DORA steht für Digital Operational Resilience Act. Gemeint ist die EU-Verordnung 2022/2554 über digitale operationale Resilienz im Finanzsektor. Sie legt einheitliche Anforderungen an IKT-Risikomanagement, Informationssicherheit, Vorfallsmanagement, Resilienztests und den Umgang mit IKT-Drittdienstleistern fest.

Seit wann gilt die DORA-Verordnung?

Die DORA-Verordnung gilt seit dem 17. Januar 2025 unmittelbar in der EU. Seit diesem Datum müssen betroffene Finanzunternehmen die Anforderungen der Verordnung anwenden.

Was ist ein IKT-Drittdienstleister?

Ein IKT-Drittdienstleister ist ein externer Anbieter, der digitale oder technische Dienstleistungen für ein Finanzunternehmen erbringt. Dazu können Cloud-Anbieter, Softwareanbieter, Rechenzentren, IT-Sicherheitsdienste, Datenanalyse-Anbieter oder Infrastrukturpartner gehören. Unter DORA müssen Finanzunternehmen Risiken aus solchen Dienstleisterbeziehungen erfassen, bewerten und steuern.

Welche Rolle spielt die BaFin bei DORA?

Die BaFin ist in Deutschland eine zentrale Aufsichtsbehörde für die Umsetzung der DORA-Verordnung. Sie überwacht, ob beaufsichtigte Unternehmen Anforderungen an IKT-Risiken, Cybersicherheit und digitale operationale Resilienz erfüllen.

Was prüft die BaFin im Zusammenhang mit DORA?

Im Fokus stehen vor allem dokumentierte IKT-Risiken, klare Verantwortlichkeiten, Vorfallsprozesse, Resilienztests, Dienstleistersteuerung und nachvollziehbare Kontrollen. Für Unternehmen ist deshalb wichtig, dass ihre DORA-Umsetzung nicht nur definiert, sondern auch prüfbar dokumentiert ist.

DORA steht für Digital Operational Resilience Act. Gemeint ist die EU-Verordnung 2022/2554 über digitale operationale Resilienz im Finanzsektor. Sie legt einheitliche Anforderungen an IKT-Risikomanagement, Informationssicherheit, Vorfallsmanagement, Resilienztests und den Umgang mit IKT-Drittdienstleistern fest.

Seit wann gilt die DORA-Verordnung?

Die DORA-Verordnung gilt seit dem 17. Januar 2025 unmittelbar in der EU. Seit diesem Datum müssen betroffene Finanzunternehmen die Anforderungen der Verordnung anwenden.

Was ist ein IKT-Drittdienstleister?

Ein IKT-Drittdienstleister ist ein externer Anbieter, der digitale oder technische Dienstleistungen für ein Finanzunternehmen erbringt. Dazu können Cloud-Anbieter, Softwareanbieter, Rechenzentren, IT-Sicherheitsdienste, Datenanalyse-Anbieter oder Infrastrukturpartner gehören. Unter DORA müssen Finanzunternehmen Risiken aus solchen Dienstleisterbeziehungen erfassen, bewerten und steuern.

Welche Rolle spielt die BaFin bei DORA?

Die BaFin ist in Deutschland eine zentrale Aufsichtsbehörde für die Umsetzung der DORA-Verordnung. Sie überwacht, ob beaufsichtigte Unternehmen Anforderungen an IKT-Risiken, Cybersicherheit und digitale operationale Resilienz erfüllen.

Was prüft die BaFin im Zusammenhang mit DORA?

Im Fokus stehen vor allem dokumentierte IKT-Risiken, klare Verantwortlichkeiten, Vorfallsprozesse, Resilienztests, Dienstleistersteuerung und nachvollziehbare Kontrollen. Für Unternehmen ist deshalb wichtig, dass ihre DORA-Umsetzung nicht nur definiert, sondern auch prüfbar dokumentiert ist.

DORA-Verordnung: Anforderungen, Säulen und Umsetzung im Überblick

27 Mai 2026 · 9 MIN. LESEDAUER

Die DORA-Verordnung macht digitale Resilienz im Finanzsektor zur regulatorischen Pflicht. Seit dem 17. Januar 2025 müssen betroffene Finanzunternehmen nachweisen, dass sie Risiken im Bereich IKT (Informations- und Kommunikationstechnik) systematisch steuern, Cyberbedrohungen erkennen, Vorfälle melden und kritische Drittdienstleister kontrollieren können.

Dieser Artikel fasst die wichtigsten Anforderungen der DORA-Verordnung zusammen, erklärt die zentralen DORA-Säulen und zeigt, worauf Unternehmen bei der Umsetzung achten sollten.

DORA-Verordnung: Das Wichtigste im Überblick

Die wichtigsten Punkte zur DORA-Verordnung im Überblick:

DORA steht für Digital Operational Resilience Act und ist die EU-Verordnung zur digitalen operationalen Resilienz im Finanzsektor.
Die DORA-Verordnung gilt seit dem 17. Januar 2025 und macht digitale operationale Resilienz im Finanzsektor zur regulatorischen Pflicht.
Betroffene Finanzunternehmen müssen IKT-Risiken systematisch steuern – von Cyberangriffen über Systemausfälle bis hin zu Risiken durch externe Drittdienstleister.
Die fünf zentralen DORA-Säulen sind: IKT-Risikomanagement, IKT-Vorfallsmanagement, Resilienztests, Management von IKT-Drittdienstleistern und Informationsaustausch zu Cyberbedrohungen.
DORA geht über klassische IT-Sicherheit hinaus: Digitale Risiken werden als Teil von Governance, Risikomanagement, Compliance und operativer Stabilität betrachtet.
Unternehmen müssen nachweisen können, welche digitalen Prozesse kritisch sind, welche Risiken bestehen und wie diese kontrolliert werden.
Für T&E, Spesen und Ausgabenmanagement ist DORA indirekt relevant, wenn diese Prozesse mit Zahlungsdaten, Finanzsystemen, Genehmigungen oder externen digitalen Dienstleistungen verbunden sind.
Digitale Nachvollziehbarkeit wird wichtiger: Belege, Freigaben, Änderungen, Zahlungsdaten und Audit-Trails sollten prüfbar dokumentiert sein.

Was ist die DORA-Verordnung?

Die DORA-Verordnung ist eine EU-Verordnung zur digitalen operationalen Resilienz im Finanzsektor. DORA steht für Digital Operational Resilience Act und legt fest, wie Finanzunternehmen mit Risiken aus Informations- und Kommunikationstechnologie umgehen müssen.

Ziel der Verordnung ist es, den Finanzsektor widerstandsfähiger gegen digitale Störungen zu machen. Dazu gehören unter anderem:

Cyberangriffe
Systemausfälle
IKT-Störungen
Sicherheitsvorfälle
Risiken durch externe Drittdienstleister

DORA verpflichtet betroffene Unternehmen dazu, digitale Risiken systematisch zu erkennen, zu bewerten, zu steuern und zu dokumentieren. Damit geht die Verordnung über klassische IT-Sicherheit hinaus. Sie verbindet Informationssicherheit, Risikomanagement, Vorfallsmanagement, Resilienztests und Dienstleistersteuerung in einem einheitlichen EU-Rahmen.

Für Unternehmen bedeutet das: Digitale Prozesse müssen nicht nur funktionieren, sondern auch belastbar, nachvollziehbar und prüfbar sein. Das betrifft vor allem Finanzunternehmen, Finanzinstitute, Zahlungsinstitute, Versicherungen, Versicherungsvermittler und relevante IKT-Drittdienstleister.

Die DORA-Verordnung ist am 16. Januar 2023 in Kraft getreten und gilt seit dem 17. Januar 2025 unmittelbar in der EU. Seitdem müssen betroffene Organisationen nachweisen können, dass sie ihre digitale operationale Resilienz aktiv steuern.

Für wen gilt die DORA-Verordnung?

Die DORA-Verordnung gilt für zahlreiche Unternehmen im Finanzsektor sowie für bestimmte IKT-Drittdienstleister. Entscheidend ist, ob ein Unternehmen Finanzdienstleistungen erbringt oder kritische digitale Dienstleistungen für regulierte Finanzunternehmen bereitstellt.

Betroffene Finanzunternehmen und Finanzinstitute

Unter DORA fallen viele Akteure des europäischen Finanzsektors. Dazu gehören unter anderem:

Kreditinstitute
Finanzinstitute
Zahlungsinstitute
E-Geld-Institute
Wertpapierfirmen
Versicherungs- und Rückversicherungsunternehmen
Anbieter von Krypto-Dienstleistungen
Handelsplätze und zentrale Gegenparteien

Zahlungsinstitute, Versicherungen und Versicherungsvermittler

Auch Zahlungsinstitute, Versicherungen und bestimmte Versicherungsvermittler können unter die DORA-Verordnung fallen. Für sie ist besonders relevant, dass digitale Prozesse oft direkt mit Kundendaten, Zahlungsflüssen, Vertragsinformationen oder externen Plattformen verbunden sind.

Je stärker ein Geschäftsmodell von digitalen Dienstleistungen abhängt, desto wichtiger werden belastbare Kontrollen, klare Zuständigkeiten und nachvollziehbare Prozesse.

IKT-Drittdienstleister und kritische Dienstleister

DORA betrifft nicht nur Finanzunternehmen selbst. Auch IKT-Drittdienstleister werden relevant, wenn sie digitale Dienstleistungen für Finanzunternehmen bereitstellen. Dazu gehören zum Beispiel:

Cloud-Anbieter
Softwareanbieter
Rechenzentren
Datenanalyse-Dienste
IT-Sicherheitsdienstleister
Anbieter von Kommunikations- und Infrastrukturleistungen

Finanzunternehmen müssen Risiken aus ausgelagerten IKT-Dienstleistungen aktiv steuern. Dazu gehört, Drittdienstleister zu erfassen, ihre Kritikalität zu bewerten und vertragliche sowie operative Risiken regelmäßig zu prüfen.

Gestalten Sie Ihr Ausgabenmanagement noch effizienter – dank automatisierter Workflows!

Demo vereinbaren Demo vereinbaren

Welche Ziele verfolgt die DORA-Verordnung?

Die DORA-Verordnung verfolgt das Ziel, den Finanzsektor widerstandsfähiger gegen digitale Risiken zu machen. Betroffene Finanzunternehmen sollen auch bei Cyberangriffen, IKT-Störungen oder Ausfällen wichtiger Drittdienstleister handlungsfähig bleiben.

Die wichtigsten Ziele der DORA-Verordnung sind:

Digitale operationale Resilienz stärken: Finanzunternehmen sollen Störungen überstehen, darauf reagieren und kritische Dienstleistungen schnell wiederherstellen können.
IKT-Risiken systematisch steuern: Risiken aus Informations- und Kommunikationstechnologie sollen erkannt, bewertet, überwacht und dokumentiert werden.
Cyberbedrohungen besser beherrschen: Unternehmen sollen Sicherheitsvorfälle, Cyberangriffe und technische Schwachstellen frühzeitig erkennen und angemessen behandeln.
Drittdienstleister kontrollieren: Risiken durch Cloud-Anbieter, Softwareanbieter oder andere IKT-Drittdienstleister müssen transparent gesteuert werden.
Einheitliche EU-Vorgaben schaffen: DORA harmonisiert die Anforderungen an digitale Resilienz, Risikomanagement und Informationssicherheit im europäischen Finanzsektor.

Was sind die fünf Säulen der DORA-Verordnung?

Die DORA-Verordnung basiert auf fünf zentralen Säulen. Sie beschreiben, wie Finanzunternehmen digitale Risiken steuern, Vorfälle behandeln und ihre operationale Resilienz nachweisen sollen.

Die fünf Säulen der DORA-Verordnung sind:

IKT-Risikomanagement: Unternehmen müssen Risiken aus Informations- und Kommunikationstechnologie erkennen, bewerten, überwachen und reduzieren.
IKT-Vorfallsmanagement: Schwerwiegende IKT-bezogene Vorfälle müssen klassifiziert, dokumentiert und an zuständige Aufsichtsbehörden gemeldet werden.
Tests der digitalen operationalen Resilienz: Finanzunternehmen müssen ihre Systeme, Prozesse und Sicherheitsmaßnahmen regelmäßig testen.
Management von IKT-Drittdienstleistern: Risiken durch externe Dienstleister wie Cloud-Anbieter, Softwareanbieter oder Rechenzentren müssen aktiv gesteuert werden.
Informationsaustausch zu Cyberbedrohungen: Unternehmen können relevante Informationen über Cyberbedrohungen austauschen, um Risiken im Finanzsektor besser zu erkennen.

Welche Anforderungen stellt DORA an Unternehmen?

DORA verlangt von betroffenen Unternehmen nicht nur technische Schutzmaßnahmen, sondern ein belastbares Betriebsmodell für digitale Risiken. Die zentrale Frage lautet: Kann das Unternehmen nachweisen, dass kritische digitale Dienstleistungen auch bei Störungen kontrolliert weitergeführt oder schnell wiederhergestellt werden können?

Dafür müssen Unternehmen vor allem folgende Anforderungen erfüllen:

Kritische Funktionen bestimmen: Unternehmen müssen wissen, welche Prozesse, Systeme und Dienstleistungen für den laufenden Betrieb besonders wichtig sind.
IKT-Abhängigkeiten erfassen: Dazu gehören interne Systeme, Schnittstellen, Datenflüsse, Anwendungen und externe IKT-Drittdienstleister.
Risiken messbar machen: IKT-Risiken müssen nicht nur beschrieben, sondern bewertet, priorisiert und regelmäßig überprüft werden.
Vorfälle eindeutig klassifizieren: Unternehmen brauchen klare Kriterien, wann ein IKT-Vorfall relevant, schwerwiegend oder meldepflichtig ist.
Reaktionswege festlegen: Für Cyberangriffe, Systemausfälle oder Dienstleisterstörungen müssen Verantwortlichkeiten, Eskalationswege und Kommunikationsprozesse definiert sein.
Drittdienstleister aktiv steuern: Verträge, Leistungsumfang, Sicherheitsanforderungen, Exit-Szenarien und Abhängigkeiten müssen nachvollziehbar dokumentiert werden.
Nachweise prüfbar halten: Entscheidungen, Kontrollen, Tests, Vorfälle und Maßnahmen müssen so dokumentiert sein, dass sie intern und gegenüber Aufsichtsbehörden nachvollziehbar sind.

Der Unterschied zu klassischer IT-Sicherheit: DORA betrachtet digitale Risiken nicht isoliert als IT-Thema, sondern als Teil von Governance, Risikomanagement, Compliance und operativer Stabilität.

Wie gelingt die Umsetzung der DORA-Verordnung?

Die Umsetzung der DORA-Verordnung sollte nicht als reines IT-Projekt verstanden werden. Sie betrifft Risikomanagement, Compliance, Informationssicherheit, Einkauf, Finance und alle Bereiche, die mit kritischen digitalen Dienstleistungen arbeiten. Folgende Schritte sind dabei entscheidend.

1. Betroffenheit und Scope prüfen

Im ersten Schritt sollten Unternehmen klären, ob und in welchem Umfang sie unter die DORA-Verordnung fallen. Dabei geht es nicht nur um die eigene Branche, sondern auch um Geschäftsmodell, Dienstleistungen, digitale Abhängigkeiten und eingesetzte IKT-Drittdienstleister. Wichtige Fragen sind:

Gehört das Unternehmen zu den betroffenen Finanzunternehmen?
Welche Geschäftsprozesse sind digital kritisch?
Welche Systeme, Daten und Dienstleister sind für den Betrieb besonders wichtig?
Welche Anforderungen gelten direkt, welche indirekt über Kunden oder Partner?

Eine klare Scope-Analyse verhindert, dass relevante Risiken übersehen oder Ressourcen falsch priorisiert werden.

2. IKT-Risiken identifizieren und bewerten

Unternehmen müssen ihre digitalen Risiken strukturiert erfassen. Dazu gehören Risiken durch Cyberangriffe, Systemausfälle, Datenverluste, fehlerhafte Schnittstellen, unzureichende Zugriffsrechte oder Abhängigkeiten von externen Anbietern. Die Bewertung sollte zeigen:

wie wahrscheinlich ein Risiko ist
welche Auswirkungen ein Vorfall hätte
welche Kontrollen bereits bestehen
wo Handlungsbedarf besteht
welche Risiken besonders kritisch sind

IKT-Risikomanagement wird unter DORA zu einem laufenden Prozess, nicht zu einer einmaligen Bestandsaufnahme.

3. Vorfallsprozesse und Meldewege definieren

DORA verlangt, dass IKT-bezogene Vorfälle erkannt, klassifiziert und bei Relevanz gemeldet werden müssen. Unternehmen brauchen deshalb klare Kriterien, wann ein Vorfall intern eskaliert oder extern gemeldet werden muss. Dazu gehören:

definierte Verantwortlichkeiten
klare Eskalationswege
Kriterien für die Klassifizierung von Vorfällen
Kommunikationsprozesse für interne und externe Stakeholder
dokumentierte Maßnahmen zur Wiederherstellung

Im Ernstfall muss klar sein, wer entscheidet, wer informiert wird und welche Schritte zuerst erfolgen.

4. Drittdienstleister erfassen und vertraglich prüfen

Viele digitale Risiken entstehen nicht im eigenen Unternehmen, sondern durch ausgelagerte Dienstleistungen. Deshalb sollten Unternehmen alle relevanten IKT-Drittdienstleister erfassen und nach Kritikalität bewerten.

Besonders wichtig sind Verträge mit Anbietern, die Zugriff auf sensible Daten haben, kritische Systeme betreiben oder zentrale Finanzprozesse unterstützen. Geprüft werden sollten unter anderem:

Leistungsumfang und Verantwortlichkeiten
Sicherheits- und Kontrollpflichten
Meldepflichten bei Störungen
Subdienstleister
Exit-Strategien
Datenzugriff und Datenstandorte

Drittdienstleister müssen so gesteuert werden, dass ihre Risiken für das Unternehmen transparent und kontrollierbar bleiben.

5. Resilienztests planen und dokumentieren

Unternehmen sollten regelmäßig prüfen, ob ihre Systeme, Prozesse und Kontrollen auch unter Belastung funktionieren. Dazu können technische Tests, Krisenübungen, Wiederherstellungstests oder Szenarien für Cyberangriffe und Dienstleisterausfälle gehören.

Wichtig ist, dass Tests nicht nur durchgeführt, sondern auch ausgewertet werden. Ergebnisse, Schwachstellen und Verbesserungsmaßnahmen sollten nachvollziehbar dokumentiert sein.

Wie können Unternehmen ihre DORA-Readiness verbessern?

DORA-Readiness bedeutet, dass ein Unternehmen seine digitalen Risiken kennt, kontrolliert und nachweisen kann, wie es auf IKT-Vorfälle reagiert. Dafür reicht eine einmalige Prüfung nicht aus. Entscheidend ist ein dauerhaft belastbares Zusammenspiel aus Risikomanagement, Informationssicherheit, Compliance und operativen Prozessen.

Unternehmen können ihre DORA-Readiness vor allem in vier Bereichen verbessern:

Verantwortlichkeiten klären: Rollen, Entscheidungswege und Eskalationsprozesse sollten eindeutig definiert sein.
IKT-Risiken transparent machen: Kritische Systeme, Datenflüsse, Anwendungen und externe Dienstleister müssen erfasst und bewertet werden.
Manuelle Prozesse reduzieren: Automatisierte Kontrollen helfen, Fehler, Lücken und Richtlinienverstöße früher zu erkennen.
Kontrollen regelmäßig überprüfen: Prozesse, Sicherheitsmaßnahmen und Resilienztests sollten dokumentiert und laufend verbessert werden.

Wichtig ist: DORA-Readiness ist kein Zustand, der einmal erreicht und dann abgeschlossen ist. Unternehmen müssen ihre Risiken, Kontrollen und Dienstleisterbeziehungen kontinuierlich überwachen und an neue Bedrohungen anpassen.

Was bedeutet DORA für T&E, Spesen und Ausgabenmanagement?

Die DORA-Verordnung richtet sich vor allem an Finanzunternehmen und deren digitale operationale Resilienz. Sie kann aber auch Auswirkungen auf Travel-Management, Spesenmanagement und Ausgabenmanagement haben, wenn diese Prozesse mit Zahlungsdaten, Genehmigungen, Buchhaltungssystemen oder externen digitalen Dienstleistungen verbunden sind.

DORA schreibt keine konkreten T&E-Prozesse vor. Die Verordnung erhöht jedoch die Anforderungen an digitale Nachvollziehbarkeit, Sicherheit und Kontrollfähigkeit in operativen Finanzprozessen.

Warum digitale Nachvollziehbarkeit wichtiger wird

Reise-, Spesen- und Ausgabenprozesse laufen oft über mehrere Systeme: Buchungsplattformen, Firmenkarten, Zahlungsdienste, ERP-Systeme und Buchhaltungssoftware.

Für DORA-relevante Unternehmen wird deshalb wichtig, dass Ausgaben, Belege, Freigaben und Änderungen eindeutig dokumentiert sind. Ein Vorgang sollte nachvollziehbar zeigen:

wer eine Ausgabe eingereicht hat
wer sie geprüft oder freigegeben hat
welche Belege und Daten dazugehören
welche Systeme und Dienstleister beteiligt waren

Digitale Nachvollziehbarkeit unterstützt Compliance, Risikomanagement und Prüfbereitschaft.

Welche Rolle Belege, Freigaben und Audit-Trails spielen

Spesen- und Ausgabenprozesse enthalten viele prüfungsrelevante Informationen: Rechnungen, digitale Belege, Kostenstellen, Zahlungsdaten, Genehmigungen und Richtlinienverstöße.

Ein belastbarer Audit-Trail zeigt, wie ein Vorgang entstanden ist, welche Schritte erfolgt sind und ob interne Vorgaben eingehalten wurden.

Prüfbare Workflows reduzieren operative Risiken, etwa durch fehlende Belege, manuelle Fehler, unklare Zuständigkeiten oder unkontrollierte Systemzugriffe.

Wie automatisierte Kontrollen die Prüfbereitschaft unterstützen

Manuelle Prüfungen reichen bei vielen Reisen, Spesen und Firmenkartentransaktionen oft nicht aus. Automatisierte Kontrollen können Risiken früher sichtbar machen. Dazu gehören zum Beispiel:

Prüfung fehlender Belege
Erkennung doppelter Einreichungen
Kontrolle von Ausgabenlimits
Freigabe-Workflows nach Betrag, Land oder Kostenstelle
automatische Dokumentation von Änderungen
Hinweise bei auffälligen Transaktionen

Automatisierung ersetzt kein Risikomanagement, macht Kontrollen aber im Tagesgeschäft wirksamer und konsistenter.

Welche Bedeutung IKT-Drittdienstleister im Bereich T&E haben

Travel-, Spesen- und Ausgabenmanagement hängen häufig von externen Anbietern ab, etwa Softwareplattformen, Cloud-Diensten, Zahlungsdiensten, Kartenanbietern oder ERP-Integrationen.

DORA-relevante Unternehmen sollten prüfen, welche dieser Anbieter als IKT-Drittdienstleister relevant sind und welche Risiken aus diesen Abhängigkeiten entstehen. Wichtig sind vor allem Fragen wie:

Welche Daten verarbeitet der Dienstleister?
Ist der Dienstleister für kritische Abläufe notwendig?
Welche Sicherheits- und Kontrollpflichten gelten vertraglich?
Was passiert bei Ausfall oder Anbieterwechsel?

Je stärker ein Prozess digital integriert oder ausgelagert ist, desto wichtiger wird die Steuerung der IKT-Risiken.

Wie Perk operative Transparenz unterstützen kann

Perk kann Unternehmen dabei unterstützen, Travel-, Spesen- und Ausgabenprozesse nachvollziehbarer zu organisieren. Dazu gehören digitale Belege, strukturierte Freigaben, zentralisierte Ausgabendaten, Richtlinienkontrollen und transparente Workflows.

Der Beitrag liegt nicht in einer pauschalen DORA-Erfüllung, sondern in besser kontrollierbaren Finanz- und Ausgabenprozessen. Das unterstützt Finanz-, Compliance- und Risikoteams dabei, Daten schneller zu prüfen, manuelle Fehler zu reduzieren und digitale Abläufe transparenter zu steuern.

Bereit, Ihr Ausgabenmanagement zu revolutionieren? Buchen Sie einfach eine Demo und wir zeigen Ihnen, wie.

FAQ – Fragen & Antworten rund um die DORA-Verordnung

: DORA steht für Digital Operational Resilience Act. Gemeint ist die EU-Verordnung 2022/2554 über digitale operationale Resilienz im Finanzsektor. Sie legt einheitliche Anforderungen an IKT-Risikomanagement, Informationssicherheit, Vorfallsmanagement, Resilienztests und den Umgang mit IKT-Drittdienstleistern fest.
: Die DORA-Verordnung gilt seit dem 17. Januar 2025 unmittelbar in der EU. Seit diesem Datum müssen betroffene Finanzunternehmen die Anforderungen der Verordnung anwenden.
: Ein IKT-Drittdienstleister ist ein externer Anbieter, der digitale oder technische Dienstleistungen für ein Finanzunternehmen erbringt. Dazu können Cloud-Anbieter, Softwareanbieter, Rechenzentren, IT-Sicherheitsdienste, Datenanalyse-Anbieter oder Infrastrukturpartner gehören.Unter DORA müssen Finanzunternehmen Risiken aus solchen Dienstleisterbeziehungen erfassen, bewerten und steuern.
: Die BaFin ist in Deutschland eine zentrale Aufsichtsbehörde für die Umsetzung der DORA-Verordnung. Sie überwacht, ob beaufsichtigte Unternehmen Anforderungen an IKT-Risiken, Cybersicherheit und digitale operationale Resilienz erfüllen.
: Im Fokus stehen vor allem dokumentierte IKT-Risiken, klare Verantwortlichkeiten, Vorfallsprozesse, Resilienztests, Dienstleistersteuerung und nachvollziehbare Kontrollen. Für Unternehmen ist deshalb wichtig, dass ihre DORA-Umsetzung nicht nur definiert, sondern auch prüfbar dokumentiert ist.

Dieser Artikel fasst die wichtigsten Anforderungen der DORA-Verordnung zusammen, erklärt die zentralen DORA-Säulen und zeigt, worauf Unternehmen bei der Umsetzung achten sollten.

DORA-Verordnung: Das Wichtigste im Überblick

Die wichtigsten Punkte zur DORA-Verordnung im Überblick:

DORA steht für Digital Operational Resilience Act und ist die EU-Verordnung zur digitalen operationalen Resilienz im Finanzsektor.
Die DORA-Verordnung gilt seit dem 17. Januar 2025 und macht digitale operationale Resilienz im Finanzsektor zur regulatorischen Pflicht.
Betroffene Finanzunternehmen müssen IKT-Risiken systematisch steuern – von Cyberangriffen über Systemausfälle bis hin zu Risiken durch externe Drittdienstleister.
Die fünf zentralen DORA-Säulen sind: IKT-Risikomanagement, IKT-Vorfallsmanagement, Resilienztests, Management von IKT-Drittdienstleistern und Informationsaustausch zu Cyberbedrohungen.
DORA geht über klassische IT-Sicherheit hinaus: Digitale Risiken werden als Teil von Governance, Risikomanagement, Compliance und operativer Stabilität betrachtet.
Unternehmen müssen nachweisen können, welche digitalen Prozesse kritisch sind, welche Risiken bestehen und wie diese kontrolliert werden.
Für T&E, Spesen und Ausgabenmanagement ist DORA indirekt relevant, wenn diese Prozesse mit Zahlungsdaten, Finanzsystemen, Genehmigungen oder externen digitalen Dienstleistungen verbunden sind.
Digitale Nachvollziehbarkeit wird wichtiger: Belege, Freigaben, Änderungen, Zahlungsdaten und Audit-Trails sollten prüfbar dokumentiert sein.

Was ist die DORA-Verordnung?

Ziel der Verordnung ist es, den Finanzsektor widerstandsfähiger gegen digitale Störungen zu machen. Dazu gehören unter anderem:

Cyberangriffe
Systemausfälle
IKT-Störungen
Sicherheitsvorfälle
Risiken durch externe Drittdienstleister

Für wen gilt die DORA-Verordnung?

Betroffene Finanzunternehmen und Finanzinstitute

Unter DORA fallen viele Akteure des europäischen Finanzsektors. Dazu gehören unter anderem:

Kreditinstitute
Finanzinstitute
Zahlungsinstitute
E-Geld-Institute
Wertpapierfirmen
Versicherungs- und Rückversicherungsunternehmen
Anbieter von Krypto-Dienstleistungen
Handelsplätze und zentrale Gegenparteien

Zahlungsinstitute, Versicherungen und Versicherungsvermittler

Je stärker ein Geschäftsmodell von digitalen Dienstleistungen abhängt, desto wichtiger werden belastbare Kontrollen, klare Zuständigkeiten und nachvollziehbare Prozesse.

IKT-Drittdienstleister und kritische Dienstleister

DORA betrifft nicht nur Finanzunternehmen selbst. Auch IKT-Drittdienstleister werden relevant, wenn sie digitale Dienstleistungen für Finanzunternehmen bereitstellen. Dazu gehören zum Beispiel:

Cloud-Anbieter
Softwareanbieter
Rechenzentren
Datenanalyse-Dienste
IT-Sicherheitsdienstleister
Anbieter von Kommunikations- und Infrastrukturleistungen

Gestalten Sie Ihr Ausgabenmanagement noch effizienter – dank automatisierter Workflows!

Demo vereinbaren Demo vereinbaren

Welche Ziele verfolgt die DORA-Verordnung?

Die wichtigsten Ziele der DORA-Verordnung sind:

Digitale operationale Resilienz stärken: Finanzunternehmen sollen Störungen überstehen, darauf reagieren und kritische Dienstleistungen schnell wiederherstellen können.
IKT-Risiken systematisch steuern: Risiken aus Informations- und Kommunikationstechnologie sollen erkannt, bewertet, überwacht und dokumentiert werden.
Cyberbedrohungen besser beherrschen: Unternehmen sollen Sicherheitsvorfälle, Cyberangriffe und technische Schwachstellen frühzeitig erkennen und angemessen behandeln.
Drittdienstleister kontrollieren: Risiken durch Cloud-Anbieter, Softwareanbieter oder andere IKT-Drittdienstleister müssen transparent gesteuert werden.
Einheitliche EU-Vorgaben schaffen: DORA harmonisiert die Anforderungen an digitale Resilienz, Risikomanagement und Informationssicherheit im europäischen Finanzsektor.

Was sind die fünf Säulen der DORA-Verordnung?

Die DORA-Verordnung basiert auf fünf zentralen Säulen. Sie beschreiben, wie Finanzunternehmen digitale Risiken steuern, Vorfälle behandeln und ihre operationale Resilienz nachweisen sollen.

Die fünf Säulen der DORA-Verordnung sind:

IKT-Risikomanagement: Unternehmen müssen Risiken aus Informations- und Kommunikationstechnologie erkennen, bewerten, überwachen und reduzieren.
IKT-Vorfallsmanagement: Schwerwiegende IKT-bezogene Vorfälle müssen klassifiziert, dokumentiert und an zuständige Aufsichtsbehörden gemeldet werden.
Tests der digitalen operationalen Resilienz: Finanzunternehmen müssen ihre Systeme, Prozesse und Sicherheitsmaßnahmen regelmäßig testen.
Management von IKT-Drittdienstleistern: Risiken durch externe Dienstleister wie Cloud-Anbieter, Softwareanbieter oder Rechenzentren müssen aktiv gesteuert werden.
Informationsaustausch zu Cyberbedrohungen: Unternehmen können relevante Informationen über Cyberbedrohungen austauschen, um Risiken im Finanzsektor besser zu erkennen.

Welche Anforderungen stellt DORA an Unternehmen?

Dafür müssen Unternehmen vor allem folgende Anforderungen erfüllen:

Kritische Funktionen bestimmen: Unternehmen müssen wissen, welche Prozesse, Systeme und Dienstleistungen für den laufenden Betrieb besonders wichtig sind.
IKT-Abhängigkeiten erfassen: Dazu gehören interne Systeme, Schnittstellen, Datenflüsse, Anwendungen und externe IKT-Drittdienstleister.
Risiken messbar machen: IKT-Risiken müssen nicht nur beschrieben, sondern bewertet, priorisiert und regelmäßig überprüft werden.
Vorfälle eindeutig klassifizieren: Unternehmen brauchen klare Kriterien, wann ein IKT-Vorfall relevant, schwerwiegend oder meldepflichtig ist.
Reaktionswege festlegen: Für Cyberangriffe, Systemausfälle oder Dienstleisterstörungen müssen Verantwortlichkeiten, Eskalationswege und Kommunikationsprozesse definiert sein.
Drittdienstleister aktiv steuern: Verträge, Leistungsumfang, Sicherheitsanforderungen, Exit-Szenarien und Abhängigkeiten müssen nachvollziehbar dokumentiert werden.
Nachweise prüfbar halten: Entscheidungen, Kontrollen, Tests, Vorfälle und Maßnahmen müssen so dokumentiert sein, dass sie intern und gegenüber Aufsichtsbehörden nachvollziehbar sind.

Wie gelingt die Umsetzung der DORA-Verordnung?

1. Betroffenheit und Scope prüfen

Gehört das Unternehmen zu den betroffenen Finanzunternehmen?
Welche Geschäftsprozesse sind digital kritisch?
Welche Systeme, Daten und Dienstleister sind für den Betrieb besonders wichtig?
Welche Anforderungen gelten direkt, welche indirekt über Kunden oder Partner?

Eine klare Scope-Analyse verhindert, dass relevante Risiken übersehen oder Ressourcen falsch priorisiert werden.

2. IKT-Risiken identifizieren und bewerten

wie wahrscheinlich ein Risiko ist
welche Auswirkungen ein Vorfall hätte
welche Kontrollen bereits bestehen
wo Handlungsbedarf besteht
welche Risiken besonders kritisch sind

IKT-Risikomanagement wird unter DORA zu einem laufenden Prozess, nicht zu einer einmaligen Bestandsaufnahme.

3. Vorfallsprozesse und Meldewege definieren

definierte Verantwortlichkeiten
klare Eskalationswege
Kriterien für die Klassifizierung von Vorfällen
Kommunikationsprozesse für interne und externe Stakeholder
dokumentierte Maßnahmen zur Wiederherstellung

Im Ernstfall muss klar sein, wer entscheidet, wer informiert wird und welche Schritte zuerst erfolgen.

4. Drittdienstleister erfassen und vertraglich prüfen

Besonders wichtig sind Verträge mit Anbietern, die Zugriff auf sensible Daten haben, kritische Systeme betreiben oder zentrale Finanzprozesse unterstützen. Geprüft werden sollten unter anderem:

Leistungsumfang und Verantwortlichkeiten
Sicherheits- und Kontrollpflichten
Meldepflichten bei Störungen
Subdienstleister
Exit-Strategien
Datenzugriff und Datenstandorte

Drittdienstleister müssen so gesteuert werden, dass ihre Risiken für das Unternehmen transparent und kontrollierbar bleiben.

5. Resilienztests planen und dokumentieren

Wichtig ist, dass Tests nicht nur durchgeführt, sondern auch ausgewertet werden. Ergebnisse, Schwachstellen und Verbesserungsmaßnahmen sollten nachvollziehbar dokumentiert sein.

Wie können Unternehmen ihre DORA-Readiness verbessern?

Unternehmen können ihre DORA-Readiness vor allem in vier Bereichen verbessern:

Verantwortlichkeiten klären: Rollen, Entscheidungswege und Eskalationsprozesse sollten eindeutig definiert sein.
IKT-Risiken transparent machen: Kritische Systeme, Datenflüsse, Anwendungen und externe Dienstleister müssen erfasst und bewertet werden.
Manuelle Prozesse reduzieren: Automatisierte Kontrollen helfen, Fehler, Lücken und Richtlinienverstöße früher zu erkennen.
Kontrollen regelmäßig überprüfen: Prozesse, Sicherheitsmaßnahmen und Resilienztests sollten dokumentiert und laufend verbessert werden.

Was bedeutet DORA für T&E, Spesen und Ausgabenmanagement?

DORA schreibt keine konkreten T&E-Prozesse vor. Die Verordnung erhöht jedoch die Anforderungen an digitale Nachvollziehbarkeit, Sicherheit und Kontrollfähigkeit in operativen Finanzprozessen.

Warum digitale Nachvollziehbarkeit wichtiger wird

Reise-, Spesen- und Ausgabenprozesse laufen oft über mehrere Systeme: Buchungsplattformen, Firmenkarten, Zahlungsdienste, ERP-Systeme und Buchhaltungssoftware.

Für DORA-relevante Unternehmen wird deshalb wichtig, dass Ausgaben, Belege, Freigaben und Änderungen eindeutig dokumentiert sind. Ein Vorgang sollte nachvollziehbar zeigen:

wer eine Ausgabe eingereicht hat
wer sie geprüft oder freigegeben hat
welche Belege und Daten dazugehören
welche Systeme und Dienstleister beteiligt waren

Digitale Nachvollziehbarkeit unterstützt Compliance, Risikomanagement und Prüfbereitschaft.

Welche Rolle Belege, Freigaben und Audit-Trails spielen

Spesen- und Ausgabenprozesse enthalten viele prüfungsrelevante Informationen: Rechnungen, digitale Belege, Kostenstellen, Zahlungsdaten, Genehmigungen und Richtlinienverstöße.

Ein belastbarer Audit-Trail zeigt, wie ein Vorgang entstanden ist, welche Schritte erfolgt sind und ob interne Vorgaben eingehalten wurden.

Prüfbare Workflows reduzieren operative Risiken, etwa durch fehlende Belege, manuelle Fehler, unklare Zuständigkeiten oder unkontrollierte Systemzugriffe.

Wie automatisierte Kontrollen die Prüfbereitschaft unterstützen

Manuelle Prüfungen reichen bei vielen Reisen, Spesen und Firmenkartentransaktionen oft nicht aus. Automatisierte Kontrollen können Risiken früher sichtbar machen. Dazu gehören zum Beispiel:

Prüfung fehlender Belege
Erkennung doppelter Einreichungen
Kontrolle von Ausgabenlimits
Freigabe-Workflows nach Betrag, Land oder Kostenstelle
automatische Dokumentation von Änderungen
Hinweise bei auffälligen Transaktionen

Automatisierung ersetzt kein Risikomanagement, macht Kontrollen aber im Tagesgeschäft wirksamer und konsistenter.

Welche Bedeutung IKT-Drittdienstleister im Bereich T&E haben

Travel-, Spesen- und Ausgabenmanagement hängen häufig von externen Anbietern ab, etwa Softwareplattformen, Cloud-Diensten, Zahlungsdiensten, Kartenanbietern oder ERP-Integrationen.

Welche Daten verarbeitet der Dienstleister?
Ist der Dienstleister für kritische Abläufe notwendig?
Welche Sicherheits- und Kontrollpflichten gelten vertraglich?
Was passiert bei Ausfall oder Anbieterwechsel?

Je stärker ein Prozess digital integriert oder ausgelagert ist, desto wichtiger wird die Steuerung der IKT-Risiken.

Wie Perk operative Transparenz unterstützen kann

Bereit, Ihr Ausgabenmanagement zu revolutionieren? Buchen Sie einfach eine Demo und wir zeigen Ihnen, wie.

FAQ – Fragen & Antworten rund um die DORA-Verordnung

: DORA steht für Digital Operational Resilience Act. Gemeint ist die EU-Verordnung 2022/2554 über digitale operationale Resilienz im Finanzsektor. Sie legt einheitliche Anforderungen an IKT-Risikomanagement, Informationssicherheit, Vorfallsmanagement, Resilienztests und den Umgang mit IKT-Drittdienstleistern fest.
: Die DORA-Verordnung gilt seit dem 17. Januar 2025 unmittelbar in der EU. Seit diesem Datum müssen betroffene Finanzunternehmen die Anforderungen der Verordnung anwenden.
: Ein IKT-Drittdienstleister ist ein externer Anbieter, der digitale oder technische Dienstleistungen für ein Finanzunternehmen erbringt. Dazu können Cloud-Anbieter, Softwareanbieter, Rechenzentren, IT-Sicherheitsdienste, Datenanalyse-Anbieter oder Infrastrukturpartner gehören.Unter DORA müssen Finanzunternehmen Risiken aus solchen Dienstleisterbeziehungen erfassen, bewerten und steuern.
: Die BaFin ist in Deutschland eine zentrale Aufsichtsbehörde für die Umsetzung der DORA-Verordnung. Sie überwacht, ob beaufsichtigte Unternehmen Anforderungen an IKT-Risiken, Cybersicherheit und digitale operationale Resilienz erfüllen.
: Im Fokus stehen vor allem dokumentierte IKT-Risiken, klare Verantwortlichkeiten, Vorfallsprozesse, Resilienztests, Dienstleistersteuerung und nachvollziehbare Kontrollen. Für Unternehmen ist deshalb wichtig, dass ihre DORA-Umsetzung nicht nur definiert, sondern auch prüfbar dokumentiert ist.

Gestalten Sie Geschäftsreisen und Ausgaben einfacher

Entdecken Sie unsere Plattform . Perk vereint Reisen, Ausgaben, Rechnungen und Kartenzahlungen in einer intelligenten Plattform, die Unternehmen hilft, den Überblick zu behalten und Angestellten mehr Zeit für echte Arbeit gibt.

Entdecken Sie unsere E-Books , Vorlagen und Artikel mit praktischen Tipps rund um Reisen und Ausgaben – von besseren Reiserichtlinien über effizienteres Ausgabenmanagement bis hin zu weniger manueller Arbeit und schnelleren Abschlüssen.

Verpassen Sie keine Neuigkeiten mehr. Folgen Sie uns auf Social Media und bleiben Sie über Produktneuheiten, kommende Events und relevante Inhalte auf dem Laufenden.

Empfohlene Artikel

7 Zeitfresser im Travel Management – und wie Sie sie reduzieren

Bequemlichkeit & Kontrolle

Reiseberatung vs. Online-Buchung: Was ist besser?

Bequemlichkeit & Kontrolle

So meistern Sie unerwartete Reiseunterbrechungen Ihrer Führungskraft

Bequemlichkeit & Kontrolle