DORA-Verstöße, Strafen

DORA-Verstöße: Strafen bis 10 Millionen Euro oder 5% Jahresumsatz

15.06.2026 - 18:49:07 | boerse-global.de

Die EU-Verordnung DORA zwingt Finanzinstitute zu umfassender IT-Compliance. Die BaFin fokussiert 2026 vertiefte Audits externer Dienstleister.

DORA-Verordnung: BaFin verschärft Prüfungen bei IT-Dienstleistern
DORA-Verstöße - Abstrakte Darstellung von Cybersicherheit und digitaler Resilienz, mit leuchtenden Datenlinien, die eine Finanzinstitution umgeben. 15.06.2026 - Bild: über boerse-global.de

Die BaFin weitet ihre Prüfungen nun deutlich aus.

Seit Januar 2025 ist der Digital Operational Resilience Act (DORA) in Kraft. Während erste Kontrollen im Sommer 2025 anliefen, stehen ab 2026 vertiefte Audits bei IT-Drittanbietern im Fokus der Aufsicht. Die Verantwortung für die Sicherheit bleibt dabei stets bei der regulierten Einrichtung.

Anzeige

Der Schutz digitaler Lieferketten und die IT-Sicherheit werden durch neue EU-Vorgaben immer komplexer. Dieser kostenlose Ratgeber unterstützt Sie dabei, Sicherheitslücken proaktiv zu schließen und aktuelle gesetzliche Anforderungen souverän zu erfüllen. Gratis-E-Book: IT-Sicherheit stärken und gesetzliche Auflagen erfüllen

Harte Strafen bei Verstößen

Die Einhaltung der Vorgaben kostet: Experten beziffern die einmaligen Vorbereitungskosten auf 30.000 bis 120.000 Euro. Besonders aufwendig ist das Management von IKT-Drittparteienrisiken. Verträge mit Dienstleistern müssen laut Artikel 30 insgesamt 15 spezifische Pflichtklauseln enthalten.

Das Incident-Reporting ist besonders zeitkritisch. Bei schwerwiegenden IKT-Anfällen gelten abgestufte Meldefristen von 4, 24 und 72 Stunden. Ziel ist eine schnelle Reaktion der Behörden auf systemische Risiken.

Die Strafen bei Verstößen sind massiv: Bis zu 10 Millionen Euro oder 5 Prozent des weltweiten Jahresumsatzes drohen.

Hamburg als Brennpunkt

Der Finanzplatz Hamburg ist besonders betroffen. Mit über 180 Akteuren gilt er als zweitwichtigster Standort Deutschlands. Institute wie die Haspa, das Bankhaus Warburg, die HCOB, die Sutor Bank sowie Zahlungsdienstleister wie Otto Payments und die Hapag-Lloyd-Versicherung müssen die Vorgaben umsetzen.

Die Aufsicht beschränkt sich nicht auf die Banken selbst. Cloud-Dienste und externe IT-Dienstleister rücken in den direkten Fokus der Revision. Branchenkreise empfehlen als ersten Schritt ein lückenloses Asset-Management.

Anzeige

Angesichts massiver Bußgelder bei Compliance-Verstößen ist eine lückenlose Dokumentation für Unternehmen heute unverzichtbar. Mit dieser kostenlosen Muster-Vorlage erstellen Sie Ihr erforderliches Verzeichnis rechtssicher und zeitsparend nach offiziellen Vorgaben. Kostenlose Excel-Vorlage für die rechtssichere Dokumentation herunterladen

Teil eines größeren Sicherheitspakets

DORA ist nur ein Baustein der EU-Cybersicherheitsinitiative. Die NIS-2-Richtlinie ist in Deutschland seit Dezember 2025 ohne Übergangsfrist in Kraft. Sie betrifft rund 29.500 Einrichtungen in 18 Sektoren ab 50 Beschäftigten oder 10 Millionen Euro Umsatz.

Seit März 2026 regelt zudem das KRITIS-Dachgesetz den physischen Schutz kritischer Infrastrukturen. Die Registrierungsfrist beim BSI endete bereits am 6. März 2026.

Die Notwendigkeit dieser Regulierung zeigt ein Vorfall im April 2026: Ein Dienstleister des Universitätsklinikums Schleswig-Holstein wurde Ziel eines Angriffs, bei dem Patientendaten abflossen. Solche Vorfälle machen die Verwundbarkeit digitaler Lieferketten deutlich. Für die Geschäftsführung betroffener Unternehmen bedeutet dies eine erhöhte persönliche Haftung.

de | wirtschaft | 69546248 |