--- title: DORA date: 2026-06-01T17:22:00+02:00 canonical_url: "https://www.fast-lta.de//de/glossar/dora" section: Glossar --- Der Digi­tal Ope­ra­tio­nal Resi­li­ence Act (DORA, EU 2022⁄2554) ist seit dem 17. Janu­ar 2025 ver­bind­lich anwend­bar. Er gilt für nahe­zu alle regu­lier­ten Finanz­markt­teil­neh­mer: Kre­dit­in­sti­tu­te, Ver­si­che­run­gen, Wert­pa­pier­fir­men, Zah­lungs­dienst­leis­ter, Asset Mana­ger, Spar­kas­sen und Genos­sen­schafts­ban­ken — mit gestuf­ten Anfor­de­run­gen nach Ver­hält­nis­mä­ßig­keit (Art. 4). Arti­kel 11 ver­pflich­tet Finanz­un­ter­neh­men, Back­up-Poli­ci­es zu erstel­len und die­se regel­mä­ßig zu tes­ten: Back­up-Sys­te­me müs­sen von Pro­duk­ti­ons­sys­te­men iso­liert sein, die Wie­der­her­stell­bar­keit muss regel­mä­ßig getes­tet und doku­men­tiert wer­den, Reco­very Time Objec­ti­ves (RTOs) und Reco­very Point Objec­ti­ves (RPOs) müs­sen für kri­ti­sche Sys­te­me defi­niert sein. Arti­kel 12 stellt kon­kre­te Anfor­de­run­gen an den tech­ni­schen Schutz von Back­up-Daten: Sie müs­sen vor unbe­fug­ter Ver­än­de­rung oder Löschung geschützt sein — auch durch kom­pro­mit­tier­te Admi­nis­tra­tor-Kon­ten. Object Lock im Gover­nan­ce Mode (durch Admins auf­heb­bar) erfüllt Art. 12 nicht voll­stän­dig; Com­pli­ance Mode mit Mul­ti-Per­son-Aut­ho­riza­ti­on oder ein phy­si­scher Air Gap auf Hard­ware-Ebe­ne sind die tech­nisch belast­ba­re­ren Lösungen. Arti­kel 28 – 30 regeln das IKT-Dritt­par­tei­en­ma­nage­ment: Alle kri­ti­schen IKT-Dritt­an­bie­ter müs­sen inven­ta­ri­siert, bewer­tet und ver­trag­lich auf DORA-Anfor­de­run­gen ver­pflich­tet wer­den — mit Klau­seln zu Audit-Rech­ten, Ver­füg­bar­keits-SLAs, Exit-Stra­te­gien und Daten­lo­ka­li­sie­rung. Für bestehen­de Ver­trä­ge gilt eine Über­gangs­frist bis zum 31. Dezem­ber 2026. ### Immutable Storage Immutable Storage bezeichnet Speichertechnologien, die gespeicherte Daten vor nachträglicher Veränderung oder Löschung schützen — wobei der entscheidende Unterschied darin liegt, ob dieser Schutz auf Hardware-Ebene (nicht umgehbar) oder auf Software-Ebene (durch Administratoren mit ausreichenden Rechten umgehbar) durchgesetzt wird. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/immutable-storage) ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) ## Fragen und Antworten #### Gilt DORA auch für kleinere Banken und Sparkassen? Ja — mit gestuften Anforderungen. DORA unterscheidet zwischen bedeutenden und weniger bedeutenden Instituten, sieht aber keine vollständige Ausnahme für kleinere Institute vor. Die Verhältnismäßigkeitsregelung (Art. 4) erlaubt eine risikobasierte Umsetzung. Die BaFin hat klargestellt, dass Backup-Anforderungen nach Art. 11 und 12 auch für kleinere Institute verbindlich sind. #### Was bedeutet „nachweisbar" in DORA Art. 12? DORA Art. 12 fordert, dass Backup-Systeme integer, isoliert und wiederherstellbar sind — und dass dies nachgewiesen werden kann. Prüfer akzeptieren keine rein prozessualen Nachweise. Erwartet werden: technische Konfigurationsdokumentation, regelmäßige Wiederherstellungstests mit protokollierten Ergebnissen und — bei Backup-Isolierung — ein Mechanismus, der die Isolierung durch technische Eigenschaft sicherstellt, nicht nur durch Konfiguration. Ein physischer Air Gap auf Hardware-Ebene ist das stärkste verfügbare Nachweismittel. #### Bis wann müssen bestehende IKT-Verträge auf DORA angepasst werden? Die Übergangsfrist für bestehende Verträge mit IKT-Drittanbietern läuft bis zum 31. Dezember 2026. Finanzunternehmen müssen prüfen, welche ihrer bestehenden Cloud- und Backup-Verträge DORA-konforme Klauseln enthalten — und ggf. nachverhandeln.