Im September 2020 hat die Europäische Kommission den ersten Entwurf des „Digital Operational Resilience Act“ (DORA), einen Verordnungsentwurf zur digitalen operationalen Resilienz, veröffentlicht. DORA ist Teil des Digital Finance Package und soll die Widerstandsfähigkeit des Finanzsektors gegen IKT-Risiken erhöhen und die dafür nötigen Anforderungen in der EU vereinheitlichen. Zu den wesentlichen Elementen gehören:

• Harmonisierung des IKT-Risikomanagements 
• Vereinheitlichung und Ausweitung der Meldepflichten von schwerwiegenden IKT-Vorfällen auf den gesamten Finanzsektor
• Europäisches Oversight Framework für kritische IKT-Drittdienstleister

DORA sieht u. a. ein risikobasiertes Testprogramm mit Basistests und – für signifikante Finanzunternehmen – verbindliche Threat-Led Penetration Tests (TLPT) vor. 

Das Inkrafttreten der Verordnung wird in 2022 erwartet.