DORA (Digital Operational Resilience Act)
DORA (Digital Operational Resilience Act, Verordnung (EU) 2022/2554) ist die seit dem 17. Januar 2025 unmittelbar geltende EU-Verordnung zur digitalen operationalen Resilienz von Finanzunternehmen. Sie verpflichtet Banken, Versicherer, Wertpapierfirmen, Zahlungs- und Krypto-Dienstleister zu einem einheitlichen Rahmen für IKT-Risikomanagement, Vorfallmeldung, Resilienztests und die Steuerung von IKT-Drittanbietern.
DORA ruht auf fünf Säulen: (1) IKT-Risikomanagement mit Governance-Verantwortung des Leitungsorgans, (2) Management, Klassifizierung und Meldung IKT-bezogener Vorfälle an die zuständige Behörde, (3) Tests der digitalen operationalen Resilienz inklusive bedrohungsgeleiteter Penetrationstests (TLPT) für signifikante Institute, (4) Management des Risikos durch IKT-Drittanbieter samt verpflichtender Vertragsklauseln und Register, (5) Informationsaustausch über Cyber-Bedrohungen. Beaufsichtigt wird DORA durch die European Supervisory Authorities (EBA, ESMA, EIOPA); kritische IKT-Drittanbieter (etwa große Cloud-Provider) unterliegen einem eigenen Oversight-Framework. Für danad-Kunden im Banken- und Finanzsektor überschneidet sich DORA stark mit NIS2 und ISO 27001 — die Microsoft-Cloud-Umsetzung erfolgt typischerweise über Azure-EU-Datenhaltung, Microsoft Sentinel für Incident-Detection und Microsoft Purview für Nachweisbarkeit.