Zum Inhalt springen
Compliance-Leitfaden

DORA erklärt: Auswirkungen auf den Software-Einkauf im Finanzsektor

DORA tritt am 17. Jänner 2025 in Kraft und verändert grundlegend, wie Finanzorganisationen Software einkaufen und Verträge abschließen. Das ist alles, was Sie über die fünf Säulen, die vertraglichen Anforderungen und die Auswirkungen auf das Lieferantenmanagement wissen müssen.

  • 1. Februar 2025
  • 5 Min.
  • DORA – Digital Operational Resilience Act

DORA, die Digital Operational Resilience Act, tritt am 17. Jänner 2025 in allen EU-Mitgliedstaaten in Kraft. Für Finanzorganisationen und deren IT-Dienstleister ändert sich grundlegend etwas: Digitale Widerstandsfähigkeit ist kein rein internes IT-Thema mehr, sondern eine regulierte Unternehmenspflicht mit Aufsicht und Strafen.

Was ist DORA?

DORA ist eine EU-Verordnung, keine Richtlinie, sondern unmittelbar anwendbares Recht, das die digitale operationelle Widerstandsfähigkeit des Finanzsektors reguliert. Die Verordnung ist Teil des Digital Finance Package und gilt für 20 Kategorien von Finanzunternehmen, von Banken und Versicherungen bis hin zu Fintechs und Krypto-Dienstleistern.

Die fünf Säulen von DORA

DORA strukturiert ihre Anforderungen rund um fünf Kernbereiche:

  • IT-Risikomanagement: Ein umfassender Rahmen zur Identifikation, Klassifikation und Steuerung von IT-Risiken

  • Incident-Reporting: Große IT-Vorfälle müssen innerhalb strenger Fristen den Aufsichtsbehörden gemeldet werden

  • Tests der digitalen Resilienz: Regelmäßige Penetrationstests und Resilienz-Szenarien für kritische Systeme

  • Management von Drittparteirisiken: Vertragliche Verpflichtungen, Lieferantenregister und Konzentrationsrisiko-Analyse

  • Informationsaustausch: Proaktives Teilen von Bedrohungsinformationen innerhalb der Branche

Was bedeutet DORA für den Software-Einkauf?

Die vierte Säule, das Management von Drittparteirisiken, hat direkte Auswirkungen darauf, wie Finanzorganisationen Software einkaufen und Verträge abschließen:

  • Vertragliche Mindestanforderungen: Jeder IT-Vertrag muss Klauseln zu SLA, Vorfallmeldung, Prüfungsrechten, Exit-Plan, Datenstandort und Kontinuität enthalten

  • IT-Lieferantenregister: Ein aktuelles und vollständiges Register aller IT-Lieferanten ist verpflichtend und muss den Aufsichtsbehörden zur Verfügung stehen

  • Konzentrationsrisiko: Zu starke Abhängigkeit von einem einzigen Anbieter (z.B. ein Cloud-Provider) muss bewertet und gemeldet werden

  • Subunternehmer: Auch Subunternehmer von Ihren Lieferanten fallen in den DORA-Anwendungsbereich

SoftVaro unterstützt Finanzorganisationen dabei, ihre Softwaresysteme zu erfassen und Verträge DORA-konform zu gestalten.

Häufig gestellte Fragen

Die meistgestellten Fragen zu diesem Thema.

Für wen gilt DORA?

DORA gilt für Banken, Versicherungen, Investmentfonds, Zahlungsinstitute, Krypto-Dienstleister, Pensionsfonds und alle IT-Dienstleister, die kritische Services für diese Einrichtungen erbringen.

Gilt DORA auch für meinen Softwareanbieter?

Ja. Wenn Sie Software oder IT-Dienstleistungen an ein Finanzinstitut liefern, das unter DORA fällt, sind Sie als IT-Dienstleister verpflichtet, die vertraglichen DORA-Anforderungen zu erfüllen, die Ihnen das Finanzinstitut auferlegt. Kritische IT-Dienstleister können zudem direkt der EU-Aufsicht unterliegen.

Welche Strafen gibt es bei Nichteinhaltung von DORA?

Strafen können bis zu 2 % des weltweiten Gesamtjahresumsatzes betragen. Für kritische IT-Dienstleister, die direkt der EU-Aufsicht unterliegen, gelten zusätzliche Sanktionen.

Bereit, bei Software zu sparen?

SoftVaro verhandelt für dich die besten Angebote bei über 4.000 Anbietern. Unabhängig, transparent, innerhalb von 24 Stunden.

Entdecke deine Ersparnis

Mehr aus dem Wissensportal

Fachartikel

Was ist Tail Spend Management bei Software?

Mehr lesenFachartikel

Was ist Shadow IT und warum stellt sie ein Risiko dar?

Mehr lesenFachartikel

Was ist Vendor-Konsolidierung und wie geht man sie an?

Mehr lesenCompliance-Leitfaden

NIS2: alles, was Sie über das Cybersicherheitsgesetz und den Softwareeinkauf wissen müssen

Mehr lesenFachartikel

Software-Audits: Wie funktionieren sie und wie schützt man sich?

Mehr lesenFachartikel

Software-Lizenzmodelle erklärt: Subscription, Perpetual und nutzungsbasiert

Mehr lesen

Sprache ändern

Weitere Seiten

Cookie-Einstellungen

Wählen Sie pro Kategorie, was wir platzieren dürfen. Streng notwendige Cookies können nicht deaktiviert werden.

  • Externe Analytics (Google)

    Google Analytics 4 zur Produktverbesserung: Seitenaufrufe, Verweildauer, Klicks. Zusätzlich zu unserem datenschutzfreundlichen Umami (immer aktiv, keine Zustimmung erforderlich). Datenübertragung an Google in die USA — gemäß Standardvertragsklauseln.

  • Marketing

    Leadinfo identifiziert Unternehmen, die die Seite besuchen, anhand der IP-Adresse für B2B-Lead-Nachverfolgung. Keine personenbezogenen Daten einzelner Besucher.

  • Streng notwendig

    Für die grundlegende Funktion der Seite: Sprachpräferenz, Sitzungsverwaltung. Keine Drittanbieter.

    Immer aktiv

Keine Umami-Messung

Umami fällt unter die Analytics-Ausnahme und erfordert keine Zustimmung, aber Sie können der Messung widersprechen.