternehmen, die bereits unter DORA fallen, sind von den Pflichten des NIS2-Umsetzungsgesetzes ausgenommen (§ 28 Abs. 6 NIS2UmsuCG). In anderen EU-Ländern gelten abweichende Aufsichtsstrukturen.

Was bedeutet das für Sie? #

Wenn Sie ein Finanzunternehmen leiten oder IT-Dienstleistungen für den Finanzsektor erbringen, sind Sie verpflichtet, Ihre gesamte Software-Lieferkette zu kennen, zu überwachen und zu dokumentieren. Open-Source-Komponenten in Ihrer SBOM sind keine Ausnahme - sie sind expliziter Prüfgegenstand. Die Verantwortung dafür lässt sich nicht delegieren: Sie liegt persönlich beim Leitungsorgan.

Wichtig: Zur Lieferkette gehören nicht nur die Komponenten, die in Ihrem fertigen Produkt landen. Auch Entwicklungsabhängigkeiten - Compiler, Build-Tools, Test-Frameworks, CI/CD-Pipelines - fallen unter die Pflichten. Art. 25 Abs. 1 fordert Open-Source-Analysen als Pflichttest, Art. 8 Abs. 4-6 verlangt die Inventarisierung aller IKT-Assets einschließlich Abhängigkeiten. Ein kompromittiertes Build-Tool kann Schadcode in Ihr Endprodukt einschleusen, ohne dass eine einzige Runtime-Abhängigkeit betroffen ist.

Weiterlesen #

• Detaillierte DORA-Anforderungen und wie OTTRIA sie erfüllt
• Persönliche Haftung der Geschäftsleitung
• Praktische Audit-Vorbereitung

Factsheet herunterladen: DORA-Factsheet (PDF)

Sie möchten wissen, wie OTTRIA Ihre DORA-Pflichten im Open-Source-Bereich abdeckt? Vereinbaren Sie ein Erstgespräch.