Gilt DORA für mein Unternehmen?

DORA gilt für eine breite Liste von EU-Finanzunternehmen — Banken, Zahlungs- und E-Geld-Institute, Wertpapierfirmen, Versicherer und Vermittler, Fondsverwalter, Marktinfrastrukturen, Krypto- und Schwarmfinanzierungsdienstleister und mehr — sowie für die sie beliefernden IKT-Drittdienstleister. Diese Prüfung geht die Logik der Artikel 2 und 16 durch und liefert eine strukturierte Ersteinstufung.

Ist DORA eine Richtlinie, die mein Land noch umsetzen muss?

Nein. DORA ist eine Verordnung und gilt daher unmittelbar in jedem EU-Mitgliedstaat ohne nationale Umsetzung. Sie ist seit dem 17. Januar 2025 anwendbar. Eine enge Nuance: Artikel 2 Abs. 4 erlaubt einem Mitgliedstaat, bestimmte CRD-ausgenommene Institute auszunehmen — prüfen Sie Ihre nationale Lage, falls dies zutreffen könnte.

Was ist der Unterschied zwischen vollem DORA und dem vereinfachten Rahmen?

Kleinere oder risikoärmere Einrichtungen nach Artikel 16 — etwa kleine und nicht verflochtene Wertpapierfirmen, PSD2-ausgenommene Zahlungsinstitute, EMD2-ausgenommene E-Geld-Institute und kleine EbAV — folgen einem vereinfachten IKT-Risikomanagementrahmen statt des vollen Pflichtenkatalogs. Sie bleiben betroffen.

Ich bin IKT-/Cloud-/Software-Anbieter, kein Finanzunternehmen — bin ich betroffen?

Wahrscheinlich ja, mittelbar und teils unmittelbar. IKT-Drittdienstleister für Finanzunternehmen fallen unter die Drittdienstleister-Bestimmungen von DORA, und als 'kritisch' eingestufte unterliegen dem DORA-Überwachungsrahmen. Finanzkunden geben zudem DORA-Vertragsanforderungen an Sie weiter.

Ist diese DORA-Prüfung eine Rechtsberatung?

Nein. Sie ist ein kostenloser, strukturierter Ausgangspunkt auf Basis des Verordnungstexts und Ihrer Angaben. Mehrere Abgrenzungen — die Ausnahmen nach Artikel 2 Abs. 3 und die Einstufung als 'kritischer' IKT-Dienstleister — sind einzelfallabhängig oder werden von den Behörden entschieden. Bestätigen Sie das Ergebnis mit Ihrer zuständigen Behörde oder Rechtsberatung.

Speichern Sie meine Antworten?

Nein. Die Einstufung läuft vollständig in Ihrem Browser. Es gibt kein Formular vor dem Tool, und wir erfassen oder speichern Ihre Eingaben nicht.

Kostenloses Tool

DORA-Betroffenheitsprüfung

Prüfen Sie in rund zwei Minuten, ob die EU-Verordnung über die digitale operationale Resilienz (DORA) für Ihre Organisation gilt — als Finanzunternehmen oder als IKT-Drittdienstleister.

Die Einstufung folgt der Verordnung (EU) 2022/2554 (DORA), Artikel 2, 3, 16 und 31. DORA gilt unmittelbar in der gesamten EU und ist seit dem 17. Januar 2025 anwendbar — ohne nationale Umsetzung. Eine mitgliedstaatsabhängige Nuance bleibt: die Option nach Artikel 2 Abs. 4, bestimmte CRD-ausgenommene Institute auszunehmen. Dieses Tool ist ein strukturierter Ausgangspunkt, keine Rechtsberatung.

Häufige Fragen

Gilt DORA für mein Unternehmen?: DORA gilt für eine breite Liste von EU-Finanzunternehmen — Banken, Zahlungs- und E-Geld-Institute, Wertpapierfirmen, Versicherer und Vermittler, Fondsverwalter, Marktinfrastrukturen, Krypto- und Schwarmfinanzierungsdienstleister und mehr — sowie für die sie beliefernden IKT-Drittdienstleister. Diese Prüfung geht die Logik der Artikel 2 und 16 durch und liefert eine strukturierte Ersteinstufung.
Ist DORA eine Richtlinie, die mein Land noch umsetzen muss?: Nein. DORA ist eine Verordnung und gilt daher unmittelbar in jedem EU-Mitgliedstaat ohne nationale Umsetzung. Sie ist seit dem 17. Januar 2025 anwendbar. Eine enge Nuance: Artikel 2 Abs. 4 erlaubt einem Mitgliedstaat, bestimmte CRD-ausgenommene Institute auszunehmen — prüfen Sie Ihre nationale Lage, falls dies zutreffen könnte.
Was ist der Unterschied zwischen vollem DORA und dem vereinfachten Rahmen?: Kleinere oder risikoärmere Einrichtungen nach Artikel 16 — etwa kleine und nicht verflochtene Wertpapierfirmen, PSD2-ausgenommene Zahlungsinstitute, EMD2-ausgenommene E-Geld-Institute und kleine EbAV — folgen einem vereinfachten IKT-Risikomanagementrahmen statt des vollen Pflichtenkatalogs. Sie bleiben betroffen.
Ich bin IKT-/Cloud-/Software-Anbieter, kein Finanzunternehmen — bin ich betroffen?: Wahrscheinlich ja, mittelbar und teils unmittelbar. IKT-Drittdienstleister für Finanzunternehmen fallen unter die Drittdienstleister-Bestimmungen von DORA, und als 'kritisch' eingestufte unterliegen dem DORA-Überwachungsrahmen. Finanzkunden geben zudem DORA-Vertragsanforderungen an Sie weiter.
Ist diese DORA-Prüfung eine Rechtsberatung?: Nein. Sie ist ein kostenloser, strukturierter Ausgangspunkt auf Basis des Verordnungstexts und Ihrer Angaben. Mehrere Abgrenzungen — die Ausnahmen nach Artikel 2 Abs. 3 und die Einstufung als 'kritischer' IKT-Dienstleister — sind einzelfallabhängig oder werden von den Behörden entschieden. Bestätigen Sie das Ergebnis mit Ihrer zuständigen Behörde oder Rechtsberatung.
Speichern Sie meine Antworten?: Nein. Die Einstufung läuft vollständig in Ihrem Browser. Es gibt kein Formular vor dem Tool, und wir erfassen oder speichern Ihre Eingaben nicht.

Von ISMS Copilot. Die Einstufung folgt der Verordnung (EU) 2022/2554 (DORA), Artikel 2, 3, 16 und 31. DORA gilt unmittelbar in der gesamten EU und ist seit dem 17. Januar 2025 anwendbar — ohne nationale Umsetzung. Eine mitgliedstaatsabhängige Nuance bleibt: die Option nach Artikel 2 Abs. 4, bestimmte CRD-ausgenommene Institute auszunehmen. Dieses Tool ist ein strukturierter Ausgangspunkt, keine Rechtsberatung.

Bereit, Ihre Compliance-Arbeit zu optimieren?

Entwickelt für Geschwindigkeit, Genauigkeit und prüfungsreife Ergebnisse.

ISMS Copilot 2.0 testen