Der Digital Operational Resilience Act (DORA) rückt näher – und mit ihm neue Anforderungen an die digitale Stabilität von Wohnungsunternehmen mit Spareinrichtungen. Ab Januar 2027 gilt die EU-Verordnung auch für diese Unternehmen. Damit wird klar: Digitale Betriebsresilienz, IT-Sicherheit und professionelles Risikomanagement sind künftig zentrale Pflichtaufgaben.

Warum DORA jetzt wichtig wird

Seit Januar 2023 ist DORA in Kraft. Ziel der Verordnung ist es, die digitale Widerstandsfähigkeit von Finanzunternehmen und vergleichbaren Einrichtungen zu stärken. Wohnungsunternehmen mit Spareinrichtungen gehören ab 2027 verbindlich dazu. Sie müssen dann systematisch erfassen, bewerten und steuern, welche Risiken von ihren Informations- und Kommunikationstechnologien (IKT) ausgehen.

Auch die Zusammenarbeit mit Dienstleistern wird strenger reguliert: Verträge müssen Mindestanforderungen erfüllen, zum Beispiel zu Meldewegen, Kontrollrechten oder Reaktionszeiten bei IT-Störungen. Die Verantwortung liegt eindeutig beim Management – inklusive der Pflicht, geeignete Prozesse, Notfallpläne und Überwachungsmechanismen einzurichten.

Wo bestehen die größten Risiken?

Cyberangriffe, Systemausfälle oder unzureichend kontrollierte IT-Dienstleister stellen die zentralen Gefahren dar. Für Wohnungsunternehmen mit Spareinrichtungen bedeutet das: Sie müssen organisatorisch wie technisch deutlich aufrüsten.

Wesentliche Handlungsfelder sind unter anderem:

• Aufbau eines strukturierten IKT-Risikomanagements
• regelmäßige Sicherheitsprüfungen wie Penetrationstests
• klare Prozesse für das Krisen- und Notfallmanagement
• Schulungen und Sensibilisierung der Mitarbeitenden
• Aktualisierung der Verträge mit IT-Drittanbietern
• lückenlose Dokumentation aller Maßnahmen und Vorfälle

Wer diese Vorgaben nicht umsetzt, riskiert finanzielle Schäden, Betriebsstörungen und regulatorische Konsequenzen.

Gilt DORA auch für Wohnungsunternehmen?

Ja, auch wenn DORA primär auf Finanzunternehmen abzielt, fallen Wohnungsunternehmen mit Spareinrichtungen aufgrund ihrer besonderen Struktur unter die Regulierung. Sie müssen bis Anfang 2027 nachweislich digitale Resilienz aufbauen und ihre IT-Sicherheitsstrategie modernisieren.
Was ist konkret zu tun?

Die Verordnung ist seit Januar 2025 verbindlich und der Handlungsdruck ist hoch. Es gilt, rechtzeitig Maßnahmen zur digitalen Resilienz und IT-Sicherheit zu ergreifen, um Sanktionen, Betriebsstörungen und Reputationsverluste zu vermeiden.

Bis 2027 müssen Wohnungsunternehmen mit Spareinrichtungen u. a.:
• ein IKT-Risikomanagementsystem aufbauen oder modernisieren,
• Notfall- und Krisenprozesse entwickeln, testen und dokumentieren,
• Verträge mit IT-Dienstleistern anpassen,
• regelmäßige digitale Resilienz- und Penetrationstests durchführen,
• Mitarbeitende kontinuierlich schulen,
• sämtliche Maßnahmen und Vorfälle nachvollziehbar dokumentieren.

Unterstützung durch unsere DORA-Expertise

Unsere zertifizierte DORA-Spezialistin Sophie Quast begleitet Wohnungsunternehmen mit Spareinrichtung Schritt für Schritt bei der Umsetzung der neuen Anforderungen – praxisnah, effizient und passgenau. Gemeinsam stärken wir Ihre digitale Betriebsstabilität und minimieren Risiken nachhaltig.

Sprechen Sie uns gern an. Wir unterstützen Sie bei Ihrer DORA-Vorbereitung: datenschutz@domusconsult.de