Wissen · Verordnung (EU) 2022/2554

DORA – kurz erklärt für
IT-Dienstleister mit Finanzkunden

Eine kompakte, ehrliche Einordnung statt Drohkulisse: Was DORA ist, warum ein gewöhnlicher IT-Dienstleister nicht direkt reguliert, sondern vertraglich gebunden ist – und was Finanzkunden technisch von Ihnen erwarten. Das IFCSD ist dabei Ihr technischer Partner, kein Rechtsberater.

Das Wichtigste zuerst: Ein gewöhnlicher IT-Dienstleister ist kein reguliertes Finanzunternehmen. Sie haben keine eigene DORA-Meldepflicht gegenüber der BaFin und keine DORA-Bußgelder. Auch die direkte EU-Aufsicht trifft nur zentral benannte kritische IKT-Drittdienstleister (CTPP) – ausschließlich globale Großkonzerne wie Oracle oder Equinix, nie ein KMU. Ihr reales Thema ist der Vertrag mit Ihrem Finanzkunden.

Was ist DORA?

DORA (Digital Operational Resilience Act) ist die Verordnung (EU) 2022/2554, in Kraft seit 16.01.2023 und unmittelbar anwendbar seit 17.01.2025. Als EU-Verordnung gilt sie direkt – anders als die NIS2-Richtlinie braucht es kein nationales Umsetzungsgesetz. In Deutschland beaufsichtigt die BaFin die betroffenen Finanzunternehmen. Geregelt werden fünf Bereiche: IKT-Risikomanagement, Meldung schwerer IKT-Vorfälle, Resilienztests, Management von IKT-Drittdienstleistern und Informationsaustausch.

Regelungsadressat ist immer das Finanzunternehmen (Bank, Sparkasse, Versicherer, Zahlungsinstitut, Wertpapierfirma). Über das Verhältnismäßigkeitsprinzip (Art. 4) und einen vereinfachten Rahmen (Art. 16) gelten für kleine, nicht verflochtene Finanzunternehmen Erleichterungen – „voller Katalog für jeden" ist es ausdrücklich nicht.

Was Ihre Finanzkunden vertraglich verlangen

Ihre Pflichten als Dienstleister entstehen über den Vertrag (Art. 28/30 DORA). Der Umfang hängt davon ab, ob Sie eine kritische oder wichtige Funktion unterstützen:

Alle IKT-Verträge (Art. 30 Abs. 2)
  • Klare Leistungsbeschreibung & Standorte der Datenverarbeitung
  • Datenschutz-, Verfügbarkeits- und Integritätszusagen
  • Unterstützung bei IKT-Vorfällen
  • Kündigungsrechte und Mindestkündigungsfristen
Kritische/wichtige Funktionen (Art. 30 Abs. 3)
  • Vollständige SLAs mit messbaren Zielwerten
  • Uneingeschränkte Audit- und Zugangsrechte
  • Meldepflichten an den Finanzkunden, Mitwirkung bei Tests (TLPT)
  • Verpflichtende Exit-Strategie (Ausstiegsplan)

Informationsregister (Art. 28 Abs. 3): Finanzunternehmen führen ein Register aller IKT-Verträge und liefern es jährlich an die Aufsicht. Praktisch heißt das für Sie: strukturierte Stammdaten (LEI/EUID, Funktionen, Subunternehmer, Standorte) bereitstellen. Wer das sauber kann, behält den Finanzkunden.

Was das IFCSD technisch liefert

Wir sind technischer Enabler, kein Rechtsberater. Die juristische Vertragsgestaltung übernimmt Ihre Rechtsberatung – wir liefern die technische Substanz und die Nachweise, die Ihre Finanzkunden im Audit sehen wollen:

  • Technische IST-Analyse nach BSI CyberRisikoCheck (DIN SPEC 27076): MFA, Backup, EDR, Logging, Zugriffskontrolle.
  • Auditfähige Nachweisdokumentation: Sicherheitskonzept, Netzwerkplan, Backup-/Restore-Protokolle, Patch- und Schulungsnachweise.
  • Register- & datenlieferfähig: strukturierte Stammdaten für das Informationsregister Ihrer Kunden.
  • Resilienz belegen: Penetrations- und Schwachstellentests, Monitoring/Alerting und ein geübter Meldeweg für die Fristen Ihres Finanzkunden.

Diese Arbeit überschneidet sich stark mit NIS2: Wer das eine sauber umsetzt, hat fürs andere die Nachweise meist schon in der Hand.

Häufige Fragen

Bin ich als IT-Dienstleister direkt von DORA betroffen?

In aller Regel nein – nicht direkt. Regelungsadressat ist das Finanzunternehmen. Ein gewöhnlicher IT-, Cloud- oder SaaS-Anbieter hat keine eigene DORA-Meldepflicht und keine DORA-Bußgelder. Ihre Pflichten entstehen vertraglich (Art. 28/30): Ihr Finanzkunde muss DORA-Anforderungen an Sie weitergeben.

Wer meldet einen IKT-Vorfall an die BaFin?

Das Finanzunternehmen, nicht der Dienstleister. Es meldet innerhalb von 4 Stunden (spätestens 24h nach Kenntnis) erst, nach 72h zwischen und innerhalb eines Monats abschließend. Ihre Pflicht ist es, so schnell an Ihren Finanzkunden zu melden, dass dieser seine Frist halten kann – vertraglich nach Art. 30.

Werden kleine IT-Dienstleister direkt von der EU-Aufsicht überwacht?

Nein. Direkte EU-Aufsicht gilt nur für zentral benannte kritische IKT-Drittdienstleister (CTPP) – ausschließlich globale Großkonzerne wie Oracle, Equinix oder Kyndryl. Ein KMU wird realistisch nie CTPP. In der Praxis prüfen und verpflichten Sie Ihre Finanzkunden vertraglich.

Macht das IFCSD DORA-Rechtsberatung?

Nein. Wir sind Ihr technischer Partner, kein Rechtsberater. Wir machen Sie auditfähig, register- und exit-fähig (Nachweisdokumentation, Stammdaten, Resilienztests). Die juristische Bewertung und Vertragsgestaltung übernimmt Ihre Rechtsberatung.

IT-Dienstleister mit Finanzkunden? Wir prüfen kostenlos, wie auditfähig Ihre Technik und Dokumentation heute sind.

Technische Erstbewertung