DORA Compliance FinTech E-Rechnung

DORA und E-Rechnung: Bewertung der Kritikalität

Der Digital Operational Resilience Act (DORA) legt einheitliche Vorschriften für die digitale Widerstandsfähigkeit im Finanzsektor fest — was bedeutet das für Anbieter von E-Rechnungen?

16. März 2026

5 Min. Lesezeit

EU-Verordnung 2022/2554 ist am 17. Januar 2025 in Kraft getreten. Ein IT-Dienstleister kann für einen Kunden kritisch sein, für einen anderen jedoch nicht — die Bewertung obliegt dem Finanzinstitut selbst.

Was ist DORA und warum ist es wichtig?

DORA legt einheitliche Vorschriften für die digitale Widerstandsfähigkeit im Finanzsektor fest. Finanzunternehmen müssen IKT-Risiken managen und spezifische Verpflichtungen in Verträgen mit ihren IT-Dienstleistern abbilden.

DORA unterscheidet zwischen standardmäßigen IKT-Dienstleistungen und Dienstleistungen, die kritische oder wichtige Funktionen unterstützen: Wenn der Ausfall einer Dienstleistung die finanzielle Leistung oder die regulatorische Compliance eines Unternehmens erheblich beeinträchtigen würde, löst dies zusätzliche vertragliche Verpflichtungen aus.

Artikel 30: Grundlegende vs. erweiterte Anforderungen

Grundlegende Anforderungen (Absatz 2)

Müssen in jedem Vertrag zwischen einem Finanzunternehmen und einem IT-Dienstleister enthalten sein:

Detaillierte Beschreibung der Dienstleistungen und zulässiger Unterauftragnehmer
Standorte der Datenverarbeitung und -speicherung
Verfügbarkeit, Authentizität und Vertraulichkeit der Daten
Verfahren für den Datenzugriff und die Datenrückgabe bei Vertragsende
SLAs und Unterstützung bei der Incident-Bewältigung ohne zusätzliche Kosten
Zusammenarbeit mit Aufsichtsbehörden
Kündigungsrechte und Mindestfrist für die Kündigung
Teilnahme an Schulungs- und Resilienzprogrammen des Kunden

Erweiterte Anforderungen (Absatz 3)

Zusätzliche Anforderungen, wenn eine Dienstleistung eine kritische oder wichtige Funktion unterstützt:

Detaillierte SLAs mit quantitativen und qualitativen Kennzahlen
Benachrichtigungen über Ereignisse, die die Dienstleistungserbringung beeinträchtigen
Pläne zur Geschäftskontinuität und Notfallwiederherstellung (BCP/DRP)
Teilnahme an bedrohungsorientierten Penetrationstests (TLPT)
Uneingeschränkte Prüfungsrechte für Kunden und Regulierungsbehörden
Formaler Exit-Plan mit Übergangsfrist und Garantien für die Datenübertragung

Wann kann E-Rechnung als nicht-kritisch eingestuft werden?

Im Fallbeispiel CAL&F wird E-Rechnung allgemein als unterstützender Prozess betrachtet:

Beeinflusst Kreditvergabe oder Factoring nicht direkt

Kann vorübergehend durch Papierrechnungen ersetzt werden

Viele alternative Anbieter verfügbar

Viele Finanzunternehmen stufen E-Rechnung als nicht-kritisch ein und wenden nur die grundlegenden Anforderungen gemäß Artikel 30 Absatz 2 an. Die endgültige Einstufung liegt jedoch stets bei der Bank oder dem Factoring-Unternehmen.

Was ist eine „Negativerklärung" (Negative Declaration)?

Wenn ein Dienstleister seine Dienstleistung als nicht-kritisch einstuft, sendet er eine Negativerklärung — eine Aussage, die:

die Dienstleistung beschreibt (z. B. elektronischer Rechnungsaustausch)
erklärt, warum die Dienstleistung die finanzielle Widerstandsfähigkeit nicht wesentlich beeinträchtigt
feststellt, dass die endgültige Einstufung beim Kunden liegt

Minimaler DORA-Nachtrag für einen E-Rechnungsvertrag

Auch wenn eine Funktion als nicht-kritisch eingestuft wird, muss der Vertrag die obligatorischen Elemente gemäß Artikel 30 Absatz 2 enthalten:

Zusammenarbeit mit Aufsichtsbehörden

Der Anbieter verpflichtet sich, Zugang zu Daten zu gewähren und mit den Aufsichtsbehörden zusammenzuarbeiten.

Unterstützung bei Incidents

Der Anbieter hilft bei der Untersuchung und Lösung von IKT-Vorfällen ohne zusätzliche Kosten.

Datenzugriff und -rückgabe

Regelungen für den Abruf von Daten bei Vertragsende oder Insolvenz des Anbieters.

Teilnahme an Resilienzprogrammen

Der Anbieter nimmt an Schulungs- und Testaktivitäten des Kunden teil.

Die Logs und Daten von Invoice-Portal ermöglichen es Kunden, ihre Überwachungs- und Berichtspflichten zu erfüllen: jedes Ereignis wird aufgezeichnet, Dokumente werden in ihrer Originalform aufbewahrt und Berichte können auf Anfrage erstellt werden.

ZUGFeRD 2.4: Neuer Hybridstandard im Zusammenspiel mit Peppol

Dezember 9, 2025/in E-Rechnungs-News

Mit ZUGFeRD 2.4 liegt die neueste Version des deutsch-französischen Hybridstandards für elektronische Rechnungen vor.

Was ist das UBL-Format? Eine klare und moderne Übersicht

November 26, 2025/in E-Rechnungs-News

UBL (Universal Business Language) ist ein XML-basierter Standard für den nahtlosen Austausch geschäftlicher Dokumente weltweit, der die Automatisierung und Einhaltung internationaler E-Rechnungs- und Beschaffungsstandards fördert.

AI Support Agent ×

DORA und E-Rechnung: Bewertung der Kritikalität

Was ist DORA und warum ist es wichtig?

Artikel 30: Grundlegende vs. erweiterte Anforderungen

Grundlegende Anforderungen (Absatz 2)

Erweiterte Anforderungen (Absatz 3)

Wann kann E-Rechnung als nicht-kritisch eingestuft werden?

Was ist eine „Negativerklärung" (Negative Declaration)?

Minimaler DORA-Nachtrag für einen E-Rechnungsvertrag

Zusammenarbeit mit Aufsichtsbehörden

Unterstützung bei Incidents

Datenzugriff und -rückgabe

Teilnahme an Resilienzprogrammen

ZUGFeRD 2.4: Neuer Hybridstandard im Zusammenspiel mit Peppol

Was ist das UBL-Format? Eine klare und moderne Übersicht

Peppol Network

Belgien bestätigt verpflichtendes B2B-E-Invoicing ab dem 1. Januar 2026

GEBA – Veröffentlichung der Spezifikation zur elektronischen Geschäftsadresse in Deutschland

Wichtige Änderung im Einreichungsprozess für Bundesgesetze