Compliance-Lexikon · DORA
DORA Anwendungsbereich
auch: DORA-Geltungsbereich, DORA-Scope
Der DORA-Anwendungsbereich definiert, welche Organisationen den Digital-Operational-Resilience-Act-Anforderungen unterliegen - nahezu alle Finanzunternehmen (Banken, Versicherungen, Zahlungsdienstleister, Wertpapierfirmen, Krypto-Dienstleister u.a.) sowie kritische IKT-Drittanbieter, die direkt von den ESAs beaufsichtigt werden koennen.
Warum DORA nahezu den gesamten Finanzsektor erfasst
DORA gilt seit Januar 2025 fuer eine breite Palette von Finanzunternehmen: Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, Wertpapierfirmen, Versicherungs- und Rueckversicherungsunternehmen, Krypto-Dienstleister, Crowdfunding-Plattformen und viele weitere. Auch kleine Finanzunternehmen sind grundsaetzlich erfasst, profitieren jedoch vom Proportionalitaetsprinzip mit angepassten Anforderungen.
Wo der DORA-Anwendungsbereich relevant ist
| Framework | Referenz | Anforderung |
|---|---|---|
| DORA | Art. 2 | Anwendungsbereich: Vollstaendige Liste der erfassten Finanzunternehmenskategorien. |
| DORA | Art. 31 | Kritische IKT-Drittanbieter: Erweiterung des Anwendungsbereichs auf bestimmte Technologieanbieter. |
| DORA | Art. 4 | Proportionalitaetsprinzip: Anforderungen skalieren nach Groesse und Risikoprofil des Unternehmens. |
| CRR / CRD IV | vollstaendig | Bankenregulierung als Referenzrahmen fuer die Einstufung als Kreditinstitut unter DORA. |
| MiCA | vollstaendig | Markets in Crypto-Assets Regulation: Krypto-Dienstleister als neue DORA-erfasste Kategorie. |
BAM-Objektreferenz
Haeufige Fehler
- Eigene Einstufung als Finanzunternehmen nicht vollstaendig geprueft (z.B. bei neuen Geschaeftsmodellen)
- Proportionalitaetsprinzip falsch angewandt - Anforderungen pauschal uebernommen oder uebersehen
- IKT-Drittanbieter-Status nicht geprueft, obwohl direkte ESA-Aufsicht moeglich
- Konzernweite Anwendbarkeit bei internationalen Finanzgruppen nicht konsolidiert betrachtet
Proportionalitaet als zentrales Prinzip
DORA erkennt an, dass eine kleine Genossenschaftsbank andere Ressourcen hat als eine global systemrelevante Bank. Art. 4 DORA verlangt, dass Anforderungen proportional zu Groesse, Geschaeftsmodell und Risikoprofil angewandt werden. Das betrifft insbesondere die Intensitaet von Resilienztests, den Umfang des IKT-Risikomanagement-Rahmens und die Anforderungen an Governance-Strukturen.
Naechster Schritt
Compliance-Stresstest starten
Kostenloser Stresstest zur DORA-Bereitschaft.