DORA (Digital Operational Resilience Act)

DORA (EU-Verordnung 2022/2554) ist seit Januar 2025 in Kraft und legt einheitliche Anforderungen an die digitale operative Resilienz für Finanzunternehmen und ihre IKT-Dienstleister in der EU fest. Sie umfasst ICT-Risikomanagement, Meldepflichten bei schwerwiegenden Vorfällen, Drittparteienrisikomanagement und DORA-spezifische Penetrationstests (TLPT). Für IT-Dienstleister, die Finanzunternehmen beliefern, bedeutet DORA erhöhte vertragliche Anforderungen, die in Ausschreibungsunterlagen zu spezifizieren sind.