Compliance

Der Digital Operational Resilience Act (DORA)

Michael Mrak

19 Aug. 2025 — 2 min read

Mit dem Digital Operational Resilience Act (DORA) hat die Europäische Union ein neues rechtliches Rahmenwerk geschaffen, das die digitale Widerstandsfähigkeit des Finanzsektors deutlich erhöhen soll. Der Fokus von DORA liegt auf dem Ausbau der Fähigkeit von Unternehmen, Cyberangriffe, IT-Ausfälle und andere operationelle Risiken zu erkennen, abzuwehren und nachhaltig zu bewältigen.

Wen betrifft DORA?

DORA gilt für eine große Anzahl von Unternehmen, die im Finanzsektor tätig sind oder diesen unterstützen. Dazu gehören beispielsweise aber nicht abschließend:

Kreditinstitute (Banken, Bausparkassen)
Versicherungs- und Rückversicherungsunternehmen
Wertpapierfirmen und Handelsplätze
Zahlungs- und E-Geld-Institute
Kryptodienstleister
Ratingagenturen
Cloud-Service-Provider, die kritische Dienste für Finanzunternehmen erbringen

Damit sind anders als vielerorts angenommen nicht nur klassische Finanzdienstleister betroffen, sondern auch IT-Dienstleister und Outsourcing-Partner von Finanzdienstleistern, die für den Betrieb von kritischen Prozessen ihrer Kunden notwendig sind.

Was sind die Anforderungen von DORA

ICT-Risikomanagement: Ein strukturiertes Management von Risiken ist gefordert, die aus IT-Systemen, Netzwerken und Drittdienstleistern entstehen.
Governance und Risiko-Management: Die Unternehmensführung muss die Verantwortung für das ICT-Risikomanagement tragen.
Incident Reporting: Es bestehen Meldepflichten für schwerwiegende IT-Sicherheitsvorfälle (ähnlich NIS2 und DSGVO)
Digital Operational Resilience Testing: Verpflichtende regelmäßige Tests zur Überprüfung der Resilienz sind obligatorisch.
Third-Party Risk Management: Sorgfaltspflichten und Risikomanagement sowie vertragliche Anforderungen bei der Auslagerung von IT-Diensten.

Synergien mit ISO/IEC 27001

Unternehmen, die bereits ein Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27001 etabliert haben, sind klar im Vorteil. Viele Anforderungen von DORA überschneiden sich mit den Steuerungsmechanismen der ISO 27001, insbesondere bei Risikomanagement, Incident Handling und Lieferantensteuerung.

Ein ISO-27001-basiertes ISMS liefert somit eine perfekte Grundlage für die Umsetzung der regulatorischen Anforderungen und ermöglicht es, DORA-konforme Prozesse effizienter zu implementieren.

DORA vs. ISO/IEC 27001:2022 auf einen Blick

DORA wird für Finanzunternehmen und ihre IT-Dienstleister massive Auswirkungen haben. Organisationen, die bereits ein etabliertes ISMS nach ISO 27001 betreiben, können viele Anforderungen einfacher erfüllen. Dennoch bleibt ein erheblicher Zusatzaufwand, insbesondere bei regulatorischen Meldepflichten, Resilienztests und Drittanbietersteuerung.

Frühzeitiges Handeln ist entscheidend, um Compliance sicherzustellen und operative Risiken zu reduzieren.

NISG 2026: Cybersicherheit wird zur Chefsache

Mit dem NISG 2026 (Bundesgesetz, mit dem das Bundesgesetz zur Gewährleistung eines hohen Cybersicherheitsniveaus von Netz- und Informationssystemen (Netz- und Informationssystemsicherheitsgesetz 2026 – NISG 2026) erlassen wird und das Telekommunikationsgesetz 2021 und das Gesundheitstelematikgesetz 2012 geändert werden) setzt nun auch Österreich mit mehr als einjähriger Verspätung die EU-NIS-2-Richtlinie um und definiert

Peter Hochegger im Espresso Talk

Wie Korruption funktioniert Peter Hochegger ist seit Jahrzehnten ein Name, der im österreichischen politischen und wirtschaftlichen Kontext aufhorchen lässt. Zwischen 2000 und 2006 sollen über 40 Millionen Euro an Honoraren und Provisionen über ihn geflossen sein, überwiegend aus staatsnahen Unternehmen wie Telekom Austria und ÖBB. Nutznießer waren politische Entscheidungsträger und

Omnibus Gesetzesentwurf zu KI

Vereinfachung oder Risiko für Grundrechte? Die EU-Kommission will mit dem „Digital Omnibus für Künstliche Intelligenz“ die Umsetzung des bereits in Kraft getretenen AI Acts vereinfachen. Weniger Bürokratie und mehr Innovation, so lautet das offizielle Ziel. Doch bei genauer Betrachtung droht der Entwurf, den Schutz der Bürger:innen und ihrer Grundrechte

Omnibus Gesetzesentwurf zu Data-Act und DSGVO

Vereinfachung oder schleichende Aushöhlung des Datenschutzes? Die EU-Kommission verspricht mit ihrem „Digital Omnibus“ ein einfacheres, effizienteres Regelwerk für Europas digitale Gesetze. Tatsächlich sollen zahlreiche Verordnungen, darunter der Data Act, die DSGVO, die ePrivacy-Richtlinie und Teile des Data Governance Acts, zusammengeführt und vereinfacht werden. Doch was nach Entbürokratisierung klingt, bedeutet in