Verordnung (EU) 2022/2554 (DORA)

; Verordnung (EU) 2022/2554
Text von Bedeutung für den EWR
Titel:	Verordnung (EU) 2022/2554 des europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011
Kurztitel:	Verordnung zur digitalen operationalen Resilienz
Bezeichnung:; (nicht amtlich)	DORA, Digital Operational Resilience Act
Geltungsbereich:	EWR
Rechtsmaterie:	Informationstechnologie, Informationssicherheit, Digitalisierung, Cloud-Computing, Auslagerung, Finanzdienstleistungen, Finanztechnologie, Risikomanagement, digitaler Binnenmarkt
Grundlage:	AEUV, insbesondere Art. 114
Datum des Rechtsakts:	14.12.2022
Veröffentlichungsdatum:	27.12.2022
Inkrafttreten:	17.01.2023
Anzuwenden ab:	17.01.2025
Fundstelle:	ABl. L 333/1, 27.12.2022, S. 1–79
Volltext	Konsolidierte Fassung (nicht amtlich); Grundfassung
Regelung ist in Kraft getreten und anwendbar.
Hinweis zur geltenden Fassung von Rechtsakten der Europäischen Union

Mit der Verordnung (EU) 2022/2554 verpflichtet die Europäische Union Finanzunternehmen zur Stärkung ihrer digitalen operationalen Resilienz. Auch im deutschsprachigen Raum haben sich die englische Bezeichnung „Digital Operational Resilience Act“ und deren Abkürzung DORA etabliert.

DORA enthält Vorgaben für die Resilienz von IKT-Systemen für verschiedene Arten von Finanzunternehmen, wie beispielsweise für Kreditinstitute (Banken) und Versicherungsunternehmen sowie für deren IKT-Dienstleister. Die Verordnung betrifft in der Europäischen Union schätzungsweise 22.000 Finanzunternehmen, davon 3.600 in Deutschland.

DORA enthält neun Kapitel und umfasst in der deutschen Version 79 A4-Textseiten. Die Verordnung wird zudem durch Level-2- und Level-3-Rechtsakte um zahlreiche weitere Anforderungen ergänzt. Die EU-Kommission und ESAs veröffentlichen Auslegungsentscheidungen im Rahmen des „Single-Rulebook-Q&A-Prozesses“. Außerdem gibt es Veröffentlichungen der nationalen Aufsichtsbehörden.

↑ Jens Obermöller: DORA: Der Countdown läuft. In: bafin.de. Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), 27. Februar 2024, abgerufen am 25. Januar 2025.
↑ Patrik Buchmüller, Jens Gampe, Sandra Schmolz: Praxiskommentar BAIT und DORA: bankaufsichtliche Anforderungen an die IT und Digital Operational Resilience Act. 1. Auflage. Schäffer-Poeschel, Stuttgart 2025, ISBN 978-3-7910-5468-1, S. 249. Fehler in Vorlage:Literatur – *** Parameterproblem: Dateiformat/Größe/Abruf nur bei externem Link
↑ Q&A-Prozess der EBA. In: gabler-banklexikon.de. Abgerufen am 12. März 2026.
↑ DORA - Digital Operational Resilience Act. In: bafin.de. Bundesanstalt für Finanzdienstleistungsaufsicht, abgerufen am 22. Januar 2024.

[1] Jens Obermöller: DORA: Der Countdown läuft. In: bafin.de. Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), 27. Februar 2024, abgerufen am 25. Januar 2025.

[2] Patrik Buchmüller, Jens Gampe, Sandra Schmolz: Praxiskommentar BAIT und DORA: bankaufsichtliche Anforderungen an die IT und Digital Operational Resilience Act. 1. Auflage. Schäffer-Poeschel, Stuttgart 2025, ISBN 978-3-7910-5468-1, S. 249. Fehler in Vorlage:Literatur – *** Parameterproblem: Dateiformat/Größe/Abruf nur bei externem Link

[3] Q&A-Prozess der EBA. In: gabler-banklexikon.de. Abgerufen am 12. März 2026.

[:1-4] DORA - Digital Operational Resilience Act. In: bafin.de. Bundesanstalt für Finanzdienstleistungsaufsicht, abgerufen am 22. Januar 2024.