EU AI Act Annex-III-Deadline — 2. Dezember 2027 (Omnibus) Jetzt prüfen →
← EU AI Act Übersicht
Finanzsektor · DORA

DORA: Digitale Resilienz im Finanzsektor

DORA schafft einen einheitlichen Rahmen für die digitale operationale Resilienz von Finanzunternehmen in der EU. Wo Finanzinstitute KI einsetzen, treffen DORA und der EU AI Act aufeinander.

Das Wichtigste in Kürze

Der Digital Operational Resilience Act (DORA, EU 2022/2554) gilt seit Januar 2025 unmittelbar für den EU-Finanzsektor. Er verlangt, dass Finanzunternehmen IKT-Risiken systematisch managen, ihre digitale Widerstandsfähigkeit testen und das Risiko aus IKT-Drittdienstleistern kontrollieren. KI-Systeme zählen dabei als IKT-Assets und fallen unter das IKT-Risikomanagement.

Wer ist betroffen?

DORA erfasst rund 20 Kategorien von Finanzunternehmen: Kreditinstitute, Zahlungs- und E-Geld-Institute, Wertpapierfirmen, Krypto-Dienstleister, Handelsplätze, zentrale Gegenparteien, Versicherungs- und Rückversicherungsunternehmen, Vermittler, Verwalter alternativer Investmentfonds, Ratingagenturen und weitere. Hinzu kommen kritische IKT-Drittdienstleister, die unter direkte Aufsicht der europäischen Aufsichtsbehörden gestellt werden können.

Die fünf Säulen von DORA

  • IKT-Risikomanagement: Governance-Rahmen, Identifikation, Schutz, Erkennung, Reaktion und Wiederherstellung — Verantwortung beim Leitungsorgan.
  • Vorfallmanagement: Klassifikation und Meldung schwerwiegender IKT-bezogener Vorfälle an die Aufsicht.
  • Resilienz-Tests: regelmässige Tests, für bedeutende Institute auch Threat-Led Penetration Testing (TLPT).
  • IKT-Drittparteienrisiko: Register aller Dienstleister, Vertragsanforderungen, Konzentrationsrisiko-Steuerung.
  • Informationsaustausch: freiwilliger Austausch über Cyberbedrohungen zwischen Finanzunternehmen.

Schnittstelle zum EU AI Act

Viele Finanz-KI-Anwendungen — etwa Kreditscoring oder Versicherungs-Risikobewertung — sind nach Annex III Nr. 5 EU AI Act hochrisikoreich. Dann gelten beide Regime: Der AI Act verlangt KI-spezifische Pflichten (Risikomanagement Art. 9, Daten-Governance Art. 10, Aufsicht Art. 14), DORA verlangt, dasselbe KI-System als IKT-Asset in das operationale Resilienz-Management einzubeziehen. Sinnvoll ist ein integriertes Vorgehen. Unser Sektor-Überblick Finanzdienstleistungen, der Vergleich EU AI Act vs. DORA und der FRIA-Glossareintrag vertiefen die Verzahnung.

DACH-Kontext

Deutschland

DORA gilt unmittelbar; die BaFin ist zuständige Aufsicht und hat ihre IKT-Anforderungen (BAIT) an DORA angeglichen.

Österreich

DORA gilt unmittelbar; die FMA beaufsichtigt die Einhaltung im österreichischen Finanzsektor.

Schweiz

Keine direkte DORA-Geltung. Die FINMA verfolgt mit ihren Vorgaben zu operationellen Risiken und IKT eine verwandte Linie; mittelbare Betroffenheit über EU-Geschäft und Dienstleisterrollen.

Häufige Fragen

Seit wann gilt DORA?

DORA (Verordnung EU 2022/2554) gilt seit dem 17. Januar 2025 unmittelbar in allen EU-Mitgliedstaaten. Als Verordnung — nicht Richtlinie — bedarf sie keiner nationalen Umsetzung und gilt direkt.

Gilt DORA für Schweizer Finanzunternehmen?

DORA gilt nicht direkt in der Schweiz. Schweizer Finanzinstitute können aber betroffen sein, wenn sie EU-Niederlassungen haben oder als IKT-Drittdienstleister für EU-Finanzunternehmen agieren. Die FINMA verfolgt mit ihren Anforderungen an operationelle Risiken und IKT eine inhaltlich verwandte Linie.

Wie hängen DORA und der EU AI Act zusammen?

Setzt ein Finanzunternehmen KI in regulierten Prozessen ein (z.B. Kreditscoring, Annex III Nr. 5 EU AI Act), greifen beide: DORA verlangt IKT-Risikomanagement und Resilienz, der AI Act verlangt KI-spezifische Pflichten (Art. 9-15). KI-Systeme sind aus DORA-Sicht IKT-Assets und unterliegen dem IKT-Risikomanagement.

Wer ist von DORA betroffen?

DORA erfasst rund 20 Arten von Finanzunternehmen: Banken, Versicherer, Wertpapierfirmen, Zahlungsdienstleister, Krypto-Dienstleister, Handelsplätze, Ratingagenturen u.a. — sowie kritische IKT-Drittdienstleister, die diese beliefern.

Was sind die Kernpflichten von DORA?

Fünf Säulen: IKT-Risikomanagement, Behandlung und Meldung IKT-bezogener Vorfälle, Tests der digitalen operationalen Resilienz (inkl. Threat-Led Penetration Testing), Management des IKT-Drittparteienrisikos und Informationsaustausch über Cyberbedrohungen.

Zuletzt geprüft: 5. Juni 2026 · Herausgeber: Innopulse Consulting GmbH, Zug · Dieser Beitrag ist eine allgemeine Information und ersetzt keine Rechtsberatung.

Setzen Sie KI im Finanzbereich ein?

Der kostenlose Quick-Check klärt, ob Ihre KI-Anwendung unter Annex III fällt und welche Pflichten neben DORA gelten.

Kostenloser EU AI Act Quick-Check →
DORA 2026: Digital Operational Resilience Act für Finanzunternehmen | ai-risk-check.com