Ist dieser DORA dasselbe wie die DORA-Metriken aus DevOps?

Nein, das sind zwei völlig verschiedene Dinge mit zufällig gleicher Abkürzung. Hier geht es um den Digital Operational Resilience Act, eine EU-Finanzregulierung. Die DORA-Metriken hingegen sind vier vom DevOps Research and Assessment Team validierte Kennzahlen zur Software-Delivery-Performance.

Betrifft DORA auch IT-Dienstleister von Finanzunternehmen?

Ja. DORA reguliert nicht nur die Finanzunternehmen selbst, sondern bezieht über das Management von Drittparteienrisiken auch deren IKT-Dienstleister ein. Kritische IKT-Drittdienstleister unterliegen sogar einer direkten EU-Aufsicht — ein Novum gegenüber früheren Regelungen.

Was verlangt DORA an Resilienz-Tests?

Finanzunternehmen müssen ihre digitale Widerstandsfähigkeit regelmäßig testen — von grundlegenden Schwachstellen- und Szenariotests bis hin zu bedrohungsgeleiteten Penetrationstests (TLPT) für besonders bedeutende Häuser. Die Ergebnisse fließen in die Verbesserung des IKT-Risikomanagements ein.

Zurück zum Glossar

DevOps Glossar·Compliance

DORA (Digital Operational Resilience Act)

// Direkte Antwort

Was fordert der DORA?

DORA reguliert seit Januar 2025 die digitale Widerstandsfähigkeit im Finanzsektor. Banken, Versicherungen und deren IT-Dienstleister müssen ein ICT-Risikomanagement-Framework nachweisen, regelmäßige Resilience-Tests durchführen und Vorfälle innerhalb enger Fristen melden.

DevSecOps & Compliance

// Im DetailDORA (Digital Operational Resilience Act)

Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung, die seit dem 17. Januar 2025 die digitale operationelle Widerstandsfähigkeit des Finanzsektors regelt und in allen Mitgliedstaaten unmittelbar gilt. Achtung Verwechslungsgefahr: Dieser DORA hat nichts mit den DORA-Metriken aus dem DevOps-Umfeld zu tun. Die DORA-Metriken sind vier Kennzahlen des DevOps Research and Assessment Teams zur Software-Delivery-Performance; der hier beschriebene Digital Operational Resilience Act ist eine Finanzmarktregulierung. Gleiche Abkürzung, völlig unterschiedliche Themen.

Betroffen vom Digital Operational Resilience Act sind über 22.000 Finanzunternehmen in der EU — Banken, Versicherungen, Wertpapierfirmen, Zahlungs- und E-Geld-Institute, Krypto-Dienstleister und weitere — sowie ihre kritischen IKT-Drittdienstleister wie Cloud- und Software-Anbieter. Die Verordnung gilt seit dem 17. Januar 2025 ohne Übergangsfrist; technische Detailregeln (Regulatory Technical Standards) konkretisieren die Pflichten fortlaufend. DORA ruht auf mehreren Säulen: einem unternehmensweiten IKT-Risikomanagement-Rahmen, der Klassifizierung und Meldung schwerwiegender IKT-Vorfälle, regelmäßigen Resilienz-Tests (bis hin zu bedrohungsgeleiteten Penetrationstests für große Häuser), dem Management von Drittparteienrisiken einschließlich verpflichtender Vertragsinhalte sowie dem Austausch von Bedrohungsinformationen. Die Verordnung verlangt, dass Finanzunternehmen IKT-Störungen nicht nur abwehren, sondern den Betrieb auch unter widrigen Bedingungen aufrechterhalten und schnell wiederherstellen können.

Für DevOps und CI/CD im Finanzumfeld bedeutet das konkrete Anforderungen an nachweisbare Prozesse: kontrollierte Change- und Deployment-Prozesse, Rollback-Fähigkeit, getestete Wiederanlaufverfahren, lückenlose Protokollierung und ein belegbarer Umgang mit Abhängigkeiten von Cloud- und IKT-Dienstleistern. Automatisierte, auditierbare Pipelines mit reproduzierbaren Deployments und dokumentierten Recovery-Tests sind ein direkter Hebel, um die geforderte Resilienz zu belegen.

Ein besonderes Merkmal ist die direkte Aufsicht über kritische IKT-Drittdienstleister durch die europäischen Aufsichtsbehörden — erstmals werden also auch Anbieter selbst und nicht nur die Finanzunternehmen reguliert. Typischer Stolperstein ist die Vertrags- und Lieferketten-Dimension: Bestehende Verträge mit IT-Dienstleistern müssen DORA-konforme Klauseln zu Audit-Rechten, Exit-Strategien und Sicherheitsanforderungen enthalten, was oft umfangreiche Nachverhandlungen erfordert.

// Beispiele aus der Praxis2 Szenarien

/01

Auditierbare Deployment-Strecke bei einer Bank

Ein Finanzdienstleister stellt sicher, dass jedes Produktions-Deployment über eine versionierte Pipeline mit Vier-Augen-Freigabe, vollständigem Protokoll und getestetem Rollback läuft — und kann damit gegenüber der Aufsicht die geforderte Kontrolle über IKT-Änderungen belegen.

/02

Drittparteienrisiko beim Cloud-Provider

Eine Versicherung dokumentiert ihre Abhängigkeit von einem Cloud-Anbieter, prüft dessen DORA-relevante Vertragsklauseln und definiert eine Exit-Strategie, um die Anforderungen an das Management von IKT-Drittparteienrisiken zu erfüllen.

// Häufige FragenFAQ

Ist dieser DORA dasselbe wie die DORA-Metriken aus DevOps?: Nein, das sind zwei völlig verschiedene Dinge mit zufällig gleicher Abkürzung. Hier geht es um den Digital Operational Resilience Act, eine EU-Finanzregulierung. Die DORA-Metriken hingegen sind vier vom DevOps Research and Assessment Team validierte Kennzahlen zur Software-Delivery-Performance.
Betrifft DORA auch IT-Dienstleister von Finanzunternehmen?: Ja. DORA reguliert nicht nur die Finanzunternehmen selbst, sondern bezieht über das Management von Drittparteienrisiken auch deren IKT-Dienstleister ein. Kritische IKT-Drittdienstleister unterliegen sogar einer direkten EU-Aufsicht — ein Novum gegenüber früheren Regelungen.
Was verlangt DORA an Resilienz-Tests?: Finanzunternehmen müssen ihre digitale Widerstandsfähigkeit regelmäßig testen — von grundlegenden Schwachstellen- und Szenariotests bis hin zu bedrohungsgeleiteten Penetrationstests (TLPT) für besonders bedeutende Häuser. Die Ergebnisse fließen in die Verbesserung des IKT-Risikomanagements ein.

// Verwandte BegriffeCompliance

ISO 26262

Wofür steht ISO 26262?

NIS2-Richtlinie

Wen betrifft die NIS2-Richtlinie?

Policy-as-Code

Was bringt Policy-as-Code?

Edge Gateway

Was macht ein Edge Gateway?

Alle Begriffe im Glossar

// Nächster Schritt