DORA Anwendungs-Check Indikatoren für Pflichten unter der Verordnung über digitale operationale Resilienz — in 90 Sekunden geprüft.
Diese Vorab-Einschätzung ist keine Rechtsberatung. Sie liefert Kriterien zur Selbstprüfung anhand der Verordnung (EU) 2022/2554. Verbindliche Auskünfte erteilt Ihre zuständige Aufsichtsbehörde oder ein Rechtsanwalt.
1. Welcher Entitätstyp trifft auf Sie zu? Art. 2 listet 20 Kategorien Finanzunternehmen (lit. a-t) plus IKT-Drittdienstleister (lit. u) — u.a. Kreditinstitute, Zahlungs- und E-Geld-Institute, Wertpapierfirmen, Krypto-Dienstleister, Handelsplätze, zentrale Kontrahenten, Versicherungs- und Rückversicherungsunternehmen, Verwaltungsgesellschaften, AIFM, Ratingagenturen.
Finanzunternehmen nach Art. 2 Abs. 1 IKT-Drittdienstleister mit Finanzkunden Weder noch
2. Greifen die Größenfreistellungen für Kleinst-/Klein-/Mittel-Finanzunternehmen? Art. 16: vereinfachter Rahmen für bestimmte kleine und nicht verflochtene Wertpapierfirmen, Zahlungsinstitute mit PSD2-Ausnahme, von RL 2013/36/EU befreite Institute, von RL 2009/110/EG befreite E-Geld-Institute und kleine Einrichtungen der betrieblichen Altersversorgung. Microenterprise nach KMU-Empfehlung 2003/361/EG: <10 MA UND (Bilanzsumme oder Jahresumsatz) <2 Mio EUR.
Ja — wir liegen unter den Schwellen für vereinfachten Rahmen Nein, voll DORA-pflichtig Unklar
3. Existiert ein dokumentiertes IKT-Risikomanagement-Rahmenwerk? Art. 5-15: Strategie, Steuerung, Identifikation, Schutz und Prävention, Erkennung, Reaktion und Wiederherstellung. Art. 5 verlangt Genehmigung durch das Leitungsorgan.
Ja, vom Leitungsorgan genehmigt Entwurf Nein
4. Existiert ein vollständiges Register aller IKT-Drittdienstleister? Art. 28 Abs. 3: Register pro Funktionskategorie, kritische oder wichtige Funktionen gekennzeichnet. Jährliche Meldung an Aufsichtsbehörde.
Ja, vollständig und aktuell Teilweise Nein
5. Ist der Meldeweg für schwerwiegende IKT-Vorfälle eingerichtet? Art. 17-23: Klassifizierung nach RTS, Erstmeldung, Zwischen- und Abschlussbericht. Meldefristen folgen der Durchführungsverordnung (EU) 2025/302.
Ja, getestet und dokumentiert Entwurf Nein
Vorab-Einschätzung anzeigen Zurücksetzen
Primärquellen 32022R2554 — Verordnung (EU) 2022/2554 — DORA — Art. 2 (Anwendungsbereich, 20 Kategorien Finanzunternehmen + IKT-Drittdienstleister), Art. 5-15 (IKT-Risikomanagement), Art. 16 (vereinfachter Rahmen), Art. 17-23 (Vorfallsmeldung), Art. 24-27 (Resilienztests, TLPT), Art. 28-30 (Drittparteienrisiko), Art. 31 ff. (kritische IKT-Drittdienstleister) BaFin — DORA — Zuständige nationale Aufsichtsbehörde in Deutschland Rechtsstand: 2026-05-08 · Anwendbar seit 17.1.2025, RTS und ITS gestaffelt erlassen · In Kraft
Vollständiger Wissensartikel zu 32022R2554 →