Was ist DORA?
Das Gesetz über die digitale operative Resilienz – bekannt als DORA – ist die Verordnung (EU) 2022/2554, die am 14. Dezember 2022 vom Europäischen Parlament und dem Rat angenommen wurde. Die EU veröffentlichte sie am 27. Dezember 2022 im Amtsblatt. Sie trat am 16. Januar 2023 in Kraft und ist seit dem 17. Januar 2025 vollumfänglich anwendbar.
DORA schließt eine spezifische Lücke in der EU-Finanzregulierung. Vor DORA verwalteten Finanzinstitute operationelle Risiken primär durch die Bereitstellung von Eigenkapital. Dieser Ansatz deckte jedoch IKT-bezogene Störungen nicht ausreichend ab, die viele Institute gleichzeitig betreffen können, wenn ein gemeinsamer Technologieanbieter ausfällt. Daher führt DORA einen EU-weit einheitlichen Rahmen für das IKT-Risikomanagement, die Meldung von Vorfällen, Tests der operativen Resilienz und die Überwachung von Drittanbietern von Technologien ein.
Wer muss DORA einhalten?
DORA gilt für zwei Hauptgruppen von Organisationen, die an Informations- und Kommunikationstechnologie-Dienstleistungen (IKT) im Finanzsektor beteiligt sind.
Die erste Gruppe sind Finanzunternehmen. Dazu gehören unter anderem Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, Wertpapierfirmen, Versicherungs- und Rückversicherungsunternehmen, Anbieter von Krypto-Dienstleistungen, Zentralverwahrer, zentrale Gegenparteien und Handelsplätze, wie in Artikel 2 der Verordnung aufgeführt.
Die zweite Gruppe sind IKT-Drittdienstleister – Unternehmen, die Technologiedienstleistungen für Finanzunternehmen erbringen. Diese Gruppe umfasst Cloud-Computing-Anbieter, Softwareentwickler, Datenanalysefirmen, Cybersicherheitsunternehmen, Rechenzentrumsanbieter und alle anderen Anbieter, deren Dienste den Betrieb eines regulierten Finanzinstituts unterstützen.
Wichtig ist, dass DORA auch IKT-Anbieter mit Sitz außerhalb der EU abdeckt. Wenn ein Technologieunternehmen in den Vereinigten Staaten, im Vereinigten Königreich oder in Asien Dienstleistungen für EU-regulierte Finanzinstitute erbringt, findet DORA auf diese Geschäftsbeziehung Anwendung.
Die LEI-Anforderung unter DORA
DORA verpflichtet Finanzunternehmen, ein detailliertes Informationsregister zu führen, das alle ihre IKT-Drittdienstleister umfasst. Die am 2. Dezember 2024 veröffentlichte Durchführungsverordnung (EU) 2024/2956 der Kommission legt die Standardvorlagen für dieses Register fest.
Artikel 3 Absatz 5 dieser Durchführungsverordnung besagt direkt:
„Finanzunternehmen verwenden eine gültige und aktive Kennung für Rechtsträger (Legal Entity Identifier – LEI) oder die in Artikel 16 der Richtlinie (EU) 2017/1132 genannte europäische eindeutige Kennung (‚EUID‘) und, sofern verfügbar, beide Kennungen, um alle ihre IKT-Drittdienstleister, die juristische Personen sind, zu identifizieren, mit Ausnahme von natürlichen Personen, die in geschäftlicher Funktion tätig sind.“
Mit anderen Worten: Jeder IKT-Drittanbieter, der eine juristische Person ist, muss entweder über eine gültige und aktive LEI oder eine EUID identifizierbar sein. Beide müssen aktuell sein. Eine verfallene oder abgelaufene LEI erfüllt diese Anforderung nicht.
LEI oder EUID – was gilt für Sie?
Beide Kennungen erfüllen die DORA-Anforderungen, decken jedoch unterschiedliche Situationen ab. Das Verständnis der Unterschiede hilft Ihnen bei der richtigen Wahl.
Die LEI (Legal Entity Identifier) ist ein weltweit anerkannter, 20-stelliger alphanumerischer Code, der auf dem ISO-Standard 17442 basiert. Die Global Legal Entity Identifier Foundation (GLEIF) verwaltet das globale LEI-System und macht alle LEI-Daten im Globalen LEI-Index öffentlich zugänglich. Die LEI deckt Rechtsträger in über 200 Rechtsordnungen ab und umfasst auch Eigentums- und Kontrolldaten.
Die EUID (European Unique Identifier) ist mit dem System zur Verknüpfung von Registern (Business Registers Interconnection System – BRIS) der EU verbunden. Da sie ausschließlich mit nationalen Registern der EU verknüpft ist, deckt sie nur in EU-Mitgliedstaaten registrierte Einheiten ab.
Hier trifft die Durchführungsverordnung eine entscheidende Unterscheidung: IKT-Anbieter, die außerhalb der EU ansässig sind, dürfen ausschließlich mittels der LEI identifiziert werden. Die EUID ist für Nicht-EU-Einheiten schlichtweg nicht verfügbar. Infolgedessen ist die LEI die einzige gültige Kennung für jeden Anbieter, der von außerhalb der EU operiert.
Für in der EU ansässige Anbieter funktionieren beide Kennungen. Für globale Operationen oder Anbieter mit Geschäftsbeziehungen außerhalb der EU ist die LEI jedoch aufgrund ihrer internationalen Anerkennung und der breiteren Datenabdeckung die bessere Wahl.
Was „gültig und aktiv“ in der Praxis bedeutet
Die Durchführungsverordnung verlangt ausdrücklich eine gültige und aktive LEI. Dies bezieht sich auf den Status, der in der globalen GLEIF-Datenbank erscheint.
Eine LEI mit dem Status „Issued“ ist gültig und aktiv und erfüllt somit DORA. Eine LEI mit dem Status „Lapsed“ ist verfallen und erfüllt folglich die Anforderung nicht. Finanzunternehmen können eine verfallene LEI nicht als konforme Kennung in ihrem Informationsregister erfassen.
Eine LEI bleibt für ein Jahr ab dem Datum der Ausstellung oder der letzten Verlängerung gültig. Danach muss der Inhaber sie verlängern, um den aktiven Status beizubehalten. Während der Verlängerung überprüft die ausstellende Organisation die Referenzdaten der Einheit – einschließlich des juristischen Namens, der eingetragenen Adresse und der Eigentumsstruktur – erneut anhand offizieller Registerquellen. Dieser Prozess stellt sicher, dass die Daten in der globalen LEI-Datenbank präzise und aktuell bleiben.
Sie können den Status jeder LEI mit dem GLEIF LEI-Suchtool oder über die LEI-System-Suche überprüfen.
Warum die LEI der praktische Standard für die DORA-Konformität ist
Die DORA-Regulierungsbehörden haben die LEI gewählt, weil sie ein Problem löst, das keine nationale Kennung bewältigen kann: die konsistente, grenzüberschreitende Identifizierung von Rechtsträgern in einem einzigen, weltweit anerkannten Format.
Nationale Handelsregisternummern variieren erheblich zwischen den Ländern, sind nicht immer maschinenlesbar und decken Nicht-EU-Einheiten überhaupt nicht ab. Die LEI hingegen bietet einen einheitlichen Code für jeden Rechtsträger, unabhängig davon, wo er eingetragen ist. Da LEI-Daten zudem öffentlich zugänglich und verifizierbar sind, können Finanzinstitute die Details der Anbieter sofort prüfen, ohne Dokumente anfordern zu müssen.
Für Finanzinstitute, die viele IKT-Lieferanten in verschiedenen Ländern verwalten, reduziert diese Standardisierung die administrative Komplexität der DORA-Konformität erheblich. Eine einzige LEI-Abfrage liefert verifizierte Informationen über den juristischen Namen, die Registrierungsdetails und die Eigentumsstruktur des Anbieters – all dies ist direkt relevant für die Risikomanagementverpflichtungen von DORA gegenüber Drittanbietern.
Für IKT-Dienstleister macht es der Besitz einer gültigen LEI ihren Kunden aus dem Finanzsektor leicht, sie korrekt in deren DORA-Register aufzunehmen. Anbieter ohne gültige LEI hingegen verursachen Compliance-Lücken für ihre Kunden und riskieren damit eine Beschädigung der Geschäftsbeziehung. Die GLEIF bietet in ihrer Übersicht zur regulatorischen Nutzung der LEI weiteren Kontext dazu, wie die LEI dies unterstützt.
Was IKT-Dienstleister jetzt tun sollten
Prüfen Sie, ob Sie eine gültige LEI haben. Wenn Sie IKT-Dienstleistungen für ein EU-reguliertes Finanzinstitut erbringen, muss Ihr Kunde Sie in seinem DORA-Informationsregister identifizieren. Kontaktieren Sie ihn, um zu bestätigen, ob er Ihre LEI erfasst hat und ob diese derzeit aktiv ist.
Registrieren Sie eine LEI, falls Sie noch keine haben. Der Prozess ist vollständig digital und in den meisten Rechtsordnungen innerhalb von 24 Stunden abgeschlossen. Sie müssen den juristischen Namen Ihres Unternehmens, die eingetragene Adresse und die Registernummer angeben. In den meisten Fällen verifiziert das System diese Daten automatisch anhand offizieller Unternehmensregister. LEI System ist ein akkreditierter GLEIF Registration Agent. Sie können Ihre LEI-Registrierung noch heute starten.
Verlängern Sie Ihre LEI, falls diese verfallen ist. Eine verfallene LEI muss verlängert werden, bevor Ihre Kunden sie in einem DORA-Register verwenden können. Die Verlängerung stellt den Status „Issued“ wieder her und validiert die Referenzdaten Ihres Unternehmens erneut. Über LEI System können Sie Ihre LEI schnell verlängern.
Halten Sie Ihre LEI-Daten auf dem neuesten Stand. Wenn sich Ihr Firmenname, Ihre eingetragene Adresse oder Ihre Eigentumsstruktur geändert hat, aktualisieren Sie Ihre LEI-Referenzdaten entsprechend. Veraltete LEI-Daten führen zu Compliance-Komplikationen für Ihre Kunden aus dem Finanzsektor, wenn diese ihr Register bei den nationalen Behörden einreichen.
DORA im Kontext der breiteren EU-Regulierung
DORA steht nicht isoliert da. Sie ergänzt andere EU-Verordnungen, die die LEI ebenfalls als Standardkennung für Rechtsträger nutzen, darunter die MiFID II-Transaktionsmeldung, die EMIR-Derivatemeldung und die EU-Verordnung über Sofortzahlungen. Für Finanzunternehmen, die bereits LEIs für die Transaktionsmeldung nutzen, fügt DORA daher eher eine weitere Dimension hinzu, als ein völlig neues System einzuführen.
Darüber hinaus ist DORA direkt mit der NIS2-Richtlinie (Richtlinie (EU) 2022/2555) zur Cybersicherheit verknüpft. DORA fungiert als sektorspezifischer Rechtsakt unter NIS2 für Finanzunternehmen. Mehr über NIS2 und die LEI erfahren Sie im Artikel zu NIS2 und LEI auf dieser Website. Einen breiteren Überblick darüber, wie die LEI in der EU-Finanzregulierung eingesetzt wird, finden Sie unter Wie die LEI in der EU in der Praxis funktioniert.
DORA und LEI – Die wichtigsten Fakten auf einen Blick
Was ist DORA? Die Verordnung (EU) 2022/2554 über die digitale operative Resilienz im Finanzsektor.
Ab wann ist DORA anwendbar? 17. Januar 2025.
Wer muss die Verordnung einhalten? EU-Finanzunternehmen und deren IKT-Drittdienstleister, einschließlich Anbieter aus Nicht-EU-Ländern, die für EU-Finanzinstitute tätig sind.
Was verlangt DORA für die Identifizierung von IKT-Anbietern? Eine gültige und aktive LEI oder EUID, wie in der Durchführungsverordnung (EU) 2024/2956 der Kommission festgelegt.
Welche Kennung gilt für Nicht-EU-IKT-Anbieter? Ausschließlich die LEI. Die EUID deckt nur in der EU registrierte Einheiten ab.
Welcher LEI-Status erfüllt die DORA-Anforderungen? Nur „Issued“. Eine verfallene („Lapsed“) LEI erfüllt die Anforderung nicht.
Wo kann ich eine LEI registrieren oder verlängern? Über einen akkreditierten GLEIF Registration Agent wie LEI System.