Im Rahmen des Gesetzes über die Digitalisierung des Finanzmarktes (kurz FinmadiG) wurde unter anderem der Geltungsbereich für die Durchführung der DORA-Verordnung festgelegt.

§ 1a Absatz 2a KWG wurde wie folgt neu gefasst:
„Für Institute, die nicht nach Artikel 2 der Verordnung (EU) 2022/2554 im Geltungsbereich der Verordnung (EU) 2022/2554 liegen, gelten die Vorgaben der Verordnung (EU) 2022/2554 und die Vorgaben der auf Grundlage der Verordnung (EU) 2022/2554 erlassenen Rechtsakte sowie die Bestimmungen dieses Gesetzes, die auf Vorgaben der Verordnung (EU) 2022/2554 verweisen so, als wären diese Institute CRR-Kreditinstitute. Abweichend von Satz 1 finden
1. anstelle der Vorgaben der Artikel 5 bis 15 der Verordnung (EU) 2022/2554 die Vorgaben des vereinfachten Informations- und Kommunikationstechnologien-Risikomanagementrahmens nach Artikel 16 der Verordnung (EU) 2022/2554 Anwendung,
2. die Vorgaben an die Durchführung der bedrohungsgeleiteten Penetrationstests nach den Artikeln 26 und 27
der Verordnung (EU) 2022/2554 keine Anwendung,
3. die Vorgaben an das IKT-Drittparteienrisikomanagement nach den Artikeln 28 bis 30 der Verordnung (EU) 2022/2554 auf Kleinstunternehmen im Sinne von Artikel 3 Nummer 60 der Verordnung (EU) 2022/2554 keine Anwendung.“

Es wurde ein neuer § 65a KWG eingefügt:
„[…] (3) § 1a Absatz 2a ist ab dem 1. Januar 2027 anzuwenden. Die Anforderungen an das Meldewesen nach Kapitel III der Verordnung (EU) 2022/2554 sind ab dem 17. Januar 2025 anzuwenden.“

Das Meldewesen ist ab dem 17.01.2025 von den betroffenen Instituten anzuwenden. Die übrigen DORA-Regelungen sind mit Ausnahme der bedrohungsgeleiteten Penetrationstests und – im Falle von Kleinstunternehmen - der Vorgaben für das IKT-Drittparteienrisiko ab dem 01.01.2027 anzuwenden. Dabei gilt der vereinfachte IKT-Risikomanagementrahmen nach Art. 16 DORA.