Recht und Normen
DORA
Was ist DORA?
DORA ist die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor. Sie gilt seit 17. Jänner 2025 und verpflichtet Finanzunternehmen, ihre IT gegen Ausfälle und Angriffe abzusichern. Auch deren IT-Dienstleister sind davon betroffen.
DORA richtet sich an Finanzunternehmen. Dazu zählen unter anderem Banken, Versicherungen, Wertpapierfirmen, Zahlungsdienstleister und Anbieter von Kryptowerte-Dienstleistungen. Als Verordnung gilt DORA unmittelbar in allen Mitgliedstaaten. Die Aufsicht liegt bei den zuständigen Finanzmarktaufsichtsbehörden.
Die Anforderungen betreffen fünf Bereiche. Erstens das Management der IKT-Risiken, wobei IKT für Informations- und Kommunikationstechnologie steht. Zweitens die Behandlung und Meldung schwerwiegender IKT-Vorfälle. Drittens das regelmäßige Testen der digitalen Widerstandsfähigkeit. Viertens den Umgang mit Risiken aus der Zusammenarbeit mit IKT-Drittdienstleistern. Fünftens den Austausch von Informationen über Bedrohungen. DORA folgt dabei dem Grundsatz der Verhältnismäßigkeit. Für Kleinstunternehmen mit weniger als zehn Beschäftigten und einem Jahresumsatz oder einer Jahresbilanzsumme von höchstens zwei Millionen Euro sieht die Verordnung vereinfachte Anforderungen vor.
Für einen KMU-Betrieb außerhalb des Finanzsektors wird DORA über die Lieferkette spürbar. Wer Software, Wartung, Hosting oder Support für ein Finanzunternehmen erbringt, gilt als IKT-Drittdienstleister. Der Kunde muss den Vertrag dann um bestimmte Inhalte ergänzen, etwa um Regelungen zu Zugriffs- und Prüfrechten, zur Meldung von Vorfällen und zu Ausstiegsstrategien. Die Wirtschaftskammer informiert IT-Dienstleister über die Anforderungen, die aus solchen Verträgen entstehen.
Erkennbar wird der Handlungsbedarf daran, dass ein Kunde aus dem Finanzsektor einen mehrseitigen Fragebogen zur Informationssicherheit schickt. Beantworten lässt sich ein solcher Fragebogen, wenn der eigene Stand dokumentiert ist. Dazu gehören ein aktuelles Inventar der Systeme, geregelte Zugriffsrechte, geprüfte Sicherungen, ein festgelegtes Verfahren für Sicherheitsvorfälle und Nachweise darüber, dass Updates eingespielt werden.
Für Finanzunternehmen geht DORA der NIS2-Richtlinie als speziellere Regelung vor. Ein Betrieb, der Kunden aus dem Finanzsektor und aus anderen Branchen betreut, sieht sich daher am besten beide Regelwerke an. Eine strukturierte Prüfung der eigenen IT schafft die Faktenbasis, mit der sich Fragebögen belegt beantworten und Vertragszusagen einhalten lassen.
Gap-Analyse: Anforderungen mit dem Ist-Stand abgleichen IT-Check: den eigenen Stand belegbar dokumentieren
Alle Begriffe der Wissensdatenbank
Hinweis: Dieser Eintrag gibt den Stand nach bestem Wissen wieder und dient der allgemeinen Orientierung. Er ersetzt keine Rechtsberatung. Maßgeblich ist immer die geltende Fassung bei der zuständigen Stelle, etwa dsb.gv.at, nis.gv.at oder onlinesicherheit.gv.at.
Vom Begriff zur Praxis
Wie steht Ihr Betrieb wirklich da?
Der IT-Check prüft Ihre IT in 8 Prüfbereichen mit über 100 Prüfpunkten und liefert einen dokumentierten Befund mit priorisiertem Maßnahmenplan. Ab 1.299 € exkl. USt. Das Erstgespräch dauert 20 Minuten. Es entstehen keine Kosten.