DORA — Digital Operational Resilience Act
Zuletzt aktualisiert: 24. Mai 2026 · 6 Min. Lesezeit
In Kraft seit dem 17. Januar 2025. IKT-Risikomanagement + Audit-Trails für Finanzunternehmen in der EU. Die Evidence Chain von Audact ist darauf ausgelegt, DORA-fähige Audit-Exporte zu liefern.
In Kraft seit dem 17. Januar 2025
Unmittelbare Geltung — keine Umsetzung in nationales Recht erforderlich.
Finanzunternehmen der EU + kritische IKT-Anbieter
Banken, Versicherer, CASPs, Zahlungsdienstleister, Wertpapierfirmen.
Aufsichtsbefugnisse + nationale Sanktionsregime
Kritischen IKT-Anbietern drohen Zwangsgelder bis zu 1 % des durchschnittlichen weltweiten Tagesumsatzes.
Multi-Regulation Bundle API (API 06) — Roadmap
Geplanter signierter Audit-Export inklusive KI-IKT-Vorfällen.
Was DORA verlangt
Die Verordnung (EU) 2022/2554 — der Digital Operational Resilience Act — harmonisiert das IKT-Risikomanagement im gesamten EU-Finanzsektor. Erfasste Unternehmen müssen dokumentierte Risikorahmenwerke unterhalten, regelmäßige Resilienztests durchführen, schwerwiegende IKT-Vorfälle innerhalb strenger Fristen klassifizieren und melden sowie manipulationssichere Aufzeichnungen führen, die ihre betriebliche Integrität gegenüber den zuständigen Behörden belegen. Kritische IKT-Drittanbieter unterliegen der direkten EU-Aufsicht.
Wenn KI-Voice-Agents oder Chatbots in regulierten Abläufen eingesetzt werden — KYC-Anrufe, Schadensaufnahme, Bonitätsprüfung für Hypotheken, Bearbeitung von Zahlungsstreitigkeiten — ist jede Interaktion Teil der IKT-Landschaft des Unternehmens und muss entsprechend nachgewiesen werden.
Wie Audact DORA abdeckt
Jede von Audact verarbeitete KI-Interaktion wird in dieselbe signierte, Merkle-verankerte Evidence Chain geschrieben, die auch die Artikel-50-Attestierung absichert. Die geplante Multi-Regulation Bundle API (API 06) ist darauf ausgelegt, einen einzigen DORA-fähigen Export zu erzeugen, der Folgendes umfasst:
- IKT-Vorfallsdatensätze — Klassifizierung, Schweregrad, Zeitstempel und Behebungsschritte, ausgerichtet an der DORA-Meldetaxonomie.
- Resilienz-Attestierungen — Verfügbarkeit, Failover-Verhalten, regionale Datenhaltung und Drittanbieter-Abhängigkeiten (Telnyx, LiveKit, Deepgram, ElevenLabs).
- Manipulationssicherer Audit-Trail — jede Einwilligung, Offenlegung, Policy-Entscheidung und jeder Transkript-Hash, ausgelegt auf Export für die aufsichtsrechtliche Prüfung.
Prüfer und zuständige Behörden sollen die Evidence Chain eigenständig verifizieren können — ohne Kontakt zu Audact.
Häufig gestellte Fragen
Wann ist DORA in Kraft getreten?
DORA ist seit dem 17. Januar 2025 in der gesamten EU unmittelbar anwendbar. Es gibt keine Übergangsfrist — Finanzunternehmen und ihre kritischen IKT-Drittanbieter fallen bereits in den Anwendungsbereich.
Wer muss DORA einhalten?
Banken, Versicherer, Zahlungsinstitute, E-Geld-Unternehmen, Anbieter von Kryptowerte-Dienstleistungen, Wertpapierfirmen und andere Finanzunternehmen der EU sowie jeder IKT-Drittdienstleister, der von den Europäischen Aufsichtsbehörden als kritisch eingestuft wird.
Was verlangt DORA bei KI-gestützten Interaktionen?
DORA verlangt ein dokumentiertes IKT-Risikomanagement, eine getestete Vorfallsreaktion, manipulationssichere Audit-Trails und die Fähigkeit, die betriebliche Resilienz den Aufsichtsbehörden auf Anfrage nachzuweisen — auch für KI-Voice-Agents und Chatbots im Kundenkontakt.
Wie hilft Audact bei DORA?
Die geplante Multi-Regulation Bundle API (API 06) von Audact ist darauf ausgelegt, signierte, prüferfertige Nachweis-Exporte zu erzeugen, die IKT-Vorfallsdatensätze, KI-Interaktionsprotokolle, Policy-Entscheidungen und Verfügbarkeits-Attestierungen abdecken.
Nächste Schritte
Die Sandbox und ein Beispiel-DORA-Nachweis-Export stehen auf der Roadmap. Lesen Sie die geplante Multi-Regulation-API-Spezifikation oder sprechen Sie mit uns über frühen Zugang.
Haftungsausschluss: Diese Seite dient ausschließlich zu Informationszwecken und stellt keine Rechtsberatung dar. Wenden Sie sich für Ihre konkreten Compliance-Pflichten an qualifizierten Rechtsbeistand.