🛡️Was ist DORA?

DORA ist die EU-Verordnung für IT-Sicherheit bei Krypto-Dienstleistern. Ab Januar 2025 gelten strikte Resilienzstandards für alle CASPs.

Wie funktioniert DORA?

Die Digital Operational Resilience Act (Verordnung 2022/2554) verpflichtet Krypto-Dienstleister (CASPs) ab dem 17. Januar 2025 zu bankenähnlichen IT-Sicherheitsstandards. CASP steht für Crypto-Asset Service Provider und umfasst Börsen wie Bitvavo Erfahrungen & Test sowie Broker und Wallet-Anbieter.

Unternehmen müssen ein umfassendes Risikomanagement für ICT (Information and Communication Technology) etablieren. Das umfasst regelmäßige Resilienztests, Notfallpläne und Audits externer Cloud-Anbieter. Besonders kritisch sind dabei sogenannte fourth-party risks – also die Sicherheit bei Zulieferern der Zulieferer. Bei schweren Störungen gilt eine Meldefrist von vier Stunden an die Aufsichtsbehörden. Diese strikten Vorgaben gelten selbst für relativ kleine Krypto-Börsen mit weniger als 50 Mitarbeitern.

Während MiCA die Marktintegrität und den Anlegerschutz regelt, fokussiert DORA ausschließlich auf technische Betriebsresilienz. Die Anforderungen entsprechen dem BSI-Grundschutz, sind aber deutlich branchenspezifischer als das allgemeine NIS2-Gesetz. Für Einsteiger bedeutet das: Die Plattformen müssen beweisen, dass sie auch bei Hackerangriffen oder Stromausfällen handlungsfähig bleiben.

DORA in der Praxis: Konkrete Pflichten für Börsen

Eine deutsche Krypto-Börse mit 50 Millionen Euro Jahresumsatz muss ab 2025 alle schweren Systemausfälle innerhalb von vier Stunden der BaFin melden. Bei Nichteinhaltung drohen Geldbußen von bis zu zwei Prozent des weltweiten Umsatzes – im Beispiel also eine Million Euro. Diese Sanktionen gelten für das Management persönlich.

Anleger profitieren indirekt von diesen Vorgaben. Die strengen Standards reduzieren das Risiko langer Ausfallzeiten oder Datenverluste bei Plattformen wie Bitpanda Erfahrungen. DORA verhindert auch, dass Anbieter zu viele kritische Funktionen an unsichere externe Dienstleister outsourcen. Allerdings kämpfen vor allem kleinere Anbieter mit den Implementierungskosten für neue Meldesysteme und externe Sicherheitsaudits. Diese Kosten können schnell sechsstellig werden und belasten das Budget junger Fintechs.

DORA 2026: Compliance-Checks in der DACH-Region

Deutschland und Österreich haben DORA direkt durch BaFin und FMA in nationales Recht überführt. Schweizer CASPs fallen indirekt unter die Regulierung, sobald sie EU-Kunden bedienen oder Niederlassungen in der Union unterhalten. Dies betrifft auch Zürcher Fintechs mit deutschen Nutzern.

Wer bei Bitpanda handelt, profitiert von einem etablierten regulatorischen Rahmen. Die strengen Vorgaben schaffen zwar bürokratischen Aufwand und höhere Betriebskosten, sichern aber langfristig die Stabilität des europäischen Krypto-Marktes. Ein Totalausfall einer großen Börse würde Millionen von Anlegern treffen. DORA minimiert genau dieses Systemrisiko durch verpflichtende Notfallpläne und geografisch verteilte Backups. Für Einsteiger ist das ein zusätzlicher Schutzmechanismus neben der MiCA-Lizenz.