DORA Compliance FinTech E-Rechnung

DORA und E-Rechnung: Bewertung der Kritikalität

Der Digital Operational Resilience Act (DORA) legt einheitliche Vorschriften für die digitale Widerstandsfähigkeit im Finanzsektor fest — was bedeutet das für Anbieter von E-Rechnungen?

16. März 2026

5 Min. Lesezeit

EU-Verordnung 2022/2554 ist am 17. Januar 2025 in Kraft getreten. Ein IT-Dienstleister kann für einen Kunden kritisch sein, für einen anderen jedoch nicht — die Bewertung obliegt dem Finanzinstitut selbst.

Was ist DORA und warum ist es wichtig?

DORA legt einheitliche Vorschriften für die digitale Widerstandsfähigkeit im Finanzsektor fest. Finanzunternehmen müssen IKT-Risiken managen und spezifische Verpflichtungen in Verträgen mit ihren IT-Dienstleistern abbilden.

DORA unterscheidet zwischen standardmäßigen IKT-Dienstleistungen und Dienstleistungen, die kritische oder wichtige Funktionen unterstützen: Wenn der Ausfall einer Dienstleistung die finanzielle Leistung oder die regulatorische Compliance eines Unternehmens erheblich beeinträchtigen würde, löst dies zusätzliche vertragliche Verpflichtungen aus.

Artikel 30: Grundlegende vs. erweiterte Anforderungen

Grundlegende Anforderungen (Absatz 2)

Müssen in jedem Vertrag zwischen einem Finanzunternehmen und einem IT-Dienstleister enthalten sein:

Detaillierte Beschreibung der Dienstleistungen und zulässiger Unterauftragnehmer
Standorte der Datenverarbeitung und -speicherung
Verfügbarkeit, Authentizität und Vertraulichkeit der Daten
Verfahren für den Datenzugriff und die Datenrückgabe bei Vertragsende
SLAs und Unterstützung bei der Incident-Bewältigung ohne zusätzliche Kosten
Zusammenarbeit mit Aufsichtsbehörden
Kündigungsrechte und Mindestfrist für die Kündigung
Teilnahme an Schulungs- und Resilienzprogrammen des Kunden

Erweiterte Anforderungen (Absatz 3)

Zusätzliche Anforderungen, wenn eine Dienstleistung eine kritische oder wichtige Funktion unterstützt:

Detaillierte SLAs mit quantitativen und qualitativen Kennzahlen
Benachrichtigungen über Ereignisse, die die Dienstleistungserbringung beeinträchtigen
Pläne zur Geschäftskontinuität und Notfallwiederherstellung (BCP/DRP)
Teilnahme an bedrohungsorientierten Penetrationstests (TLPT)
Uneingeschränkte Prüfungsrechte für Kunden und Regulierungsbehörden
Formaler Exit-Plan mit Übergangsfrist und Garantien für die Datenübertragung

Wann kann E-Rechnung als nicht-kritisch eingestuft werden?

Im Fallbeispiel CAL&F wird E-Rechnung allgemein als unterstützender Prozess betrachtet:

Beeinflusst Kreditvergabe oder Factoring nicht direkt

Kann vorübergehend durch Papierrechnungen ersetzt werden

Viele alternative Anbieter verfügbar

Viele Finanzunternehmen stufen E-Rechnung als nicht-kritisch ein und wenden nur die grundlegenden Anforderungen gemäß Artikel 30 Absatz 2 an. Die endgültige Einstufung liegt jedoch stets bei der Bank oder dem Factoring-Unternehmen.

Was ist eine „Negativerklärung" (Negative Declaration)?

Wenn ein Dienstleister seine Dienstleistung als nicht-kritisch einstuft, sendet er eine Negativerklärung — eine Aussage, die:

die Dienstleistung beschreibt (z. B. elektronischer Rechnungsaustausch)
erklärt, warum die Dienstleistung die finanzielle Widerstandsfähigkeit nicht wesentlich beeinträchtigt
feststellt, dass die endgültige Einstufung beim Kunden liegt

Minimaler DORA-Nachtrag für einen E-Rechnungsvertrag

Auch wenn eine Funktion als nicht-kritisch eingestuft wird, muss der Vertrag die obligatorischen Elemente gemäß Artikel 30 Absatz 2 enthalten:

Zusammenarbeit mit Aufsichtsbehörden

Der Anbieter verpflichtet sich, Zugang zu Daten zu gewähren und mit den Aufsichtsbehörden zusammenzuarbeiten.

Unterstützung bei Incidents

Der Anbieter hilft bei der Untersuchung und Lösung von IKT-Vorfällen ohne zusätzliche Kosten.

Datenzugriff und -rückgabe

Regelungen für den Abruf von Daten bei Vertragsende oder Insolvenz des Anbieters.

Teilnahme an Resilienzprogrammen

Der Anbieter nimmt an Schulungs- und Testaktivitäten des Kunden teil.

Die Logs und Daten von Invoice-Portal ermöglichen es Kunden, ihre Überwachungs- und Berichtspflichten zu erfüllen: jedes Ereignis wird aufgezeichnet, Dokumente werden in ihrer Originalform aufbewahrt und Berichte können auf Anfrage erstellt werden.

Verpflichtende E-Rechnung im UK ab April 2029: Was Unternehmen wissen müssen

Juni 5, 2026/in E-Rechnungs-News

Das Vereinigte Königreich hat die verpflichtende E-Rechnung für umsatzsteuerpflichtige Unternehmen ab dem 1. April 2029 bestätigt – eine wegweisende Reform zur Modernisierung der Steuer- und Zahlungsinfrastruktur.

Die Slowakei steuert auf die E-Rechnungspflicht zu: Aktuelle Entwicklungen und Zeitplan für 2026

Juni 1, 2026/in E-Rechnungs-News

Ab dem 1. Januar 2027 wird die Slowakei gemäß Gesetz Nr. 385/2025 strukturierte E-Rechnungen sowie die digitale Meldung für inländische B2B- und B2G-Transaktionen vorschreiben.

E‑Invoicing & ERP-Integration: Warum APIs für moderne Unternehmen entscheidend sind

Mai 21, 2026/in E-Rechnungs-News

In diesem Artikel erläutern wir, was die Integration von ERP und E-Invoicing bedeutet, wie APIs diese skalierbar machen, warum Ihr Unternehmen einen „API-first“-Ansatz benötigt und wie unsere Lösung dabei hilft, eine nahtlose Integration mit mehreren Plattformen zu realisieren.

Deutschland: Vorbereitung auf die B2B-E-Rechnungspflicht

Mai 13, 2026/in E-Rechnungs-News

Deutschland führt eine der bedeutendsten Reformen zur Digitalisierung der Umsatzsteuer in der EU ein. Mit dem Wachstumschancengesetz hat das BMF neu definiert, was als elektronische Rechnung gilt, und eine Übergangsfrist festgelegt, die 2028 endet.

XRechnung 4.0 — Deutschlands neuer elektronischer Rechnungsstandard und Peppol

Mai 5, 2026/in E-Rechnungs-News

Eine umfassende Überarbeitung des deutschen CIUS auf Basis von EN 16931-1:2026, mit Unterstützung mehrerer Bestellungen, Branchenerweiterungen und ViDA-kompatiblen Feldern.

Peppol Day Finland 2026: From E-Invoicing to a Global Digital Language

April 21, 2026/in E-Rechnungs-News

Peppol is rapidly evolving beyond e-invoicing into a global standard for digital business communication. Key takeaways from Peppol Day Finland 2026.

AI Support Agent ×