Zum Hauptinhalt springen

DORA — Digital Operational Resilience Act

Zuletzt aktualisiert: 24. Mai 2026 · 6 Min. Lesezeit

In Kraft seit dem 17. Januar 2025. IKT-Risikomanagement + Audit-Trails für Finanzunternehmen in der EU. Die Evidence Chain von Audact ist darauf ausgelegt, DORA-fähige Audit-Exporte zu liefern.

Frist

In Kraft seit dem 17. Januar 2025

Unmittelbare Geltung — keine Umsetzung in nationales Recht erforderlich.

Anwendungsbereich

Finanzunternehmen der EU + kritische IKT-Anbieter

Banken, Versicherer, CASPs, Zahlungsdienstleister, Wertpapierfirmen.

Durchsetzung

Aufsichtsbefugnisse + nationale Sanktionsregime

Kritischen IKT-Anbietern drohen Zwangsgelder bis zu 1 % des durchschnittlichen weltweiten Tagesumsatzes.

Audact-Abdeckung

Multi-Regulation Bundle API (API 06) — Roadmap

Geplanter signierter Audit-Export inklusive KI-IKT-Vorfällen.

Was DORA verlangt

Die Verordnung (EU) 2022/2554 — der Digital Operational Resilience Act — harmonisiert das IKT-Risikomanagement im gesamten EU-Finanzsektor. Erfasste Unternehmen müssen dokumentierte Risikorahmenwerke unterhalten, regelmäßige Resilienztests durchführen, schwerwiegende IKT-Vorfälle innerhalb strenger Fristen klassifizieren und melden sowie manipulationssichere Aufzeichnungen führen, die ihre betriebliche Integrität gegenüber den zuständigen Behörden belegen. Kritische IKT-Drittanbieter unterliegen der direkten EU-Aufsicht.

Wenn KI-Voice-Agents oder Chatbots in regulierten Abläufen eingesetzt werden — KYC-Anrufe, Schadensaufnahme, Bonitätsprüfung für Hypotheken, Bearbeitung von Zahlungsstreitigkeiten — ist jede Interaktion Teil der IKT-Landschaft des Unternehmens und muss entsprechend nachgewiesen werden.

Wie Audact DORA abdeckt

Jede von Audact verarbeitete KI-Interaktion wird in dieselbe signierte, Merkle-verankerte Evidence Chain geschrieben, die auch die Artikel-50-Attestierung absichert. Die geplante Multi-Regulation Bundle API (API 06) ist darauf ausgelegt, einen einzigen DORA-fähigen Export zu erzeugen, der Folgendes umfasst:

  • IKT-Vorfallsdatensätze — Klassifizierung, Schweregrad, Zeitstempel und Behebungsschritte, ausgerichtet an der DORA-Meldetaxonomie.
  • Resilienz-Attestierungen — Verfügbarkeit, Failover-Verhalten, regionale Datenhaltung und Drittanbieter-Abhängigkeiten (Telnyx, LiveKit, Deepgram, ElevenLabs).
  • Manipulationssicherer Audit-Trail — jede Einwilligung, Offenlegung, Policy-Entscheidung und jeder Transkript-Hash, ausgelegt auf Export für die aufsichtsrechtliche Prüfung.

Prüfer und zuständige Behörden sollen die Evidence Chain eigenständig verifizieren können — ohne Kontakt zu Audact.

Häufig gestellte Fragen

Wann ist DORA in Kraft getreten?

DORA ist seit dem 17. Januar 2025 in der gesamten EU unmittelbar anwendbar. Es gibt keine Übergangsfrist — Finanzunternehmen und ihre kritischen IKT-Drittanbieter fallen bereits in den Anwendungsbereich.

Wer muss DORA einhalten?

Banken, Versicherer, Zahlungsinstitute, E-Geld-Unternehmen, Anbieter von Kryptowerte-Dienstleistungen, Wertpapierfirmen und andere Finanzunternehmen der EU sowie jeder IKT-Drittdienstleister, der von den Europäischen Aufsichtsbehörden als kritisch eingestuft wird.

Was verlangt DORA bei KI-gestützten Interaktionen?

DORA verlangt ein dokumentiertes IKT-Risikomanagement, eine getestete Vorfallsreaktion, manipulationssichere Audit-Trails und die Fähigkeit, die betriebliche Resilienz den Aufsichtsbehörden auf Anfrage nachzuweisen — auch für KI-Voice-Agents und Chatbots im Kundenkontakt.

Wie hilft Audact bei DORA?

Die geplante Multi-Regulation Bundle API (API 06) von Audact ist darauf ausgelegt, signierte, prüferfertige Nachweis-Exporte zu erzeugen, die IKT-Vorfallsdatensätze, KI-Interaktionsprotokolle, Policy-Entscheidungen und Verfügbarkeits-Attestierungen abdecken.

Nächste Schritte

Die Sandbox und ein Beispiel-DORA-Nachweis-Export stehen auf der Roadmap. Lesen Sie die geplante Multi-Regulation-API-Spezifikation oder sprechen Sie mit uns über frühen Zugang.

Haftungsausschluss: Diese Seite dient ausschließlich zu Informationszwecken und stellt keine Rechtsberatung dar. Wenden Sie sich für Ihre konkreten Compliance-Pflichten an qualifizierten Rechtsbeistand.

← Zurück zur Compliance-Übersicht