DORA (Digital Operational Resilience Act)
DORA, der Digital Operational Resilience Act (Verordnung (EU) 2022/2554), regelt seit dem 17. Januar 2025 die digitale operative Widerstandsfähigkeit von Banken, Versicherern, Wertpapierfirmen, Krypto-Anbietern und kritischen IKT-Drittdienstleistern in der EU.
Definition und Aufbau
DORA verlangt fünf Pflicht-Bausteine: IKT-Risikomanagement-Rahmen, Meldung schwerwiegender IKT-Vorfälle innerhalb harmonisierter Fristen, Resilienz-Tests inklusive bedrohungsorientierter Penetrationstests (TLPT), Management des IKT-Drittparteien-Risikos und freiwilliger Informationsaustausch. Die ESMA, EIOPA und EBA überwachen direkt kritische Drittdienstleister, darunter mehrere große Cloud- und KI-Anbieter.
Was Impetora hier liefert
Für KI-Systeme im Finanzsektor heißt das: jeder KI-Anbieter im Zahlungsverkehr, Asset-Management, Underwriting oder Betrugserkennung wird durch DORA als IKT-Drittparteien-Vertrag eingestuft. Vertragsklauseln nach Art. 30 sind Pflicht (Audit, Exit, Subunternehmer, Datenresidenz). Die BaFin (Deutschland) erwartet vollständige Vertragsanpassung bis Mitte 2026. Bestehende Auslagerungs-Register müssen DORA-Felder spalten: Zugang zur ICT-Funktion, Abhängigkeit, Substitutionsfähigkeit.
Verwandte Begriffe
EU-KI-Verordnung: Horizontaler EU-Rahmen für KI nach Risiko-Stufen. ISO/IEC 42001: AI-Managementsystem-Standard. NIS-2: EU-Richtlinie zur Cybersicherheit kritischer Sektoren.
Diese deutsche Fassung wird laufend ausgebaut. Für ein konkretes Projekt nutzen Sie bitte das Beratungsgespräch oder schreiben an info@ainora.lt.