In einem Satz. Die Digital Operational Resilience Act (DORA, VO (EU) 2022/2554) gilt seit 17. Januar 2025 unmittelbar in Deutschland und unterwirft Versicherer, Rückversicherer, Versicherungsvermittler und Pensionseinrichtungen unter BaFin-Aufsicht einem harmonisierten Regime für ICT-Risikomanagement, Vorfallsmeldung, digitale Resilienztests (TIBER-EU) und Drittparteiendienste (Cloud, IT-Outsourcing).
DORA ersetzt nationale Spezialregelungen (z.B. VAIT, BAIT) für ihren Anwendungsbereich. Siehe ergänzend unseren Leitfaden zu DORA für Zahlungsdienstleister und FinTechs und NIS2 Deutschland.
Wichtige Punkte
- DORA gilt seit 17.01.2025.
- BaFin als zuständige Aufsicht für Versicherer.
- ICT-Risikomanagement-Rahmen Pflicht.
- Major Incident Reporting an BaFin/EIOPA.
- TIBER-EU Threat-led Penetration Tests für signifikante Versicherer.
1. Geltungsbereich
| Einrichtung | DORA-Anwendung |
|---|---|
| Erst-/Rückversicherer | Ja, voll |
| Versicherungsvermittler > 50 MA | Ja, voll |
| Versicherungsvermittler < 50 MA | Vereinfachter Rahmen |
| Pensionskassen | Ja, voll |
| Versicherungsholdinggesellschaften | Ja |
2. ICT-Risikomanagement-Rahmen
- Dokumentiertes Konzept genehmigt durch Vorstand.
- Identifikation kritischer ICT-Assets.
- Risikobewertung jährlich.
- Maßnahmenplan mit Verantwortlichen.
- Audit-Trail.
3. Vorfallsmeldung
| Meldung | Frist | Adressat |
|---|---|---|
| Initial-Meldung | 4 Stunden nach Klassifikation | BaFin |
| Zwischenbericht | 72 Stunden | BaFin |
| Abschlussbericht | 1 Monat | BaFin |
Klassifikation Major Incident nach RTS (Regulatory Technical Standards).
4. Digitale Resilienztests
Zwei Stufen:
- Basic Tests: regelmäßig (jährlich): VA-Scans, Pentests, Source-Code-Reviews.
- Advanced Tests (TIBER-EU): nur für signifikante Versicherer, alle 3 Jahre, threat-led red teaming.
5. Drittparteienrisiko (ICT-TPRM)
- Register aller ICT-Drittparteien.
- Risikoeinstufung (kritisch / nicht-kritisch).
- Vertragliche Mindestklauseln.
- Exit-Strategien für kritische Provider.
- Konzentrationsrisiko-Bewertung.
6. Cloud-Anbieter
- AVV ergänzt um DORA-Klauseln.
- Audit-Rechte.
- Subkontraktor-Information.
- Daten-Lokationen.
- Exit-Strategie.
- Datenübertragbarkeit.
7. Aufsicht BaFin
- Eigenes DORA-Referat.
- Vor-Ort-Prüfungen.
- Bußgelder bis 1% des Konzernumsatzes (Versicherer).
- Geschäftsführer-Anordnungen möglich.
8. BaFin-Schwerpunkte
- Cloud-Outsourcing (AWS, Azure-Konzentration).
- KI in Underwriting.
- Cyber-Versicherungen als Produkt.
- Personenhaftung Vorstand.
9. Verhältnis zu VAIT/BAIT
VAIT/BAIT bleiben weiter relevant für nicht von DORA erfasste Themen. Für DORA-Bereich: DORA überlagert.
10. Typische Schwachstellen
- Lückenhaftes Drittparteien-Register.
- Fehlende Exit-Strategien.
- Vorfallsmeldung > 4h-Frist.
- TIBER-EU-Tests nicht durchgeführt.
- Cyber-Resilience-Tests veraltet.
11. Tool-Unterstützung
Legiscope unterstützt Versicherer bei DORA-Compliance: ICT-Asset-Register, Drittparteien-Tracking, Vorfallsmeldung.
11. Konkrete Pflichten und Deadlines
| Pflicht | Frist / Schwellenwert | Rechtsgrundlage |
|---|---|---|
| Registrierungspflicht beim BSI | bis 17.4.2025 bzw. 3 Monate nach Identifizierung | § 32 NIS2UmsuCG |
| Erstmeldung Incident | binnen 24 h | § 35 NIS2UmsuCG |
| Zwischenbericht | binnen 72 h | § 35 NIS2UmsuCG |
| Abschlussbericht | binnen 1 Monat | § 35 NIS2UmsuCG |
| Risikomanagement implementiert | sofort wirksam | § 30 NIS2UmsuCG |
| Geschäftsleitungs-Schulung | jährlich | § 38 NIS2UmsuCG |
| Lieferanten-Risikobewertung | jährlich | § 30 NIS2UmsuCG |
| Audit / Nachweis | alle 2 Jahre | § 39 NIS2UmsuCG |
KRITIS-Sektoren mit niedrigeren Schwellenwerten (Energie, Wasser, Gesundheit, Finanz, ITK) sind zusätzlich dem BSI-Gesetz § 8a unterworfen.
12. KRITIS-Schwellenwerte
Nach BSI-KritisV (zuletzt geändert 2025):
- Energie: Stromerzeugung > 420 MW; Gasnetz > 5,2 Mrd. kWh/Jahr.
- Wasser: > 22 Mio. m³/Jahr Trinkwasser oder > 500.000 Einwohner.
- Gesundheit: Krankenhäuser > 30.000 vollstationäre Fälle/Jahr.
- Finanz: Banken > 80 Mrd. € Bilanzsumme oder Zahlungsverkehr.
- ITK: > 100.000 Teilnehmer Telekommunikation; > 25 Mio. Domains DNS.
- Transport: Flughäfen > 20 Mio. Passagiere; Häfen > 100 Mio. t.
Unterhalb der KRITIS-Schwellen kann NIS2 trotzdem greifen, wenn Einrichtung als “wesentlich” oder “wichtig” nach Anhang I/II NIS2-Richtlinie eingestuft ist.
13. Sanktionstiere
| Verstoß | Sanktion wesentliche Einrichtung | Sanktion wichtige Einrichtung |
|---|---|---|
| Risikomanagement | bis 10 Mio. € oder 2 % Konzernumsatz | bis 7 Mio. € oder 1,4 % |
| Meldepflicht | bis 10 Mio. € oder 2 % | bis 7 Mio. € oder 1,4 % |
| Registrierungspflicht | bis 100.000 € | bis 100.000 € |
| Verletzung Audit-Pflicht | bis 5 Mio. € | bis 3 Mio. € |
| Persönliche Haftung Geschäftsleitung | ja (§ 38) | ja |
Zusätzlich kann das BSI Anordnungen erlassen, Tätigkeitsverbote aussprechen und Zertifizierungen widerrufen.
14. BSI-Leitfäden und BaFin-Guidance
Relevante Dokumente:
- BSI Orientierungshilfe zur Umsetzung NIS2 (Stand 2025).
- BSI IT-Grundschutz-Kompendium, Edition 2024.
- BSI Cyber-Sicherheits-Check für Geschäftsleitung.
- BSI Handlungsempfehlungen für die Lieferkette (Supply Chain Security).
- BaFin Merkblatt zu DORA für Finanzinstitute.
- BaFin BAIT/VAIT/KAIT (sektorale Aufsichtsanforderungen).
- ENISA Guidelines on Cybersecurity Risk Management (EU-Ebene).
Wer ISO 27001 oder BSI-Grundschutz bereits implementiert hat, kann diese als Nachweis verwenden.
15. Integration mit bestehenden Standards
NIS2-Umsetzung ist effizienter, wenn vorhandene Standards integriert werden:
- ISO 27001:2022 → ca. 80 % NIS2-Abdeckung.
- BSI IT-Grundschutz Standard-Absicherung → ca. 85 %.
- ISO 22301 (BCM) → ergänzt Resilienz-Anforderungen.
- ISO 27701 (PIMS) → Schnittstelle zu DSGVO.
- TISAX → für Automotive-Lieferanten.
Mapping-Tabellen reduzieren Dokumentations-Aufwand erheblich. Audit-Kombination ISO 27001 + NIS2-Nachweis ist Standardpraxis.
16. Supply-Chain-Implikationen
NIS2 fordert in § 30 explizit Lieferketten-Risikomanagement. Praktische Umsetzung:
- Lieferanteninventar mit Kritikalitäts-Einstufung (A/B/C-Klassen).
- Vertragsklauseln zu Cybersecurity-Mindestanforderungen.
- Audit-Recht bei kritischen Lieferanten.
- Notfall-Übungen mit Schlüssel-Lieferanten.
- Backup-Lieferanten für KRITIS-Funktionen.
- Pflicht zur Meldung von Vorfällen beim Lieferanten innerhalb von 24-72 h.
- Sub-Lieferanten-Transparenz (n-tier visibility).
Kleine Zulieferer geraten dadurch unter indirekten NIS2-Druck — viele KMU werden in 2026 zertifizierungspflichtig durch Kundenverträge.
17. Sektor-spezifische Beispiele
| Sektor | Typischer Anwendungsfall NIS2 | Pflichtige Akteure |
|---|---|---|
| Energie | Smart-Meter-Gateway, Leitstellen | Stadtwerke, Übertragungsnetzbetreiber |
| Wasser | SCADA-Steuerungen, Aufbereitung | Wasserwerke, Abwasser |
| Gesundheit | KIS, PACS, Telematik-Infrastruktur | Krankenhäuser, Praxisnetze |
| Finanz | Core-Banking, Online-Banking | Banken, Zahlungsdienstleister |
| ITK | DNS, Cloud, Rechenzentren | Hoster, Telco, ISPs |
| Transport | Logistik-IT, Buchungssysteme | Bahn, Häfen, Flughäfen |
| Verwaltung | Bürgerportale, ELSTER | Bund, Länder, Kommunen |
| Lebensmittel | Lieferketten-IT | Großhandel, Produktion |
Pflichtige Akteure sollten zusätzlich DSGVO Art. 32 Sicherheit und Datenpannenmeldung (Datenpanne melden) kohärent integrieren.
Fazit
DORA ist die größte regulatorische Umstellung für Versicherer seit Solvency II. Mit ICT-Risikomanagement-Rahmen, klarem Drittparteien-Register und vorbereiteten Meldevorlagen ist Compliance erreichbar. TIBER-EU für signifikante Versicherer als nächste Stufe. Die datenschutzrechtliche Seite der Branche behandelt unser DSGVO-Leitfaden für Versicherungen; für die datenschutzrechtlichen Pflichten der Vermittler siehe DSGVO für Versicherungsvermittler.
FAQ
Wann gilt DORA?
Seit 17. Januar 2025 unmittelbar in allen EU-Mitgliedstaaten.
Wer ist Aufsicht in Deutschland?
BaFin für Versicherer und Bankenbereich, BMI/BSI ergänzend für IT-Sicherheit.
Welche Frist für Vorfallsmeldung?
4 Stunden Initial-Meldung nach Klassifikation, 72h Zwischenbericht, 1 Monat Abschluss.
Was ist TIBER-EU?
Threat Intelligence Based Ethical Red Teaming — fortgeschrittene Penetrationstests für signifikante Finanzinstitute.
Welche Bußgelder drohen?
Bis 1% des weltweiten Konzernumsatzes; bei systematischen Verstößen auch persönliche Vorstandshaftung.
Welche Sanktionen drohen Geschäftsführern persönlich?
§ 38 NIS2UmsuCG sieht persönliche Haftung der Geschäftsleitung vor — bei Verletzung der Sorgfaltspflichten haftet die Person mit ihrem Privatvermögen für Schäden des Unternehmens. Zusätzlich: Tätigkeitsverbote durch das BSI (§ 39 NIS2UmsuCG). D&O-Versicherungen decken NIS2-Haftung nur eingeschränkt — explizite Cyber-Klausel erforderlich. Pflichtschulung jährlich (§ 38) ist nicht delegierbar.
Wie unterscheiden sich wesentliche und wichtige Einrichtungen?
Wesentliche Einrichtungen (Anhang I NIS2): KRITIS-Sektoren mit hoher Kritikalität — strengere Aufsicht, höhere Sanktionen (bis 10 Mio. € / 2 % Konzernumsatz). Wichtige Einrichtungen (Anhang II): mittlere Kritikalität — reaktive Aufsicht, Sanktionen bis 7 Mio. € / 1,4 %. Größenschwelle: > 250 Mitarbeitende oder > 50 Mio. € Umsatz oder > 43 Mio. € Bilanzsumme. Einstufung obliegt dem BSI nach §§ 28-29 NIS2UmsuCG.
Wie integriere ich NIS2 mit DORA und DSGVO?
DORA (EU-VO 2022/2554) gilt für Finanzsektor und ist lex specialis gegenüber NIS2 — Finanzinstitute brauchen DORA-Compliance, dürfen aber NIS2-Maßnahmen anrechnen. DSGVO Art. 32 fordert TOM, NIS2 fordert Cyber-Sicherheit insgesamt — Überschneidung > 60 %. Beste Praxis: ein integriertes ISMS nach ISO 27001 / BSI-Grundschutz, das alle drei Regelwerke abdeckt.
Welche Meldewege bestehen beim BSI?
Online-Portal “Meldungen” auf bsi.bund.de mit BSI-MeldeAPI. Pflicht: Erstmeldung 24 h (kurze Faktenmeldung), Zwischenbericht 72 h (Ursachen, Auswirkungen), Abschlussbericht 1 Monat (Lessons Learned, Maßnahmen). Bei gleichzeitiger Datenpanne (Datenpanne melden): zusätzlich Meldung an Datenschutzbehörde. Doppelmeldungen sind häufig — getrennte Workflows einrichten.
Wie hoch sind die Implementierungskosten?
Mittleres Unternehmen (250-500 MA): Erstimplementierung 200.000-500.000 €, jährlich 80.000-200.000 €. Großbetrieb (> 5.000 MA): 1-5 Mio. € Erstaufwand, 500.000-2 Mio. € jährlich. Wer ISO 27001 hat, spart 60-70 %. Investitionen amortisieren sich typisch nach 2-3 Jahren über reduzierte Vorfallskosten und niedrigere Versicherungsprämien (10-20 % Rabatt).
Siehe auch: Welche Tools die DORA-Anforderungen abbilden, zeigt unser Vergleich der DORA-Compliance-Software.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial