Was ist DORA?
Warum Finanzaufsicht heute auch IT-Ausfälle, Cyberrisiken und digitale Belastbarkeit systematisch reguliert
Definition
DORA steht für Digital Operational Resilience Act und ist ein EU-Regelwerk zur digitalen Widerstandsfähigkeit von Finanzunternehmen.
Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung (2022/2554), die seit dem 17. Januar 2025 vollständig gilt. DORA verpflichtet Finanzunternehmen zu einheitlichen Standards für IT-Sicherheit, Vorfallmeldung und Resilienz-Tests. Die Verordnung betrifft 20 Kategorien von Finanzunternehmen, darunter Banken, Versicherungen, Zahlungsinstitute und explizit auch Krypto-Asset-Dienstleister (CASPs). Jede unter der MiCA-Verordnung lizenzierte Krypto-Börse muss auch DORA einhalten.
Die 5 Säulen von DORA
| Säule | Inhalt | Kernpflicht |
|---|---|---|
| 1. IKT-Risikomanagement | Verpflichtender Rahmen für IT-Risiken | Jährliche Überprüfung |
| 2. Vorfallmeldung | Meldung schwerer IT-Vorfälle | 4 h Erstmeldung, 72 h Follow-up |
| 3. Resilienz-Tests | Regelmäßige Tests durch unabhängige Parteien | TLPT für systemrelevante Institute |
| 4. Drittparteienrisiko | Bewertung aller IT-Dienstleister | Register aller Verträge (seit April 2025) |
| 5. Informationsaustausch | Freiwilliger Austausch über Cyberbedrohungen | Branchenkooperation |
Die Meldefristen sind strikt: Bei einem schwerwiegenden IT-Vorfall muss die Erstmeldung an die Aufsichtsbehörde innerhalb von 4 Stunden erfolgen, der Follow-up-Bericht innerhalb von 72 Stunden, der Abschlussbericht innerhalb eines Monats. Für systemrelevante Institute (Großbanken, zentrale Gegenparteien) schreibt DORA zusätzlich Threat-Led Penetration Testing (TLPT) vor, durchgeführt von externen, zertifizierten Prüfern.
Auswirkungen auf Krypto-Börsen
DORA erfasst Krypto-Dienstleister über die MiCA-Verordnung: Wer eine MiCA-Lizenz hat, muss auch DORA einhalten. Bitvavo erhielt am 30. Dezember 2024 als eine der ersten Plattformen eine MiCA-Lizenz (Niederlande) und ist voll DORA-compliant. Lizenzierte Plattformen wickeln bereits über 70 % des europäischen Spot-Handelsvolumens ab. Kraken arbeitet unter der MiCA-Übergangsregelung, Binance hat bisher keine MiCA-Lizenz. Die Übergangsfrist für Altanbieter endet am 1. Juli 2026, danach ist eine MiCA-Lizenz (und damit DORA-Compliance) Pflicht für den EU-Marktzugang. Nicht-konforme Börsen müssen investieren oder den europäischen Markt verlassen. Für Anleger bedeutet das: Wer auf einer MiCA-lizenzierten Plattform handelt, profitiert von verbindlichen IT-Sicherheitsstandards, regelmäßigen Penetration-Tests und einem geprüften Wallet-Management. Die Stablecoin-Emittenten USDC (Circle) und USDS (Sky) fallen als regulierte Finanzprodukte ebenfalls unter DORA.
Strafen bei Nichtbeachtung
DORA sieht empfindliche Sanktionen vor: Unternehmen drohen Strafen von bis zu 2 % des weltweiten Jahresumsatzes oder 1 % des durchschnittlichen täglichen Umsatzes. Für kritische IT-Drittanbieter (z. B. Cloud-Provider, die Finanzinfrastruktur betreiben) gelten bis zu 5 Mio. EUR. Einzelpersonen bei kritischen IT-Anbietern können mit bis zu 500.000 EUR belangt werden. Das Management haftet persönlich bei grober Fahrlässigkeit oder Vorsatz. Im Vergleich: Die DSGVO erlaubt bis zu 4 % des Jahresumsatzes, DORA ist mit 2 % moderater, aber die persönliche Haftung des Managements ist neu im Finanzrecht.
DORA vs. NIS2: Abgrenzung
| Aspekt | DORA | NIS2 |
|---|---|---|
| Rechtsform | Verordnung (direkt anwendbar) | Richtlinie (nationale Umsetzung nötig) |
| Geltung | Seit 17. Januar 2025 | Umsetzungsfrist Oktober 2024 |
| Fokus | Finanzsektor (vertikal) | Alle kritischen Sektoren (horizontal) |
| Schwerpunkt | IT-Risiko, operationelle Resilienz | Netzwerk- und Informationssicherheit |
| Krypto | CASPs erfasst über MiCA | Nicht spezifisch auf Krypto |
DORA gilt als lex specialis und hat für IT-Risiken im Finanzsektor Vorrang vor NIS2. NIS2-Anforderungen, die DORA nicht abdeckt (z. B. nicht-technologische Bereiche), können aber zusätzlich gelten. Stand Juni 2025 haben erst 14 von 27 EU-Mitgliedstaaten NIS2 vollständig in nationales Recht umgesetzt. DORA als Verordnung brauchte keine nationale Umsetzung und gilt seit Januar 2025 einheitlich in der gesamten EU.
Technische Standards (RTS/ITS)
Die europäischen Aufsichtsbehörden (EBA, EIOPA, ESMA) haben die technischen Standards in zwei Paketen veröffentlicht. Das erste Paket umfasst drei Regulatory Technical Standards (RTS) zu IKT-Risikomanagement, Vorfallklassifikation und Dienstleister-Richtlinien sowie einen Implementing Technical Standard (ITS) für Outsourcing-Register. Das zweite Paket enthält vier RTS-Entwürfe, einen ITS und zwei Leitlinien zu Melderahmen und Penetration Testing. Ein zusätzlicher Standard zum Subcontracting wurde am 7. März 2025 angenommen und ist seit dem 22. Juli 2025 direkt anwendbar. Für DeFi-Protokolle ohne zentrale Entität greift DORA bisher nicht, aber die EU-Kommission prüft im Rahmen des MiCA-Reviews (bis Dezember 2025), ob dezentrale Protokolle künftig reguliert werden sollen.
DORA ist seit Januar 2025 Pflicht für alle Finanzunternehmen in der EU, einschließlich MiCA-lizenzierter Krypto-Börsen. Die Strafen reichen bis 2 % des weltweiten Jahresumsatzes. Wer als Krypto-Anleger eine EU-regulierte Plattform nutzt, profitiert von den strengen Sicherheitsstandards, die DORA vorschreibt.
Häufige Fragen zu DORA
Betrifft DORA auch Krypto-Börsen?
Ja. Jede Börse mit MiCA-Lizenz muss auch DORA einhalten. Das betrifft IT-Risikomanagement, Vorfallmeldung innerhalb von 4 Stunden, Resilienz-Tests und die Bewertung aller IT-Dienstleister. Bitvavo ist seit Ende 2024 MiCA-lizenziert und DORA-compliant.
Was passiert, wenn eine Börse DORA nicht einhält?
Strafen bis zu 2 % des weltweiten Jahresumsatzes. Kritische IT-Dienstleister können mit bis zu 5 Mio. EUR belegt werden, Einzelpersonen mit bis zu 500.000 EUR. Das Management haftet persönlich bei Vorsatz oder grober Fahrlässigkeit.
Was ist der Unterschied zwischen DORA und NIS2?
DORA regelt IT-Sicherheit spezifisch für den Finanzsektor (inkl. Krypto) und ist eine direkt anwendbare EU-Verordnung. NIS2 ist eine Richtlinie für alle kritischen Sektoren, die erst in nationales Recht umgesetzt werden muss. Für Finanzunternehmen hat DORA als Spezialgesetz Vorrang.
Verwandte Begriffe
Über die Autorin
Dr. Stephanie Morgenroth
Steffi ist promovierte Medizinerin, Krypto-Investorin seit 2021 und erreicht mit MissCrypto über 100.000 Menschen auf Social Media. Sie macht komplexe Themen wie Bitcoin, DeFi und Krypto-Steuern verständlich, ehrlich, unabhängig und ohne Hype.
Über Steffi →Risikohinweis: Meine Inhalte dienen ausschließlich zur Information und stellen keine Anlageberatung dar.
Diese Seite kann Affiliate-Links enthalten. Bei einem Kauf über diese Links erhalte ich eine Provision — du unterstützt meinen Kanal ohne Mehrkosten. Danke! ❤️