DORA Verordnung: Was Finanz- und Treasury-Teams jetzt wissen müssen
- 29. Juni
- 6 Min. Lesezeit

Die DORA-Verordnung ist Pflicht seit dem 17. Januar 2025. Der Digital Operational Resilience Act (DORA) ist eine EU-weite Regulierung zur Stärkung der digitalen operationalen Resilienz im Finanzsektor. Deswegen ist es kein reines IT-Thema. Es betrifft vor allem die Finanzabteilung mitsamt allen Prozessen, Zahlungsverkehren und Drittanbietern.
Die Verordnung deckt fünf zentrale Themenfelder ab. Dazu gehören:
IKT-Risikomanagement
Management und Meldung von IKT-Vorfällen
Tests der digitalen operationalen Resilienz
Management von Drittparteirisiken
Informationsaustausch über Cyberbedrohungen
Um DORA umzusetzen, braucht es eine klare Daten- und Prozesskontrolle. Moderne Treasury-Management-Systeme unterstützen Unternehmen dabei, regulatorische Anforderungen effizient zu erfüllen.
Was ist die DORA Verordnung?
DORA steht für „Digital Operational Resilience Act“. DORA-Verordnung auf deutsch bedeutet also so viel wie: Gesetz über die digitale Betriebsresilienz. Sie bietet einen einheitlichen regulatorischen Rahmen für digitale Resilienz in der gesamten EU. Der Fokus der DORA-EU-Verordnung liegt auf dem Finanzsektor. Finanzunternehmen sollen widerstandsfähiger gegen digitale Risiken sein. Sie sollen systematisch kontrolliert, erkannt und gesteuert werden. Auf Bedrohungen soll sich entsprechend durch Tests vorbereitet werden. Sollte es dennoch zu einem Vorfall kommen, sorgen Meldeprozesse für einen kontrollierten Ablauf. Banken, Versicherer, Wertpapierfirmen und weitere Finanzunternehmen sollen damit besser vorbereitet sein.
Seit wann gilt DORA und ist die DORA Verordnung verpflichtend?
Die DORA Verordnung wurde am 27. Dezember 2022 im Amtsblatt der Europäischen Union veröffentlicht. Die öffentliche Bezeichnung lautet: DORA Verordnung (EU) 2022/2554. In Kraft trat die Verordnung am 16. Januar 2023. Von diesem Zeitpunkt an hatten Unternehmen 2 Jahre Zeit, die Maßnahmen umzusetzen. Seit dem 17. Januar 2025 ist das Gesetz nun verpflichtend in allen EU-Mitgliedstaaten anzuwenden. Die Aufsichtsbehörde überwacht die Umsetzung. Wer gegen die Verordnung verstößt, muss mit regulatorischen Konsequenzen rechnen.
Was bedeutet das praktisch für Unternehmen?
Compliance darf nicht mehr auf Dokumente beschränkt bleiben. Die regulatorischen Anforderungen müssen aktiv in die operativen Prozesse integriert werden. Verantwortlichkeiten müssen klar definiert und dokumentiert sein. Nachweise über Kontrollen, Tests und Risikomanagement müssen jederzeit verfügbar sein.
Wer muss DORA umsetzen?
Die DORA-Verordnung betrifft nicht nur Banken. Sie betrifft den gesamten europäischen Finanzsektor. Hier finden Sie die wichtigsten Akteure, die DORA umsetzen müssen:
Direkt betroffen | Indirekt beteiligt | Relevante interne Stakeholder |
Banken | Cloud-Anbieter | Treasury |
Zahlungsdienstleister | Software-Anbieter | Finance |
Versicherungen | IT-Outsourcing-Partner | Risk Management |
Wertpapierfirmen | Rechenzentren | Compliance |
Investmentgesellschaften | Managed-Service-Provider | IT |
Krypto-Dienstleister | Zahlungsdienstleister | Interne Revision |
Auch relevante Informations- und Kommunikationstechnologie (IKT)-Drittanbieter stehen im Fokus. Sie können direkt von europäischen Aufsichtsbehörden überwacht werden. Das kommt durch die indirekten Anforderungen durch Kunden aus dem Finanzbereich.
Warum DORA auch Treasury- und Finance-Teams betrifft
Bei Verordnungen zur digitalen Betriebsresilienz steht zunächst meist die IT-Abteilung im Fokus. DORA betrifft jedoch nicht nur IT-Systeme. Alle Finanzprozesse müssen genauer unter die Lupe genommen werden. Vor allem Treasury und Finance verwalten hierbei zahlreiche operative Kontrollpunkte, unter anderem:
Zahlungsverkehr.
Bankanbindungen.
ERP-Integrationen.
Liquiditätsdaten.
Benutzerrechte.
Freigabeprozesse.
Reporting.
Für die DORA-Verordnung-Umsetzung müssen alle Prozesse kontrolliert und optimiert werden. Ein Treasury Management System kann dabei helfen. Es automatisiert die Prozesse unter Einhaltung der Compliance. So werden manuelle Fehler vermieden und Echtzeit-Transparenz gewährleistet.
Die 5 Säulen der DORA Regulierung
Zur besseren Umsetzung gliedert die DORA-Verordnung ihre Anforderungen in fünf zentrale Themenfelder. Damit sollen Finanzunternehmen digitale Risiken erkennen, kontrollieren und im Krisenfall handlungsfähig bleiben.
1. IKT-Risikomanagement
IKT steht für Informations- und Kommunikationstechnologie. Sie ist ein zentraler Bestandteil sicherer Prozesse. Mit DORA sollen IKT-Risiken systematisch identifiziert, bewertet und gesteuert werden. Sie sollten ständig überwacht werden. Zugriffe und Freigaben sollten stets dokumentiert werden.
Relevante Fragen:
Welche Systeme sind kritisch?
Wer hat Zugriff?
Wo entstehen manuelle Medienbrüche?
2. IKT-Vorfallmanagement und Meldewesen
Die DORA-Verordnung verpflichtet Unternehmen zur Einrichtung eines strukturierten Vorfallmanagements. IKT-bezogene Vorfälle müssen erkannt, bewertet und dokumentiert werden. Die Auswirkungen von IT-Störungen und Cyberangriffen sollen somit frühzeitig begrenzt werden. Bei schwerwiegenden IKT-Vorfällen gibt die Bundesbank Anforderungen vor. Diese Fälle müssen klassifiziert und formell gemeldet werden.
Typischer DORA-Prozess:
Erkennen → Klassifizieren → Eskalieren → Melden → Dokumentieren → Nachbereiten
3. Tests der digitalen operationalen Resilienz
Die DORA-Verordnung verlangt regelmäßige Tests der digitalen Resilienz. Bei diesen Tests wird die Widerstandsfähigkeit von Systemen, Anwendungen und Prozessen getestet. Potenzielle Schwachstellen und Risiken sollen somit frühzeitig erkannt werden. Dank der Tests können Sicherheits- und Kontrollmaßnahmen kontinuierlich verbessert werden. Bestimmte Finanzunternehmen unterliegen erweiterten Anforderungen. Sie müssen sogenannte Threat-Led Penetration Testing (TLPT) umsetzen. Dieser Test ist eine realitätsnahe Simulation gezielter Cyberangriffe.
Zentrale Frage:
Ist das Finanz- oder Treasuryteam auch bei einem Cyberangriff weiterhin handlungsfähig?
4. IKT-Drittparteienrisiko
Die DORA EU-Verordnung verpflichtet Unternehmen, Risiken durch externe IKT-Dienstleister aktiv zu steuern. Unternehmen werden immer abhängiger von Cloud-, Software- und Technologieanbietern. Das bringt einige Risiken mit sich, unter anderem:
Drittanbieter-Typ | Risiko | Erforderlicher Nachweis | Treasury-Relevanz |
Bank | Ausfall von Kontoinformationen | Notfall- und Eskalationsprozesse | Kontostände, Zahlungsverkehr |
ERP-Anbieter | Unterbrechung von Datenflüssen | Dokumentierte Schnittstellen und Kontrollen | Forecasting, Reporting |
Treasury-Software | Ausfall zentraler Finanzprozesse | Wiederherstellungs- und Backup-Konzepte | Liquiditätsman-agement |
Zahlungsdienst-leister | Verzögerte Transaktionen | Risikobewertung und Monitoring | Zahlungsfähig-keit |
Cloud-Anbieter | Verfügbarkeitspro-bleme | Vertrags- und Resilienznachweise | Betrieb kritischer Systeme |
5. Informationsaustausch
Finanzunternehmen sollen neue Angriffsmuster und Schwachstellen frühzeitig erkennen. Dafür macht ein ständiger Austausch auch unter den Unternehmen Sinn. So können Risiken noch schneller erkannt und bewältigt werden.
Umsetzungs-Checkliste für CFOs und Treasury Manager:
Kritische Finanzsysteme erfassen
Datenflüsse dokumentieren
Rollen und Berechtigungen überprüfen
Zahlungsfreigaben absichern
Drittanbieter erfassen und bewerten
Audit Trails sicherstellen
Incident- und Notfallprozesse testen
Von Excel-Chaos zu kontrollierbaren Finanzprozessen
Viele Finanzprozesse basieren noch auf manuellen Tabellen und dezentralen Datenquellen. Das bietet ein großes Risikopotenzial für Unternehmen. Ein Treasury Management System kann diese Prozesse und Daten zentralisieren. Es automatisiert relevante Abläufe, was die Fehleranfälligkeit deutlich reduziert. Verantwortlichkeiten und Prozesse werden DORA-gerecht dokumentiert. Berechtigungen werden klar strukturiert. Das bietet erhöhte Betriebsresilienz und Sicherheit bei Betriebsprüfungen.
Wie moderne Treasury-Systeme die DORA-Compliance unterstützen
Die DORA-Verordnung schreibt keine bestimmte Software vor. Jedoch sollte ein TMS bestimmte Anforderungen erfüllen, um DORA gerecht zu werden. Financial Navigator verbindet diese Anforderungen auf einer Plattform. Das erleichtert:
Transparenz.
Auditierbarkeit.
Sichere Zahlungsprozesse.
Bank-/ERP-Integration.
Rechteverwaltung.
Zentrale Datenbasis.
Echtzeit-Dashboards.
Prüfen Sie, welche Treasury-Prozesse heute noch manuell dokumentiert werden. Erhöhen Sie Compliance und Sicherheit Ihres Unternehmens mit einem TMS.
Single Source of Truth für Liquidität und Zahlungsprozesse
Viele Unternehmen arbeiten mit Daten aus unterschiedlichen Quellen. Relevante Daten können aus Bankportalen, ERP-Systemen, Excel-Dateien oder Zahlungsplattformen kommen. Das ist mit einem hohen Aufwand, Fehleranfälligkeit und Sicherheitsrisiko verbunden. Eine zentrale Datenbasis hingegen schafft Transparenz. Sie bietet eine konsolidierte Sicht auf Kontostände, Zahlungen und Liquidität. Finanzdaten sind immer aktuell und präzise. Das verbessert die Liquiditätsplanung und das Treasury Management. Es erleichtert außerdem die Umsetzung der DORA-Verordnung, da Prozesse systematisch, nachvollziehbar und dokumentiert sind.
Audit Trails, Berechtigungen und Freigabeprozesse
Die DORA-Verordnung verlangt nachvollziehbare und kontrollierbare Prozesse. Mit einem TMS sind Berechtigungen und Freigabeprozesse genau geregelt. Sogenannte Audit Trails schaffen Nachvollziehbarkeit. Sie dienen als Protokoll von Änderungen, Freigaben und Benutzeraktivitäten. Das gewährleistet eine lückenlose Dokumentation aller Finanzprozesse. Vor allem für den Zahlungsverkehr ist das relevant.
DORA Verordnung Zusammenfassung: Was Finanzverantwortliche mitnehmen sollten
Die DORA-Verordnung ist verpflichtend für alle Unternehmen im Finanzsektor. Sie betrifft vor allem Unternehmen aus den EU-Mitgliedsstaaten. Die Verordnung kann jedoch auch indirekt weitere Unternehmen betreffen. DORA soll dafür sorgen, den Finanzsektor resilienter gegen digitale Risiken zu machen.
Seit dem 17. Januar 2025 ist die DORA-Verordnung verpflichtend. Unternehmen müssen hier insbesonders die 5 Säulen der DORA-Verordnung beachten:
IKT-Risikomanagement
Vorfallmanagement und Meldepflichten
Resilienztests
Management von Drittparteirisiken
Informationsaustausch
Um den regulatorischen Anforderungen gerecht zu werden, setzen Unternehmen vermehrt auf Finanzsysteme. Sie automatisieren und optimieren Prozesse und erkennen risikobehaftete Abläufe. So steigt die Transparenz im Zahlungsverkehr sowie die Nachvollziehbarkeit von Entscheidungen.
Die DORA-Verordnung ist kein reines IT-Projekt. Für Finanzverantwortliche bedeutet sie vor allem mehr Transparenz, Kontrolle und Nachweisbarkeit.
DORA-Compliance im Treasury vereinfachen
Mit Financial Navigator zentralisieren Sie Treasury-Prozesse, erhöhen die Transparenz und schaffen nachvollziehbare Abläufe.
FAQ zur DORA Verordnung
Was ist die DORA-Richtlinie?
DORA (Digital Operational Resilience Act) ist eine EU-Verordnung zur Stärkung der digitalen Resilienz im Finanzsektor. Sie verpflichtet Finanzunternehmen, IKT-Risiken zu steuern, Vorfälle zu melden und ihre Systeme widerstandsfähig gegen Cyberangriffe und Ausfälle zu machen.
Wer muss DORA umsetzen?
DORA gilt für Banken, Versicherungen, Zahlungsdienstleister, Investmentgesellschaften, Krypto-Dienstleister und weitere regulierte Finanzunternehmen. Auch kritische IKT-Dienstleister können indirekt oder direkt von den Anforderungen betroffen sein.
Was sind die 5 Säulen der DORA-Regulierung?
Die fünf Säulen sind:
IKT-Risikomanagement
IKT-Vorfallmanagement
Digitale Resilienztests
Management von IKT-Drittparteirisiken
Informationsaustausch
Gemeinsam sollen sie die digitale Widerstandsfähigkeit von Finanzunternehmen stärken.
Ist die DORA-Verordnung verpflichtend?
Ja, die DORA-Verordnung ist seit dem 17. Januar 2025 verbindlich anzuwenden. Als EU-Verordnung gilt sie unmittelbar in allen Mitgliedstaaten und benötigt keine nationale Umsetzung.
Wo finde ich den DORA-Verordnung Text oder PDF?
Den offiziellen DORA-Verordnung Text finden Sie auf EUR-Lex unter der Verordnung (EU) 2022/2554. Weitere Informationen und Praxishinweise bieten die BaFin und die Deutsche Bundesbank.