Was ist DORA?
Der Digital Operational Resilience Act — bekannt als DORA — ist die Verordnung (EU) 2022/2554, die am 14. Dezember 2022 vom Europäischen Parlament und dem Rat angenommen wurde. Die EU veröffentlichte sie am 27. Dezember 2022 im Amtsblatt. Sie trat am 16. Januar 2023 in Kraft und wurde am 17. Januar 2025 vollständig anwendbar.
DORA schließt eine spezifische Lücke in der EU-Finanzregulierung. Vor DORA verwalteten Finanzinstitute operationale Risiken hauptsächlich durch die Bereitstellung von Kapital. Dieser Ansatz deckte jedoch IKT-bezogene Störungen nicht ausreichend ab, die viele Institutionen gleichzeitig betreffen können, wenn ein gemeinsamer Technologieanbieter ausfällt. Daher führt DORA einen einheitlichen Rahmen in der gesamten EU für das IKT-Risikomanagement, die Meldung von Vorfällen, Tests zur operationalen Resilienz und die Überwachung von Drittanbieter-Technologieanbietern ein.
Wer muss DORA einhalten?
DORA gilt für zwei Hauptgruppen von Organisationen, die im Finanzsektor an Informations- und Kommunikationstechnologie (IKT)-Diensten beteiligt sind.
Die erste Gruppe sind Finanzunternehmen. Dazu gehören Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, Wertpapierfirmen, Versicherungs- und Rückversicherungsunternehmen, Krypto-Asset-Dienstleister, zentrale Wertpapierverwahrer, zentrale Gegenparteien und Handelsplätze, unter anderem, wie in Artikel 2 der Verordnung aufgeführt.
Die zweite Gruppe sind IKT-Drittanbieter — Unternehmen, die Finanzunternehmen Technologiedienstleistungen anbieten. Diese Gruppe umfasst Cloud-Computing-Anbieter, Softwareentwickler, Datenanalysefirmen, Cybersicherheitsunternehmen, Rechenzentrumsanbieter und jeden anderen Anbieter, dessen Dienste den Betrieb eines regulierten Finanzinstituts unterstützen.
Wichtig ist, dass DORA auch IKT-Anbieter außerhalb der EU abdeckt. Wenn ein Technologieunternehmen in den Vereinigten Staaten, im Vereinigten Königreich oder in Asien Dienstleistungen für EU-regulierte Finanzinstitute erbringt, gilt DORA für diese Beziehung.
Die LEI-Anforderung unter DORA
DORA verlangt von Finanzunternehmen, ein detailliertes Informationsregister zu führen, das alle ihre IKT-Drittanbieter abdeckt. Die Durchführungsverordnung (EU) 2024/2956 der Kommission, veröffentlicht am 2. Dezember 2024, legt die Standardvorlagen für dieses Register fest.
Artikel 3 Absatz 5 dieser Durchführungsverordnung besagt direkt:
„Finanzunternehmen verwenden einen gültigen und aktiven Legal Entity Identifier (LEI) oder den in Artikel 16 der Richtlinie (EU) 2017/1132 genannten European Unique Identifier („EUID“) und, sofern verfügbar, beide dieser Kennungen, um alle ihre IKT-Drittanbieter, die juristische Personen sind, zu identifizieren, mit Ausnahme von Einzelpersonen, die in geschäftlicher Eigenschaft handeln.“
Mit anderen Worten, jeder IKT-Drittanbieter, der eine juristische Person ist, muss entweder mit einem gültigen und aktiven LEI oder einer EUID identifizierbar sein. Beide müssen aktuell sein. Ein abgelaufener oder ungültiger LEI erfüllt diese Anforderung nicht.
LEI oder EUID — Welcher gilt für Sie?
Beide Kennungen erfüllen die DORA-Anforderungen, decken aber unterschiedliche Situationen ab. Das Verständnis des Unterschieds hilft Ihnen, die richtige Wahl zu treffen.
Der LEI (Legal Entity Identifier) ist ein weltweit anerkannter 20-stelliger alphanumerischer Code, der auf dem ISO-Standard 17442 basiert. Die Global Legal Entity Identifier Foundation (GLEIF) regelt das Globale LEI-System und stellt alle LEI-Daten öffentlich im Global LEI Index zur Verfügung. Der LEI deckt juristische Personen in über 200 Jurisdiktionen ab und enthält auch Eigentums- und Kontrolldaten.
Die EUID (European Unique Identifier) ist mit dem Business Registers Interconnection System (BRIS) der EU verknüpft. Da sie ausschließlich mit nationalen EU-Registern verbunden ist, deckt sie nur in EU-Mitgliedstaaten registrierte Unternehmen ab.
Hier trifft die Durchführungsverordnung eine entscheidende Unterscheidung: IKT-Anbieter, die außerhalb der EU ansässig sind, müssen ausschließlich mit dem LEI identifiziert werden. Die EUID ist für Nicht-EU-Unternehmen einfach nicht verfügbar. Folglich ist der LEI die einzige gültige Kennung für jeden Anbieter, der von außerhalb der EU operiert.
Für in der EU ansässige Anbieter funktionieren beide Kennungen. Für globale Operationen oder Anbieter mit Nicht-EU-Exposition ist der LEI jedoch die stärkere Wahl aufgrund seiner internationalen Anerkennung und breiteren Datenabdeckung.
Was „gültig und aktiv“ in der Praxis bedeutet
Die Durchführungsverordnung verlangt ausdrücklich einen gültigen und aktiven LEI. Dies bezieht sich auf den Status, der in der globalen GLEIF-Datenbank angezeigt wird.
Ein LEI mit dem Status „Issued“ ist gültig und aktiv und erfüllt somit DORA. Ein LEI mit dem Status „Lapsed“ ist abgelaufen und erfüllt folglich die Anforderung nicht. Finanzunternehmen können einen abgelaufenen LEI nicht als konforme Kennung in ihrem Informationsregister erfassen.
Ein LEI bleibt ein Jahr ab dem Ausstellungsdatum oder der letzten Verlängerung gültig. Danach muss der Eigentümer ihn verlängern, um den aktiven Status aufrechtzuerhalten. Während der Verlängerung überprüft die ausstellende Organisation die Referenzdaten des Unternehmens – einschließlich des rechtlichen Namens, der registrierten Adresse und der Eigentümerstruktur – anhand offizieller Registerquellen erneut. Dieser Prozess stellt sicher, dass die Daten in der globalen LEI-Datenbank korrekt und aktuell bleiben.
Sie können den Status jedes LEI mithilfe des GLEIF LEI-Suchwerkzeugs oder über die LEI System-Suche überprüfen.
Warum der LEI der praktische Standard für die DORA-Konformität ist
Die DORA-Regulierungsbehörden wählten den LEI, weil er ein Problem löst, das keine nationale Kennung lösen kann: die konsistente, grenzüberschreitende Identifizierung juristischer Personen in einem einzigen, weltweit anerkannten Format.
Nationale Unternehmensregisternummern variieren erheblich zwischen den Ländern, sind nicht immer maschinenlesbar und decken Nicht-EU-Unternehmen überhaupt nicht ab. Der LEI hingegen bietet einen konsistenten Code für jede juristische Person, unabhängig davon, wo sie registriert ist. Da LEI-Daten öffentlich verfügbar und überprüfbar sind, können Finanzinstitute Anbieterdetails sofort überprüfen, ohne Dokumente anfordern zu müssen.
Für Finanzinstitute, die viele IKT-Anbieter in verschiedenen Ländern verwalten, reduziert diese Standardisierung die administrative Komplexität der DORA-Konformität erheblich. Eine einzige LEI-Abfrage liefert verifizierte Informationen über den rechtlichen Namen des Anbieters, Registrierungsdetails und die Eigentümerstruktur – allesamt direkt relevant für die DORA-Verpflichtungen zum Drittparteien-Risikomanagement.
Für IKT-Anbieter macht ein gültiger LEI es für Finanzinstituts-Kunden einfach, sie korrekt in ihr DORA-Register aufzunehmen. Anbieter ohne gültigen LEI hingegen schaffen Compliance-Lücken für ihre Kunden und riskieren daher, die Geschäftsbeziehung zu schädigen. GLEIF bietet weiteren Kontext dazu, wie der LEI dies unterstützt, in seiner Übersicht über die regulatorische Nutzung des LEI.
Was IKT-Anbieter jetzt tun sollten
Überprüfen Sie, ob Sie einen gültigen LEI haben. Wenn Sie IKT-Dienste für ein EU-reguliertes Finanzinstitut erbringen, muss Ihr Kunde Sie in seinem DORA-Informationsregister identifizieren. Kontaktieren Sie ihn, um zu bestätigen, ob Ihr LEI erfasst wurde und ob er derzeit aktiv ist.
Registrieren Sie einen LEI, falls Sie keinen haben. Der Prozess ist vollständig digital und in den meisten Jurisdiktionen innerhalb von 24 Stunden abgeschlossen. Sie müssen den rechtlichen Namen, die registrierte Adresse und die Registrierungsnummer Ihres Unternehmens angeben. In den meisten Fällen überprüft das System diese Daten automatisch anhand offizieller Unternehmensregister. LEI System ist ein akkreditierter GLEIF-Registrierungsagent. Sie können Ihre LEI-Registrierung noch heute starten.
Verlängern Sie Ihren LEI, falls er abgelaufen ist. Ein abgelaufener LEI muss verlängert werden, bevor Ihre Kunden ihn in einem DORA-Register verwenden können. Die Verlängerung stellt den Status „Issued“ wieder her und validiert die Referenzdaten Ihres Unternehmens erneut. Sie können Ihren LEI schnell verlängern über LEI System.
Halten Sie Ihre LEI-Daten aktuell. Wenn sich der Name, die registrierte Adresse oder die Eigentümerstruktur Ihres Unternehmens geändert hat, aktualisieren Sie Ihre LEI-Referenzdaten entsprechend. Veraltete LEI-Daten führen zu Compliance-Komplikationen für Ihre Finanzinstituts-Kunden, wenn diese ihr Register bei den nationalen Behörden einreichen.
DORA im Kontext der breiteren EU-Regulierung
DORA agiert nicht isoliert. Es steht neben anderen EU-Verordnungen, die den LEI ebenfalls als Standardkennung für juristische Personen verwenden, darunter die MiFID II-Transaktionsmeldepflicht, die EMIR-Derivatemeldepflicht und die EU-Instant-Payments-Verordnung. Für Finanzunternehmen, die bereits LEIs für die Transaktionsmeldung verwenden, fügt DORA daher eine weitere Dimension hinzu, anstatt ein völlig neues System einzuführen.
Zusätzlich ist DORA direkt mit der NIS2-Richtlinie (Richtlinie (EU) 2022/2555) zur Cybersicherheit verbunden. DORA fungiert als sektorspezifisches Gesetz unter NIS2 für Finanzunternehmen. Mehr über NIS2 und den LEI erfahren Sie im Artikel NIS2 und LEI auf dieser Website. Für einen breiteren Überblick darüber, wie der LEI in der gesamten EU-Finanzregulierung funktioniert, siehe Wie der LEI in der EU in der Praxis funktioniert.
DORA und LEI — Die wichtigsten Fakten auf einen Blick
Was ist DORA? Verordnung (EU) 2022/2554 über die digitale operationale Resilienz für den Finanzsektor.
Wann wurde DORA anwendbar? 17. Januar 2025.
Wer muss sich daran halten? EU-Finanzunternehmen und ihre IKT-Drittanbieter, einschließlich Nicht-EU-Anbieter, die EU-Finanzinstitute bedienen.
Was verlangt DORA für die Identifizierung von IKT-Anbietern? Ein gültiger und aktiver LEI oder EUID, wie in der Durchführungsverordnung (EU) 2024/2956 der Kommission festgelegt.
Welche Kennung gilt für Nicht-EU-IKT-Anbieter? Nur LEI. Die EUID deckt nur in der EU registrierte Unternehmen ab.
Welcher LEI-Status erfüllt DORA? Nur „Issued“. Ein „Lapsed“ LEI erfüllt die Anforderung nicht.
Wo kann ich einen LEI registrieren oder verlängern? Über einen akkreditierten GLEIF-Registrierungsagenten wie LEI System.