Der Digital Operational Resilience Act (DORA) ist der europäische Rahmen für digitale Resilienz im EU-Finanzsektor. Mit DORA strebt die EU Harmonisierung von Cybersecurity sowie resiliente Infrastrukturen im Finanzmarkt an. Finanzunternehmen sind teilweise von NIS2 ausgeschlossen und werden stattdessen umfangreich durch DORA reguliert, IT-Provider teilweise auch. Betroffen: Finanzunternehmen wie Kreditinstitute, Versicherungen + IKT-Drittdienstleister Finanzunternehmen: Risikomanagement, Cybersecurity, Resilienz, Providersteuerung, Tests Dienstleister: Governance, Risikomanagement, technische Sicherheit, Audits Sanktionen: Mitgliedsstaaten legen Sanktionen fest, Behörden verhängen Fristen: DORA gilt als EU-Vorgabe direkt und muss ab Januar 2025 angewendet werden Aufsicht: Finanzunternehmen unterliegen nationalen Behörden, IKT-Dienstleister der EU DORA und NIS2 haben Wechselwirkungen für regulierte Einrichtungen im Finanzsektor und Unternehmen, die Dienstleistungen im Finanzsektor erbringen. Finanzunternehmen sind aus NIS2 größtenteils ausgenommen, IT-Dienstleister sind doppelt reguliert mit eigenen Pflichten. Die von DORA regulierten Finanzunternehmen sind in NIS2 zwar Teil des Sektors Finanz- und Versicherungswesen , von den NIS2-Pflichten aber ausgenommen, wenn sie in DORA reguliert sind (lex specialis). Die in DORA auch regulierten kritischen IKT-Drittdienstleister sind in NIS2 Einrichtungen des Sektors IT und TK und bleiben auch dort mehrfach reguliert. Von DORA und NIS2 betroffene Unternehmen müssen zwischen den Pflichten übersetzen.