Meldepflichten & Eingriffsrechte: DORA und der Staat

Letzte Aktualisierung – May 19, 2025
Meldepflichten & Eingriffsrechte: DORA und der Staat
Home / Blog / Dora reporting obligations

Meldepflichten & Eingriffsrechte: DORA und der Staat

Mit der Verordnung (EU) 2022/2554 – kurz DORA (Digital Operational Resilience Act) – wird der rechtliche Rahmen für die digitale Resilienz im Finanzsektor grundlegend neu gestaltet. Die Regelungen betreffen nicht nur klassische Banken oder Versicherer, sondern auch FinTechs, Zahlungsdienstleister und zunehmend kritische IT-Drittanbieter. In einer digitalisierten Finanzwelt, die von Plattform-Ökonomie und Cloud-Services durchzogen ist, greift DORA tief in die organisatorischen und technischen Strukturen vieler Unternehmen ein.

Ziel dieses Beitrags ist es, die zentralen Pflichten und Eingriffsmöglichkeiten verständlich und dennoch präzise aufzubereiten. Aus der Praxisperspektive eines langjährigen IT-Einkäufers ergeben sich dabei nicht nur technische und juristische Fragen, sondern auch ökonomische, strategische und gesellschaftliche.

Einordnung: Warum DORA?

Die zunehmende Abhängigkeit des Finanzsektors von digitalen Infrastrukturen und globalen Dienstleistern führt zu neuen Risiken: Cyberangriffe, IT-Ausfälle, gestörte Lieferketten. Die EU antwortet mit einer Regulierung, die erstmals sektorspezifisch und verbindlich digitale Resilienz adressiert. DORA ist Teil des Digital Finance Package der EU-Kommission und ergänzt u. a. die NIS2-Richtlinie und bestehende Aufsichtsvorgaben.

Anders als z. B. ITIL oder ISO 27001 ist DORA kein freiwilliger Rahmen, sondern eine rechtsverbindliche Verordnung. Sie ist direkt anwendbar in allen EU-Mitgliedsstaaten und sieht bei Verstößen Sanktionen von bis zu 10 Mio. € oder 2 % des weltweiten Umsatzes vor – je nachdem, welcher Betrag höher ist (vgl. Art. 50 DORA).

Wer ist betroffen?

Die DORA-Verordnung gilt für:

  • Kreditinstitute und Zahlungsdienstleister

  • Versicherungs- und Rückversicherungsunternehmen

  • Wertpapierfirmen, Handelsplätze, CCPs, CSDs

  • Kapitalverwaltungsgesellschaften (OGAW, AIFM)

  • Anbieter kritischer IKT-Dienste (z. B. Cloud, SaaS, Infrastruktur)

Bemerkenswert ist: Auch Dienstleister ohne Sitz in der EU können von DORA betroffen sein, wenn sie maßgebliche Leistungen für EU-Finanzunternehmen erbringen. Das Prinzip der Extraterritorialität macht DORA damit zu einem Regelwerk mit globalem Wirkungsanspruch – ähnlich wie die DSGVO.

Kritische IKT-Drittanbieter unterliegen einer eigenen Überwachung durch die europäischen Aufsichtsbehörden EBA, ESMA und EIOPA. Die Einstufung erfolgt durch das sogenannte Joint Oversight Forum, das auch Empfehlungen für nationale Behörden abgibt.

Meldepflichten: Wer, wann, wie?

Eines der Herzstücke von DORA ist die Verpflichtung zur Meldung schwerwiegender IKT-Vorfälle.

Definition eines „schwerwiegenden Vorfalls“

Ein Vorfall ist meldepflichtig, wenn er:

  • den Geschäftsbetrieb erheblich beeinträchtigt,

  • personenbezogene oder geschützte Daten gefährdet,

  • grenzüberschreitend wirkt oder

  • auf eine böswillige externe Bedrohung hinweist (z. B. DDoS-Attacke, Ransomware).

Die Einstufung erfolgt anhand von Kriterien wie:

  • Dauer und Ausmaß des Vorfalls

  • Anzahl betroffener Kunden

  • wirtschaftlicher Schaden

  • Ausfallzeit und Wiederherstellungsaufwand

Kritische Rückfrage: Wie konkret sind diese Begriffe für den Alltag?

Begriffe wie „erheblich“, „relevant“ oder „systemrelevant“ sind juristisch nicht eindeutig – dies birgt Auslegungsspielräume. Derzeit erarbeiten die ESAs technische Regulierungsstandards (RTS), die Schwellenwerte und Meldeformate definieren sollen.

Meldefristen laut DORA

  • Erstmeldung: innerhalb von 4 Stunden nach Feststellung

  • Zwischenbericht: innerhalb von 3 Tagen

  • Abschlussbericht: innerhalb eines Monats

Dies verlangt nicht nur organisatorische Klarheit (z. B. Zuständigkeiten, Eskalationsmatrix), sondern auch technische Fähigkeiten zur schnellen Erkennung und Klassifikation.

Vergleich: DORA vs. NIS2 vs. KRITIS

Viele Unternehmen sehen sich mit einer regulatorischen Mehrfachbelastung konfrontiert:

Merkmal DORA (Finanzsektor) NIS2 / KRITIS (querschnittlich)
Geltungsbereich Finanzsektor + kritische IKT Energie, Gesundheit, Wasser etc.
Aufsicht EBA, ESMA, EIOPA + national BSI + Landesbehörden
Meldefrist 4h / 3d / 1 Monat 24h / 72h
Sanktionen bis 2 % vom Umsatz bis 10 Mio. EUR
Umsetzung direkt anwendbar (Verordnung) nationale Umsetzung erforderlich

Info

Unternehmen, die sowohl Finanzdienstleistungen erbringen als auch unter NIS2 oder das IT-Sicherheitsgesetz fallen, müssen alle Regelwerke parallel erfüllen.

Auswirkungen auf IT-Dienstleister

Ein bislang oft unterschätzter Aspekt von DORA: Auch Unternehmen, die nicht selbst reguliert sind, können mittelbar betroffen sein – insbesondere Cloud-Anbieter, Softwarehäuser, Outsourcing-Dienstleister und Plattformbetreiber.

Wird ein IT-Dienstleister von den ESAs als kritisch eingestuft, muss er:

  • Prüf-, Einsichts- und Auditrechte einräumen

  • technische Resilienzmaßnahmen umsetzen

  • Exit-Strategien mit dem Finanzkunden vertraglich absichern

  • strukturierte Meldeprozesse mit dem Auftraggeber vereinbaren

Persönliche Anmerkung: In Vertragsverhandlungen mit Cloud- oder SaaS-Anbietern werden diese Anforderungen selten proaktiv angeboten – der Nachverhandlungsaufwand ist erheblich.

Auch die Preisgestaltung muss sich anpassen: Der Compliance-Aufwand ist real, und wer als Lieferant DORA-konforme Leistungen anbieten will, muss dies auch kalkulieren.

Werkzeuge und Umsetzungshilfen

Die folgende Übersicht zeigt gängige Tools und ihre Einsatzbereiche:

Zweck Tools & Anbieter
Vorfallerkennung (SIEM) Microsoft Sentinel, Splunk, QRadar, Elastic
Incident-Tracking Jira Service Management, ServiceNow, Remedy
Business Continuity Fusion Risk, Castellan, MetricStream
GRC & Audit OneTrust, Drata, SAP GRC, LogicGate
Reporting & Analyse Power BI, Qlik, Tableau, Snowflake
CMDB & Dokumentation i-doit, LeanIX, ServiceNow CMDB
Automatisierte Meldung OneTrust IRM, Archer, Vanta

Nicht jede Organisation benötigt alle diese Tools – entscheidend ist die Integrationstiefe und Datenkonsistenz. Besonders wichtig ist die Verzahnung von ITSM, SIEM und Governance-Workflows.

Eingriffsrechte der Behörden

DORA erweitert das Mandat nationaler Aufsichtsbehörden:

  • Prüfungen auch bei Dienstleistern ohne Sitz in der EU

  • Verpflichtung zu Vor-Ort-Audits und Penetrationstests

  • Möglichkeit, Verträge untersagen zu lassen

  • Eingriffsrecht in ausgelagerte IKT-Funktionen

Diese Kompetenzen sind rechtlich abgestützt, werfen jedoch praktische Fragen auf:

  • Wie erfolgt die Durchsetzung bei Nicht-EU-Anbietern?

  • Welche Abstimmungen mit Datenschutzrecht (DSGVO) sind erforderlich?

  • Wo endet „angemessene“ Aufsicht, wo beginnt Überkontrolle?

Ein analytischer Vergleich mit historischen Kontrollmodellen zeigt die Unterschiede:

Maßnahme DORA Zentrale Kontrollsysteme (z. B. DDR)
Zweck Schutz von Resilienz & Markt Machterhalt
Rechtsgrundlage EU-Recht, parlamentarisch Exekutivbefehl
IT-Zugriff Aufsichtsrechtlich geregelt Totalüberwachung
Transparenz RTS, Konsultationen, Reporting intransparent

Governance und Praxisempfehlung

Viele Organisationen müssen ihre Governance-Strukturen überdenken:

  • Zuständigkeiten: Wer ist DORA-Officer? Wer darf melden?

  • Verträge: Enthalten SLAs klare Resilienz- und Auditklauseln?

  • Rollenklärung: Wer verantwortet Vorfallklassifikation, wer Freigabe?

Empfehlungen:

  • Incident Response Policy mit Meldeprozess verankern

  • Technische Schwellenwerte automatisiert prüfen (Trigger)

  • Meldeübung mit Aufsichtsbehörde simulieren

  • Vorfälle intern kategorisieren und dokumentieren (MTTD, MTTR)

Wirtschaftliche Auswirkungen – Beispielrechnung

Ein fiktives Unternehmen (Pfefferminzia AG) wird auf DORA vorbereitet:

Kostenblock Jährliche Schätzung
Infrastruktur (SIEM etc.) 120.000–250.000 €
Software & Lizenzen 80.000–160.000 €
Personalaufwand 150.000–300.000 €
Integration / Schnittstellen 70.000–150.000 €
Meldesimulation & Tests 40.000–90.000 €

Zusätzlich entstehen Opportunitätskosten (Zeit, Projektverzögerungen) und Mehraufwand im Reporting (30–50 % höher als vorheriger Standard).

Fazit: Pflicht, Chance, Realität

DORA ist mehr als eine technische Verordnung – sie ist ein strategisches Regelwerk zur Absicherung der digitalen Finanzwelt. Die Anforderungen sind hoch, aber nicht willkürlich. Sie schaffen auch Vorteile:

  • Stärkere IT-Governance

  • Transparente Prozesse

  • Wettbewerbsvorteile durch Compliance

  • Vertrauen bei Kunden und Partnern

Persönliche Einschätzung: DORA ist ein Weckruf. Nicht nur für Compliance-Abteilungen, sondern für das gesamte Unternehmen. Digitalisierung heißt Verantwortung.

Quellen

Weitere Blog Posts

Weitere Services

IT-Vertragsanalyse & Health Check

Professionelle Vertragsanalyse und strukturierter Health Check für IT-Verträge. Identifikation von Risiken, Einsparpotenzialen und Handlungsempfehlungen zur Vertragsoptimierung.

Entdecken

Lizenzmanagement & Compliance

Softwarelizenzen sind teuer und komplex. Mein Service hilft Ihnen, Ihre Lizenzlandschaft zu analysieren, zu optimieren und für Audits fit zu machen – mit direktem Mehrwert für Budget und Rechtssicherheit.

Entdecken

Software Asset Management (SAM)

Optimieren Sie Ihre Softwarenutzung, reduzieren Sie Compliance-Risiken und senken Sie Kosten durch professionelles Software Asset Management. Ideal für Unternehmen mit komplexen Lizenzlandschaften.

Entdecken

Weitere Projekte

Book hardcover

Book hardcover

Three automated reports are created for Boston EMS to indicate the details about incidents in Boston.

Entdecken