DORA (Regulation 2022/2554) is the EU's Digital Operational Resilience Act. It establishes a uniform framework for managing ICT risks in the financial sector. Unlike directives, DORA is directly applicable in all EU member states without national transposition.

When did DORA take effect?

DORA entered into force on January 16, 2023 and applies since January 17, 2025. All financial entities in scope must now comply with its requirements for ICT risk management, incident reporting, resilience testing, and third-party risk management.

Who must comply with DORA?

DORA applies to 21 types of financial entities including banks, insurance companies, investment firms, payment institutions, crypto-asset service providers, and fund managers. It also applies to critical ICT third-party service providers (cloud, SaaS, data analytics) serving the financial sector.

What are the penalties for DORA non-compliance?

Financial entities face administrative fines up to 2% of total annual worldwide turnover. For critical ICT third-party providers, fines can reach up to 5 million euros or 1% of average daily worldwide turnover. National competent authorities can also impose periodic penalty payments.

How does SiteGuardian help with DORA compliance?

SiteGuardian continuously monitors your ICT security posture (TLS/SSL, headers, DNS, email authentication), detects incidents in real time with 4-hour major incident reporting support, runs automated resilience tests from multiple regions, and provides 5-level supplier risk scoring for ICT third-party risk management under DORA Art. 28.

EU-Verordnung 2022/2554

DORA ist in Kraft.
Ist Ihre IKT-Resilienz bereit?

Der Digital Operational Resilience Act verpflichtet Finanzunternehmen, IKT-Risiken zu managen, Vorfälle innerhalb von 4 Stunden zu melden und die operationelle Resilienz zu testen — oder es drohen Bußgelder bis zu 2 % des weltweiten Umsatzes.

In Kraft seit dem 17. Januar 2025

Scannen Sie jetzt Ihre Website Compliance-Pläne anzeigen

Gilt DORA für Sie?

DORA gilt für 21 Arten von Finanzunternehmen und deren kritische IKT-Drittdienstleister. Wenn Sie im EU-Finanzsektor tätig sind, fallen Sie sehr wahrscheinlich in den Anwendungsbereich.

Banken

Finanzunternehmen

Versicherungen

Finanzunternehmen

Wertpapierfirmen

Finanzunternehmen

Zahlungsinstitute

Finanzunternehmen

Krypto-Asset-Anbieter

Finanzunternehmen

Fondsverwalter

Finanzunternehmen

Ratingagenturen

Finanzunternehmen

IKT-Drittdienstleister

Kritischer Anbieter

Die Kosten der Nichteinhaltung

Finanzunternehmen

des gesamten weltweiten Jahresumsatzes

Verwaltungsstrafen, festgelegt von den nationalen zuständigen Behörden

Kritische IKT-Drittdienstleister

5 Mio. €

oder 1 % des durchschnittlichen täglichen weltweiten Umsatzes

zuzüglich periodischer Strafzahlungen bei fortgesetzter Nichteinhaltung

Nationale zuständige Behörden können auch Tätigkeiten einschränken oder aussetzen und die Geschäftsführung persönlich haftbar machen.

Die 5 Säulen von DORA — und was SiteGuardian überwacht

DORA definiert fünf Säulen für digitale operationelle Resilienz. SiteGuardian überwacht vier davon kontinuierlich für Ihre öffentlich zugängliche IKT-Infrastruktur.

Art. 5–15

IKT-Risikomanagement

Überwacht

SiteGuardian bietet kontinuierliches Security-Posture-Monitoring für Ihre öffentlich zugängliche Infrastruktur: TLS/SSL-Validierung, Zertifikats-Lebenszyklus-Tracking, Schwachstellenerkennung, Security-Header-Durchsetzung, DNSSEC-Verifizierung und einen manipulationssicheren Audit-Trail zum Nachweis der Risikomanagement-Governance.

Art. 17–23

IKT-Vorfallmanagement

Überwacht

SiteGuardian erkennt Vorfälle in Echtzeit, klassifiziert sie nach Schweregrad und unterstützt DORA-konforme Meldeworkflows — einschließlich der 4-Stunden-Erstmeldung bei schwerwiegenden IKT-bezogenen Vorfällen, 72-Stunden-Zwischenberichten und 1-Monats-Abschlussberichten. Vorausgefüllte Vorfallberichte für Ihre nationale zuständige Behörde werden automatisch generiert.

Art. 24–27

Testen der digitalen operationellen Resilienz

Überwacht

SiteGuardian führt automatisierte Sicherheitsscans durch, die TLS-Konfiguration, HTTP-Security-Header, DNS-Härtung, E-Mail-Authentifizierung (DMARC/SPF/DKIM) und Zertifikatsvalidierung aus mehreren geografischen Regionen abdecken — und bietet so kontinuierliche Basis-Resilienztests wie von Art. 25 gefordert.

Art. 28–30

IKT-Drittparteien-Risikomanagement

Überwacht

SiteGuardian bewertet die Sicherheitslage von Lieferanten über 5 Reifegradstufen, verfolgt Konzentrationsrisiken bei kritischen IKT-Anbietern, überwacht TLS- und E-Mail-Sicherheit von Drittanbietern und unterstützt die Erstellung des DORA-Informationsregisters (Art. 28(3)) für alle vertraglichen Vereinbarungen mit IKT-Drittdienstleistern.

Art. 31–44

Überwachung kritischer IKT-Drittdienstleister

Diese Säule gilt für IKT-Anbieter, die von den Europäischen Aufsichtsbehörden (ESAs) als kritisch eingestuft werden. Der federführende Aufseher führt Inspektionen durch, gibt Empfehlungen ab und kann Sanktionen verhängen. SiteGuardian deckt ESA-Aufsichtsprozesse nicht direkt ab.

DORA-Compliance beginnt mit Transparenz

Scannen Sie Ihre Website, um Ihre IKT-Sicherheitslage zu bewerten. SiteGuardian ordnet jeden Befund DORA-Artikeln zu — damit Sie genau wissen, wo Sie stehen.

Kostenloser Sicherheitsscan Compliance-Pläne anzeigen

Für immer kostenlos für 1 Monitor. Keine Kreditkarte erforderlich.

Häufig gestellte Fragen

Was ist DORA?

DORA (Verordnung 2022/2554) ist der EU-Rechtsakt zur digitalen operationellen Resilienz. Er schafft einen umfassenden Rahmen für das IKT-Risikomanagement im Finanzsektor, der Risiko-Governance, Vorfallmeldung, Resilienztests, Drittparteien-Risikomanagement und Informationsaustausch abdeckt. Anders als eine Richtlinie ist DORA in allen EU-Mitgliedstaaten unmittelbar anwendbar.

Ab wann gilt DORA?

DORA trat am 16. Januar 2023 in Kraft und ist seit dem 17. Januar 2025 vollständig anwendbar. Alle betroffenen Finanzunternehmen und kritischen IKT-Drittdienstleister müssen nun die Anforderungen erfüllen.

Gilt DORA für IKT-Anbieter?

Ja. DORA gilt nicht nur für Finanzunternehmen, sondern auch für deren kritische IKT-Drittdienstleister — einschließlich Cloud-Plattformen, SaaS-Anbieter, Datenanalysedienste und Softwareanbieter. Die Europäischen Aufsichtsbehörden (ESAs) bestimmen, welche Anbieter als kritisch gelten und der direkten Aufsicht unterliegen.

Welche Meldefristen gelten unter DORA?

Für schwerwiegende IKT-bezogene Vorfälle verlangt DORA: eine Erstmeldung innerhalb von 4 Stunden nach Klassifizierung (und spätestens 24 Stunden nach Entdeckung), einen Zwischenbericht innerhalb von 72 Stunden und einen Abschlussbericht innerhalb von 1 Monat. SiteGuardian verfolgt diese Fristen automatisch und erstellt vorausgefüllte Berichte.

Wie hilft SiteGuardian bei der DORA-Compliance?

SiteGuardian überwacht kontinuierlich Ihre öffentlich zugängliche IKT-Infrastruktur auf Sicherheitsrisiken (TLS, Header, DNS, E-Mail-Authentifizierung), erkennt Vorfälle in Echtzeit, führt automatisierte Resilienztests aus mehreren Regionen durch und bietet 5-stufiges Lieferanten-Risikoscoring. Befunde werden DORA-Artikeln zugeordnet und Compliance-Berichte sind auditfähig.

DORA ist in Kraft. Ist Ihre IKT-Resilienz bereit?

Gilt DORA für Sie?

Die Kosten der Nichteinhaltung

Die 5 Säulen von DORA — und was SiteGuardian überwacht

IKT-Risikomanagement

IKT-Vorfallmanagement

Testen der digitalen operationellen Resilienz

IKT-Drittparteien-Risikomanagement

Überwachung kritischer IKT-Drittdienstleister

DORA-Compliance beginnt mit Transparenz

Häufig gestellte Fragen

Sind Sie sicher?

DORA ist in Kraft.
Ist Ihre IKT-Resilienz bereit?