DORA

Der Digi­tal Ope­ra­tio­nal Resi­li­ence Act (DORA, EU ²⁰²²⁄₂₅₅₄) ist seit dem 17. Janu­ar 2025 ver­bind­lich anwend­bar. Er gilt für nahe­zu alle regu­lier­ten Finanz­markt­teil­neh­mer: Kre­dit­in­sti­tu­te, Ver­si­che­run­gen, Wert­pa­pier­fir­men, Zah­lungs­dienst­leis­ter, Asset Mana­ger, Spar­kas­sen und Genos­sen­schafts­ban­ken — mit gestuf­ten Anfor­de­run­gen nach Ver­hält­nis­mä­ßig­keit (Art. 4).

Arti­kel 11 ver­pflich­tet Finanz­un­ter­neh­men, Back­up-Poli­ci­es zu erstel­len und die­se regel­mä­ßig zu tes­ten: Back­up-Sys­te­me müs­sen von Pro­duk­ti­ons­sys­te­men iso­liert sein, die Wie­der­her­stell­bar­keit muss regel­mä­ßig getes­tet und doku­men­tiert wer­den, Reco­very Time Objec­ti­ves (RTOs) und Reco­very Point Objec­ti­ves (RPOs) müs­sen für kri­ti­sche Sys­te­me defi­niert sein.

Arti­kel 12 stellt kon­kre­te Anfor­de­run­gen an den tech­ni­schen Schutz von Back­up-Daten: Sie müs­sen vor unbe­fug­ter Ver­än­de­rung oder Löschung geschützt sein — auch durch kom­pro­mit­tier­te Admi­nis­tra­tor-Kon­ten. Object Lock im Gover­nan­ce Mode (durch Admins auf­heb­bar) erfüllt Art. 12 nicht voll­stän­dig; Com­pli­ance Mode mit Mul­ti-Per­son-Aut­ho­riza­ti­on oder ein phy­si­scher Air Gap auf Hard­ware-Ebe­ne sind die tech­nisch belast­ba­re­ren Lösungen.

Arti­kel 28 – 30 regeln das IKT-Dritt­par­tei­en­ma­nage­ment: Alle kri­ti­schen IKT-Dritt­an­bie­ter müs­sen inven­ta­ri­siert, bewer­tet und ver­trag­lich auf DORA-Anfor­de­run­gen ver­pflich­tet wer­den — mit Klau­seln zu Audit-Rech­ten, Ver­füg­bar­keits-SLAs, Exit-Stra­te­gien und Daten­lo­ka­li­sie­rung. Für bestehen­de Ver­trä­ge gilt eine Über­gangs­frist bis zum 31. Dezem­ber 2026.