DORA-Compliance-Statistiken 2026: 60+ Fakten zu Geltungsbereich, Umsetzungsstand und Durchsetzung
Der Digital Operational Resilience Act (DORA) ist seit dem 17. Januar 2025 vollständig anwendbar und stellt damit einen der bedeutendsten regulatorischen Meilensteine für den europäischen Finanzsektor dar. DORA verpflichtet mehr als 22.000 Finanzunternehmen und ihre IKT-Dienstleister, strenge Standards für IKT-Risikomanagement, Vorfallsmeldungen, Resilienz-Tests und Drittparteien-Risikomanagement einzuhalten.
Diese Seite fasst verifizierte Statistiken zu DORAs Geltungsbereich, Umsetzungsbereitschaft, Sanktionsrahmen, Aufsicht über IKT-Drittanbieter, Cyberbedrohungen im Finanzsektor und Implementierungskosten zusammen. Jede Zahl stammt aus offiziellen EU-Aufsichtsbehörden, Regulierungsstellen und verifizierten Branchenberichten.
Geltungsbereich und Reichweite von DORA
DORA gilt für 21 Arten von Finanzunternehmen und ihre IKT-Drittdienstleister. Anders als viele Finanzvorschriften, die sich ausschließlich auf Banken konzentrieren, umfasst DORA die gesamte Breite des EU-Finanzsektors.
| Statistik | Quelle |
|---|---|
| Mehr als 22.000 Finanzunternehmen und IKT-Dienstleister fallen EU-weit in den Geltungsbereich von DORA | Palo Alto Networks; PwC |
| 21 Arten von Finanzunternehmen werden gemäß DORA Artikel 2 erfasst | ESMA DORA Overview |
Erfasste Finanzunternehmen
DORA gilt für Kreditinstitute (Banken), Zahlungsinstitute, E-Geld-Institute, Wertpapierfirmen, Krypto-Asset-Dienstleister (CASPs), Zentralverwahrer (CSDs), zentrale Gegenparteien (CCPs), Handelsplätze, Transaktionsregister, Verwalter alternativer Investmentfonds (AIFMs), OGAW-Verwaltungsgesellschaften, Versicherungs- und Rückversicherungsunternehmen, Versicherungs- und Rückversicherungsvermittler, Einrichtungen der betrieblichen Altersversorgung, Ratingagenturen, Abschlussprüfer und Prüfungsgesellschaften, Administratoren kritischer Referenzwerte, Schwarmfinanzierungsdienstleister, Verbriefungsregister und Datenbereitstellungsdienste.
Quelle: LegalNodes DORA Compliance Guide
DORA-Umsetzungsbereitschaft
Umfragen aus mehreren Quellen zeichnen ein klares Bild: Der Finanzsektor hatte Schwierigkeiten, bis zur Frist im Januar 2025 die vollständige DORA-Compliance zu erreichen.
McKinsey-Umfrage (März 2024, 18 Führungskräfte führender EU-Finanzinstitute)
| Statistik | Quelle |
|---|---|
| Nur etwa ein Drittel der Finanzinstitute zeigte sich zuversichtlich, alle DORA-Anforderungen bis Januar 2025 erfüllen zu können | McKinsey - "Europe's new resilience regime" (Juni 2024) |
| 70 % gaben an, dass die DORA-Compliance dauerhaft höhere Betriebskosten für Technologie verursachen würde | McKinsey (Juni 2024) |
| Bei etwa 50 % der Institute treibt die IT-Organisation die DORA-Umsetzung voran | McKinsey (Juni 2024) |
CSSF Luxembourg Umfrage (August/September 2024, ~500 Unternehmen)
| Statistik | Quelle |
|---|---|
| 90 % hatten ihre DORA-Gap-Analyse abgeschlossen | CSSF - Results of DORA readiness survey (Oktober 2024) |
| Mehr als zwei Drittel (~67 %) betrachteten sich als "teilweise bereit" | CSSF (Oktober 2024) |
| Fast ein Viertel (~25 %) betrachtete sich als "nahezu bereit" | CSSF (Oktober 2024) |
| Nur 1 Unternehmen hielt sich für vollständig bereit | CSSF (Oktober 2024) |
IDC-Umfrage (Mai 2024)
| Statistik | Quelle |
|---|---|
| 49 % der Befragten: "Wir kennen DORA, haben aber noch keine vorbereitenden Maßnahmen ergriffen" | IDC - "Final Countdown to DORA" |
| 14 % gaben zu: "Wir kennen DORA nicht" | IDC - "Final Countdown to DORA" |
Deloitte European Survey (Anfang 2025, über 28 europäische Länder)
| Statistik | Quelle |
|---|---|
| Nur 25 % der Unternehmen fühlen sich bei Säule I (IKT-Risikomanagement) compliant | Deloitte Luxembourg - DORA European Survey 2025 |
| 48 % haben Protokolle für das IKT-Vorfallmanagement bereit (Säule II) | Deloitte (2025) |
| Nur 8 % erreichten volle Compliance bei den Säulen III und IV (Tests und Drittparteienrisiko) | Deloitte (2025) |
| 46 % identifizieren das Informationsregister als die größte Herausforderung | Deloitte (2025) |
DORA-Compliance-Kosten
Die Kosten der DORA-Compliance variieren erheblich je nach Größe und Komplexität des Unternehmens. Große Finanzgruppen stehen vor millionenschweren Programmen, während allein die Testanforderungen einen erheblichen laufenden Kostenaufwand darstellen.
| Statistik | Quelle |
|---|---|
| 83 % der Finanzunternehmen haben eine Kostenschätzung für die Compliance | Deloitte - DORA European Survey 2025 |
| 64 % planen, EUR 2-5 Millionen für die DORA-Compliance auszugeben | Deloitte (2025) |
| Durchschnittlicher Personalaufwand: 5-8 Vollzeitäquivalente (FTE) pro Institut für DORA | Deloitte (2025) |
| Eine große Finanzgruppe meldete Gesamtausgaben für das DORA-Programm von fast EUR 100 Millionen | Deloitte (2025) |
| Kosten für bedrohungsgeleitete Penetrationstests (TLPT) werden auf 0,1 %-0,3 % des gesamten IKT-Budgets geschätzt | Compact.nl, unter Berufung auf ESAs |
DORA-Sanktionen und Durchsetzung
DORAs Sanktionsrahmen wird auf EU-Ebene definiert, überlässt den Mitgliedstaaten jedoch erheblichen Ermessensspielraum, was zu unterschiedlichen nationalen Umsetzungen führt.
EU-weiter Sanktionsrahmen (DORA Artikel 50)
| Sanktionsart | Höchstmaß |
|---|---|
| Bußgelder für Finanzunternehmen | Bis zu 2 % des gesamten jährlichen weltweiten Umsatzes |
| Bußgelder für natürliche Personen bei Finanzunternehmen | Bis zu EUR 1.000.000 |
| Bußgelder für kritische IKT-Drittdienstleister (CTPPs) | Bis zu EUR 5.000.000 |
| Bußgelder für natürliche Personen bei CTPPs | Bis zu EUR 500.000 |
| Tägliche Zwangsgelder für CTPPs (bei fortgesetzter Nichteinhaltung) | Bis zu 1 % des durchschnittlichen täglichen weltweiten Umsatzes, für bis zu 6 Monate |
Quelle: QuoIntelligence - DORA Explained
Nationale Unterschiede bei der Sanktionsumsetzung
Die Mitgliedstaaten haben DORAs Sanktionsbestimmungen mit erheblichen Abweichungen umgesetzt, wie von DLA Piper im Oktober 2025 dokumentiert:
| Land | Umsatzbasierte Obergrenze | Absolute Obergrenze (Unternehmen) | Obergrenze für natürliche Personen |
|---|---|---|---|
| Spanien | 5 % des Umsatzes | - | - |
| Schweden | 10 % des Umsatzes | - | - |
| Tschechische Republik | - | EUR 2 Millionen | - |
| Italien | - | EUR 20 Millionen | - |
| Deutschland | - | - | EUR 5 Millionen |
| Finnland | - | - | EUR 100.000 |
Quelle: DLA Piper - "Divergence in administrative penalties under DORA" (Oktober 2025)
Weitere Durchsetzungsbefugnisse
Über finanzielle Sanktionen hinaus haben die Aufsichtsbehörden die Befugnis, öffentliche Bekanntmachungen von Verstößen herauszugeben, verbindliche Abhilfeanordnungen zu erlassen, Geschäftstätigkeiten auszusetzen oder einzuschränken sowie Zulassungen oder Lizenzen zu entziehen.
Quelle: BOC Group - DORA Compliance Penalties
Strafrechtliche Haftung
DORA Artikel 52 erlaubt es den Mitgliedstaaten, strafrechtliche Sanktionen zu verhängen. Vorstandsmitglieder können persönlich zivilrechtlich und bei grober Fahrlässigkeit bei der Sicherstellung der digitalen operationellen Resilienz auch strafrechtlich haftbar gemacht werden.
Quelle: Avenga - Guide to DORA's Penalties
Kritische IKT-Drittdienstleister (CTPPs)
Am 18. November 2025 veröffentlichten die Europäischen Aufsichtsbehörden die erste Liste kritischer IKT-Drittdienstleister unter DORA. Diese 19 Anbieter unterliegen nun der direkten Aufsicht durch das Joint Oversight Forum.
Die 19 designierten kritischen IKT-Drittdienstleister
| # | Anbieter |
|---|---|
| 1 | Accenture plc |
| 2 | Amazon Web Services EMEA Sarl |
| 3 | Bloomberg L.P. |
| 4 | Capgemini SE |
| 5 | Colt Technology Services |
| 6 | Deutsche Telekom AG |
| 7 | Equinix (EMEA) B.V. |
| 8 | Fidelity National Information Services, Inc. (FIS) |
| 9 | Google Cloud EMEA Limited |
| 10 | International Business Machines Corporation (IBM) |
| 11 | InterXion HeadQuarters B.V. |
| 12 | Kyndryl Inc. |
| 13 | LSEG Data and Risk Limited |
| 14 | Microsoft Ireland Operations Limited |
| 15 | NTT DATA Inc. |
| 16 | Oracle Nederland B.V. |
| 17 | Orange SA |
| 18 | SAP SE |
| 19 | Tata Consultancy Services Limited |
Quelle: EIOPA Pressemitteilung (18. November 2025); PwC Legal Analyse
Informationsregister
Alle unter DORA fallenden Finanzunternehmen müssen ein Register aller vertraglichen Vereinbarungen mit IKT-Drittdienstleistern führen. Stichtag: 31. März 2025. Die nationalen Behörden leiteten die Register bis zum 30. April 2025 an die ESAs weiter, um die Designierungsanalyse durchzuführen.
Quelle: EBA - ESAs announce timeline for CTPP designation
DORA IKT-Vorfallsmeldung
DORA führt einen der strengsten Melderahmen für Vorfälle in der Finanzregulierung ein, wobei Meldefristen in Stunden statt in Tagen gemessen werden.
Meldefristen (Delegierte Verordnung der Kommission 2025/302)
| Meldung | Frist |
|---|---|
| Erkennung bis Klassifizierung | Maximal 24 Stunden |
| Erstmeldung | 4 Stunden nach Klassifizierung als schwerwiegender Vorfall |
| Zwischenbericht | 72 Stunden nach der Erstmeldung |
| Abschlussbericht | 1 Monat nach dem Zwischenbericht |
Quelle: QuoIntelligence; Securiti - EU Regulation 2025/302
Klassifizierungskriterien
Ein IKT-Vorfall wird als schwerwiegend eingestuft, wenn kritische Dienste beeinträchtigt werden UND entweder: (a) ein erfolgreicher böswilliger unbefugter Zugriff erfolgt, der zu Datenverlusten führen kann, ODER (b) zwei oder mehr Wesentlichkeitsschwellenwerte erreicht werden (betroffene Kunden, Finanzgegenparteien oder Transaktionen).
Quelle: FMA Austria - DORA ICT-related incidents
Bedrohungsgeleitete Penetrationstests (TLPT)
DORA schreibt für bedeutende Finanzunternehmen fortgeschrittene Sicherheitstests vor und baut auf dem TIBER-EU-Rahmenwerk mit rechtsverbindlichen Anforderungen auf.
| Statistik | Quelle |
|---|---|
| TLPT ist alle 3 Jahre für von der Aufsichtsbehörde als "bedeutend" eingestufte Unternehmen verpflichtend | DORA Artikel 26 |
| Erste TLPT-Frist: 17. Januar 2028 (3 Jahre nach DORA-Anwendungsdatum) | TIBER.info |
| Purple Teaming ist unter DORA verpflichtend (unter TIBER-EU nur empfohlen) | Yogosha |
| Der Threat-Intelligence-Anbieter muss stets extern sein | DORA TLPT RTS |
| Jeder dritte Test muss von einem externen Red Team durchgeführt werden | DORA TLPT RTS |
| TLPT RTS veröffentlicht am 18. Juni 2025, in Kraft seit 8. Juli 2025 | TIBER.info |
Cyberbedrohungen im Finanzsektor
Die folgenden Daten von ENISA und anderen maßgeblichen Quellen veranschaulichen die Bedrohungslage, der DORA begegnen soll.
ENISA Threat Landscape: Finance Sector (Januar 2023 - Juni 2024)
| Statistik | Quelle |
|---|---|
| 488 öffentlich gemeldete Vorfälle im europäischen Finanzsektor | ENISA - Threat Landscape: Finance Sector (Februar 2025) |
| Banken (Kreditinstitute) waren mit 46 % aller Vorfälle der am stärksten betroffene Unternehmenstyp | ENISA (Februar 2025) |
| Öffentliche Finanzorganisationen: 13 % der Vorfälle | ENISA (Februar 2025) |
| DDoS-Angriffe: 58 % zielten speziell auf Banken | ENISA (Februar 2025) |
| Ransomware: 29 % betrafen Finanzdienstleister, 17 % betrafen Versicherungsunternehmen | ENISA (Februar 2025) |
| 200 % Anstieg im Jahresvergleich bei Malware-Familien, die auf Banking-Anwendungen abzielen | ENISA (Februar 2025) |
| 29 Angriffe mit Bezug zur Lieferkette im Finanzsektor identifiziert | ENISA (Februar 2025) |
IMF Global Financial Stability Report (April 2024)
| Statistik | Quelle |
|---|---|
| Fast ein Fünftel der gemeldeten Cybervorfälle der letzten zwei Jahrzehnte betraf den globalen Finanzsektor | IMF GFSR April 2024, Kapitel 3 |
| USD 12 Milliarden direkte Verluste für Finanzunternehmen durch Cybervorfälle in zwei Jahrzehnten | IMF (April 2024) |
| USD 2,5 Milliarden direkte Verluste für Finanzunternehmen allein seit 2020 | IMF (April 2024) |
| Extreme Verluste durch Cyberangriffe haben sich seit 2017 vervierfacht | IMF (April 2024) |
| Nur etwa die Hälfte der befragten Länder hatte eine nationale Cybersicherheitsstrategie mit Fokus auf den Finanzsektor | IMF (April 2024) |
Weltweite Vorfälle im Finanzsektor
| Statistik | Quelle |
|---|---|
| 3.348 gemeldete Cybervorfälle in der Finanzbranche weltweit im Jahr 2023, gegenüber 1.829 im Jahr 2022 (83 % Anstieg im Jahresvergleich) | Statista |
EZB-Cyberresilienz-Stresstest (Juli 2024)
| Statistik | Quelle |
|---|---|
| 109 direkt beaufsichtigte Banken wurden getestet | ECB Banking Supervision (26. Juli 2024) |
| 28 Banken unterzogen sich umfangreichen Tests mit tatsächlichen IT-Wiederherstellungstests und Vor-Ort-Prüfungen | ECB (Juli 2024) |
| Getestetes Szenario: Alle Präventivmaßnahmen versagen, ein Cyberangriff beeinträchtigt die Datenbanken der Kernsysteme schwerwiegend | ECB (Juli 2024) |
| Ergebnis: Banken verfügen über Reaktions- und Wiederherstellungsrahmen, aber es bestehen "Verbesserungspotenziale" | ECB (Juli 2024) |
DORA-Informationsaustausch (Artikel 45)
DORA fördert (verpflichtet aber nicht zu) den Austausch von Cyberbedrohungsinformationen zwischen Finanzunternehmen. Während der Informationsaustausch selbst freiwillig ist, müssen die Unternehmen die Aufsichtsbehörden darüber informieren, wie sie an Vereinbarungen zum Informationsaustausch teilnehmen.
Ausgetauschte Informationen umfassen Indikatoren für Kompromittierung, Taktiken/Techniken/Verfahren, Cybersicherheitswarnungen und Konfigurationstools. Die Vereinbarungen müssen sensible Informationen schützen und die Vertraulichkeit von Geschäftsgeheimnissen, den Schutz personenbezogener Daten und das Wettbewerbsrecht wahren.
Quelle: DORA Artikel 45; FS-ISAC DORA Information Sharing Requirements
Technische Standards zu DORA
Die Europäischen Aufsichtsbehörden (EBA, ESMA, EIOPA) haben insgesamt 11 regulatorische Produkte zur Operationalisierung von DORA erarbeitet:
Erstes Paket (Januar 2024, im Amtsblatt veröffentlicht Juni 2024): 3 RTS + 1 ITS
- RTS zu IKT-Risikomanagement-Rahmenwerken
- RTS zu Kriterien für die Klassifizierung IKT-bezogener Vorfälle
- RTS zu Richtlinien bezüglich IKT-Diensten von Drittanbietern, die kritische Funktionen unterstützen
- ITS zur Erstellung von Vorlagen für das Auslagerungsregister
Zweites Paket (Juli 2024): 4 RTS + 1 ITS + 2 Leitlinien
Quelle: EBA - ESAs published second batch of policy products under DORA
DORA-Zeitplan
| Datum | Ereignis |
|---|---|
| 24. September 2020 | Europäische Kommission veröffentlicht den DORA-Vorschlag |
| 27. Dezember 2022 | Veröffentlichung im Amtsblatt der Europäischen Union |
| 16. Januar 2023 | DORA tritt in Kraft |
| 17. Januar 2024 | Erstes Paket der RTS/ITS von den ESAs finalisiert |
| 25. Juni 2024 | Erstes Paket RTS im Amtsblatt veröffentlicht |
| 17. Juli 2024 | Zweites Paket der RTS/ITS/Leitlinien von den ESAs finalisiert |
| 17. Januar 2025 | DORA wird vollständig anwendbar (keine Übergangsfrist) |
| 31. März 2025 | Stichtag für das Informationsregister |
| 11. April 2025 | BaFin (Deutschland) Frist für die Einreichung des Informationsregisters |
| 15. April 2025 | ACPR (Frankreich) Frist für die Einreichung des Informationsregisters |
| 30. April 2025 | ESAs-Frist zur Erfassung der Register von den nationalen Behörden |
| 8. Juli 2025 | TLPT RTS tritt in Kraft |
| 18. November 2025 | Erste Liste der 19 kritischen IKT-Drittdienstleister veröffentlicht |
| 17. Januar 2028 | Frist für die erste Runde verpflichtender TLPT für bedeutende Unternehmen |
Die fünf Säulen von DORA
DORA ist um fünf Säulen strukturiert, die jeweils spezifische Anforderungen enthalten:
Säule I: IKT-Risikomanagement
Unternehmen müssen umfassende IKT-Risikomanagement-Rahmenwerke einrichten, die Identifikation, Schutz, Erkennung, Reaktion und Wiederherstellung abdecken. Nur 25 % der Unternehmen gaben an, sich bei dieser Säule compliant zu fühlen (Deloitte 2025).
Säule II: IKT-bezogenes Vorfallmanagement und Meldewesen
Schwerwiegende IKT-Vorfälle müssen innerhalb von 24 Stunden klassifiziert und innerhalb von 4 Stunden nach der Klassifizierung den Aufsichtsbehörden gemeldet werden. 48 % der Unternehmen haben entsprechende Protokolle bereit (Deloitte 2025).
Säule III: Tests der digitalen operationellen Resilienz
Regelmäßige Tests der IKT-Systeme sind vorgeschrieben, wobei TLPT alle 3 Jahre für bedeutende Unternehmen verpflichtend ist. Nur 8 % erreichten volle Compliance (Deloitte 2025).
Säule IV: IKT-Drittparteien-Risikomanagement
Unternehmen müssen ein Register aller IKT-Drittanbieter-Vereinbarungen führen und Konzentrationsrisiken bewerten. Nur 8 % erreichten volle Compliance (Deloitte 2025). 46 % identifizieren dies als die größte Herausforderung.
Säule V: Informationsaustausch
Freiwilliger Austausch von Cyberbedrohungsinformationen zwischen Finanzunternehmen, mit verpflichtender Mitteilung an die Aufsichtsbehörden über die Teilnahme an Austauschvereinbarungen.
Häufig gestellte Fragen
F: Wie viele Finanzunternehmen sind von DORA betroffen?
A: Mehr als 22.000 Finanzunternehmen und IKT-Dienstleister fallen EU-weit in den Geltungsbereich von DORA. Dazu gehören 21 Arten von Finanzunternehmen - von Banken und Versicherern bis hin zu Krypto-Asset-Dienstleistern und Schwarmfinanzierungsplattformen - sowie deren IKT-Drittdienstleister.
F: Wie hoch sind die maximalen DORA-Bußgelder?
A: Finanzunternehmen drohen Bußgelder von bis zu 2 % des gesamten jährlichen weltweiten Umsatzes. Natürliche Personen bei Finanzunternehmen können mit bis zu EUR 1.000.000 bestraft werden. Kritische IKT-Drittdienstleister riskieren Bußgelder von bis zu EUR 5.000.000, mit täglichen Zwangsgeldern von bis zu 1 % des durchschnittlichen täglichen Umsatzes bei fortgesetzter Nichteinhaltung. Einige Mitgliedstaaten haben höhere Obergrenzen eingeführt - in Schweden sind bis zu 10 % des Umsatzes möglich.
F: Wie viel Prozent der Finanzinstitute waren bis Januar 2025 DORA-konform?
A: Sehr wenige. Eine McKinsey-Umfrage ergab, dass nur ein Drittel Zuversicht äußerte, die Frist einhalten zu können. Eine CSSF-Umfrage in Luxemburg unter ~500 Unternehmen ergab, dass sich nur 1 Unternehmen als vollständig bereit betrachtete. Eine Deloitte-Umfrage über 28 Länder fand nur 8 % vollständig compliant bei den Säulen Tests und Drittparteienrisiko.
F: Wie viel kostet die DORA-Compliance?
A: Laut einer Deloitte-Umfrage planen 64 % der Finanzunternehmen, EUR 2-5 Millionen für die DORA-Compliance auszugeben, bei einem durchschnittlichen Personalaufwand von 5-8 dedizierten Vollzeitäquivalenten. Eine große Finanzgruppe meldete Programmausgaben von fast EUR 100 Millionen. TLPT-Kosten werden auf 0,1 %-0,3 % des gesamten IKT-Budgets geschätzt. McKinsey stellte fest, dass 70 % der Führungskräfte erwarten, dass DORA dauerhaft höhere Technologiekosten verursacht.
F: Welche Fristen gelten für die DORA-Vorfallsmeldung?
A: DORA verlangt die Klassifizierung innerhalb von 24 Stunden nach Erkennung, eine Erstmeldung innerhalb von 4 Stunden nach der Klassifizierung, einen Zwischenbericht innerhalb von 72 Stunden und einen Abschlussbericht innerhalb von 1 Monat.
F: Welche IKT-Anbieter wurden unter DORA als kritisch eingestuft?
A: Am 18. November 2025 veröffentlichten die ESAs die erste Liste mit 19 kritischen IKT-Drittdienstleistern. Die Liste umfasst AWS, Google Cloud, Microsoft, IBM, SAP, Oracle, Accenture, Bloomberg und weitere. Diese Anbieter unterliegen der direkten Aufsicht durch das Joint Oversight Forum.
Alle Statistiken auf dieser Seite stammen aus offiziellen EU-Aufsichtsbehörden, Regulierungsstellen und verifizierten Branchenberichten. Primärquellen sind die Europäischen Aufsichtsbehörden (EBA, ESMA, EIOPA), ENISA, ECB Banking Supervision, der IMF Global Financial Stability Report, McKinsey, Deloitte, CSSF Luxembourg, IDC, DLA Piper und der DORA-Verordnungstext. Diese Seite wird regelmäßig aktualisiert, sobald neue Durchsetzungsdaten verfügbar sind.
Zuletzt aktualisiert: März 2026