1 Jahr DORA: Haben Finanzinstitute ihre Hausaufgaben gemacht?

Die Abbildung zeigt die Flagge der Europäischen Union mit dem Schriftzug „DORA“ in goldener Schrift. Der Hintergrund ist blau, umgeben von gelben Sternen, die die Mitgliedstaaten symbolisieren. DORA steht für den Digital Operational Resilience Act. — Canva, myrhome

Risikomanagement von IKT-Drittanbietern, Resilienz-Testing oder die Behandlung, Klassifizierung und Berichterstattung von IKT-bezogenen Vorfällen: Die Liste der Anforderungen für die Umsetzung des Digital Operational Resilience Act (DORA) ist lang. Wie haben sich die Finanzinstitute in den letzten zwölf Monaten damit geschlagen? Drei Experten berichten und sind sich einig: Die Ramp-up-Phase ist abgeschlossen. Der Start für DORA beginnt – jetzt.

Von David Wolf

Mitte Januar titelte eine als Kommentar verfasste Pressemitteilung der NTT DATA Unternehmensgruppe: „Die Schonfrist ist vorbei”. Die DORA-Verordnung habe ihre Feuertaufe vielleicht hinter sich, doch die eigentliche Arbeit für Finanzinstitute beginne erst jetzt. Der Autor dieser Einschätzung: Andreas Seibert, Head of FSI Regulatory & Compliance DACH bei der NTT DATA Group, einem globalen Anbieter von Business- und Technologie-Services.

„Wer seine Kronjuwelen retten und operativ, digital und finanziell resilient sein will, muss DORA als Kür sehen – und nicht nur als lästige Pflichtübung”, schreiben Andreas Bruckner, Experte für IKT-Risikomanagement beim Beratungs- und Softwarehaus für Finanzdienstleister, PPI, und seine Kollegin Petra Rösner in einem Fachartikel.

Pegasystems, Anbieter einer Unternehmensplattform für KI-Entscheidungsfindung und Workflow-Automatisierung, deutet an, dass „Papier-Compliance” nun nicht mehr ausreiche. Viele Finanzinstitute hätten die formalen DORA-Anforderungen zwar adressiert, kämpften aber weiterhin mit fragmentierten Prozessen, Medienbrüchen und fehlender End-to-End-Sicht auf Risiken, Vorfälle und Drittparteien.

Diese Aussagen zum Umsetzungsstand des Digital Operational Resilience Act (DORA) nach nun etwas mehr als zwölf Monaten seit Inkrafttreten lassen erahnen: Es gibt bei den Finanzinstituten noch Luft nach oben.

Extrem heterogene Abhängigkeiten bei IKT-Drittanbietern

Mit der Verordnung hat die Europäische Union eine Regulierung für die Themen Cybersicherheit, IKT-Risiken sowie digitale operationale Resilienz im Finanzsektor geschaffen. Das IT Finanzmagazin hat das zum Anlass genommen und Experten gefragt, was Finanzinstitute in den vergangenen zwölf Monaten wie umgesetzt haben. Was ist gelungen, was nicht? Wo ist Fortschritt erkennbar, wo gibt es strukturelle Schwächen? Gleichzeitig blicken wir nach vorne: Was wird 2026 wichtig werden?

Im Vorfeld fragten wir aber zunächst unsere Community bei Linkedin. Wir wollten wissen: Welcher Regelungsbereich von DORA stellte im vergangenen Jahr die größte Herausforderung dar? Mit deutlichem Abstand liegt das Management von IKT-Drittparteien an erster Stelle.

„In meinen Augen ist die extreme Heterogenität der Abhängigkeiten der Grund für dieses Abstimmungsergebnis. Die europäische Benennung kritischer IKT-Drittanbieter stellt eine Zäsur dar. Erstmals wird dort angesetzt, wo sich Abhängigkeiten real bündeln. Das sorgt für mehr Transparenz, Vergleichbarkeit und neue Eingriffsmöglichkeiten der Aufsicht”, sagt Andreas Seibert.

Dieser Schritt schaffe für viele Institute zwar eine gewisse Entlastung, doch keine Entwarnung. Die Verantwortung bleibe dort, wo sie nach Auffassung der Aufsicht hingehöre: bei den Instituten selbst. Diese müssten weiterhin begründen können, warum sie bestimmte Anbieter für kritische Funktionen einsetzen, wie sie die Substituierbarkeit bewerten und welche Exit-Szenarien tragfähig sind.

Andreas Seibert, Head of FSI Regulatory & Compliance DACH bei der NTT DATA Group — NTT Data Group

Die europäische Benennung kritischer IKT-Drittanbieter stellt eine Zäsur dar. Erstmals wird dort angesetzt, wo sich Abhängigkeiten real bündeln.“

Andreas Seibert, Head of FSI Regulatory & Compliance DACH bei NTT DATA.

75 % der kritischen Auslagerungsdienstleister stammen aus Drittstaaten

Deutschland ist eines der Top-Ziele für Cyberkriminalität. Vor allem wegen des Umgangs mit Geld und sensiblen Daten sind Finanzunternehmen ein attraktives Ziel für Angriffe. Seit Januar 2025 registrierte die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) über 600 schwerwiegende IKT-Vorfälle. Nach einem knappen Jahr DORA sieht sie das Risikomanagement von IKT-Drittparteien sowie das Vorfall-Meldewesen für eine resiliente IT-Landschaft als aktuelle Schwerpunkte, bei denen Finanzinstitute noch Nachholbedarf hätten.

„Aus unserer Praxis können wir das bestätigen”, sagt Andreas Bruckner von PPI. „Es besteht weiterhin eine hohe Konzentration auf wenige kritische Auslagerungsdienstleister (CTPPs), insbesondere für Cloud-Dienste und Software. Die Top 10 CTPPs halten über 85 Prozent der Verträge. Auch wenn die Leistungserbringung meist in der EU vereinbart wird, stammen drei Viertel der CTPPs aus Drittstaaten, vorwiegend den USA.”

Cyberangriffe: Eine der größten Herausforderungen für Banken und Versicherer

Eine Umfrage von PPI unter 50 Banken und 53 Versicherungen von 2025 kommt zum Ergebnis: Für 64 Prozent der Top-Manager in Banken und Versicherungen gehören Cyberangriffe zu den größten Herausforderungen bis 2030. In der Vorgängerstudie 2021 hatten nur 16 Prozent der Banken und 42 Prozent der Versicherungen Cybersicherheit als eine der Top-3-Herausforderungen angegeben. Cyberangriffe stehen damit noch vor der Digitalisierung und der Verschlechterung der Kreditqualität (bei Banken) beziehungsweise der zunehmenden Regulatorik (bei Versicherungen). Die Studie steht kostenlos zum Download zur Verfügung.

Zu den systemischen Risiken – unter anderem Common Cause Failure (CCFs) – komme eine erhöhte Unsicherheit aufgrund aktueller Unwägbarkeiten der geopolitischen Lage sowie eine überwiegende Vernetzung und auch Abhängigkeit der europaweit 19 CTPPs untereinander erschwerend hinzu, betont Bruckner.

Strukturelle Abhängigkeiten lassen sich nicht outsourcen

„600 Vorfälle klingt dramatisch, ist aber vor allem Ausdruck von Cluster-Effekten: Ein Vorfall bei einem großen Dienstleister, viele betroffene Institute, viele Meldungen”, stellt Andreas Seibert von NTT DATA klar. Das Problem sei nicht die Meldequote, sondern die strukturelle Abhängigkeit. Die lasse sich nicht outsourcen, auch nicht unter europäischer Aufsicht.

„Typische Merkmale auf Seiten der Servicepartner sind dezentrale Verträge, intransparente Lieferketten sowie oft unklare Eigentumsverhältnisse der IKT-Dienstleister. Gleichzeitig fehlt bei Banken oft ein geeignetes Risikomanagement mit automatisierten Prozessen und Systemen, digitalisiertem Vendor Management und enger Koordination zwischen IT, Procurement und Operational Risk Management”, sagt Michael Baldauf, Financial Services Senior Director bei Pegasystems.

Das aber sei notwendig, um Dienstleister DORA-konform zu steuern, zu kontrollieren und auch dokumentieren zu können. Hier treffe in verschärfter Form all das zu, was für das Third Party Risk Management generell zutreffe. Neben dem Drittparteien-Management seien eine kontinuierliche Risikoüberwachung und resiliente Betriebsmodelle die Fokusthemen.

Banken tun sich beim IKT-Drittparteienrisiko schwer, weil DORA aus punktueller Auslagerungssteuerung ein durchgängiges Management aller externen ICT-Services macht – inklusive Register, Exit-Strategien und Lieferkettentransparenz.“

Andreas Bruckner, Experte für IKT-Risikomanagement beim Beratungs- und Softwarehaus PPI

Wie Michael Baldauf betont, würden Aufseher in Bezug auf die Überprüfung der Compliance weniger auf Einzelmaßnahmen als auf Konsistenz, Nachvollziehbarkeit und Aktualität der Prozesse achten. Baldauf sieht hier eine Parallele zur Einführung des Anti-Money Laundering im Jahr 2003. Die Umsetzung der neuen Richtlinie erfolgte Schritt für Schritt und man habe sich da vorsichtig herangetastet. Irgendwann jedoch sei die Umsetzung sukzessive zu einem scharfen Schwert geworden.

Die eigentliche Arbeit für die Finanzinstitute beginnt erst jetzt

„Die Erfahrung hat gezeigt, dass es praxisfremd wäre, vom Start weg mit harten Prüfungsmaßnahmen zu starten. Aber die werden nach einer Orientierungs- und Abtastphase sicher kommen. Die Besten werden dabei die Messlatte für alle legen und die Benchmarks definieren”, stellt Baldauf klar. Allen Beteiligten müsse klar sein: Wir fangen mit der Regulierung der operativen Resilienz im Bankensektor gerade erst an.

Andreas Seibert von NTT DATA bläst ins gleiche Horn. Die Verordnung habe ihre Feuertaufe vielleicht hinter sich – die eigentliche Arbeit für die Finanzinstitute beginne jedoch erst jetzt. „Das erste Jahr war geprägt von Aufbauarbeit, Orientierung und dem Versuch, Ordnung in ein komplexes Regelwerk zu bringen. Register sind gefüllt, Prozesse beschrieben, Zuständigkeiten definiert. Das ist gelungen – aber es war auch der bequemere Teil”, so der Compliance-Experte.

In den kommenden Jahren werde sich der Charakter von DORA noch stärker beim Thema Resilienz-Testing zeigen. Zwar hätten viele Finanzinstitute Testprogramme aufgesetzt und methodisch sauber beschrieben. Der nächste Schritt sei aber anspruchsvoller: Die Tests müssten regelmäßig, realitätsnah und wirksam durchgeführt werden.

„Allein im Rahmen des Risikomanagements von Drittparteien müssen die Institute alle drei Jahre bedrohungsorientierte Penetrationstests durchführen. Diese stellen eine extreme organisatorische und finanzielle Belastung dar”, so Seibert.

Wir stehen mit DORA am Anfang einer Entwicklung, die operative Resilienz in allen Prozessen zu einem Schwerpunkt für Banken und Versicherungen macht, vergleichbar mit kritischen Infrastrukturen (KRITIS).“

Michael Baldauf, Financial Services Senior Director bei Pegasystems

2026 ist der eigentliche Startpunkt von DORA

Dabei habe sich der Maßstab verschoben: Es gehe nicht mehr die Frage, ob das System sicher sei, sondern ob das Finanzinstitut weiterarbeiten könne, während es angegriffen wird. Dies lasse sich nicht simulieren, ohne die Finanzbranche massiv unter Druck zu setzen, mahnt Andreas Seibert. 2026 sei deshalb der eigentliche Startpunkt von DORA.

Ab jetzt gehe es nicht mehr nur um Strukturen, sondern um Routine und Belastbarkeit. Die BaFin beziehungsweise die europäischen Aufsichtsbehörden hätten ein klares Ziel: operationale Resilienz statt lediglich Compliance. DORA sei somit kein Projekt mit Enddatum, sondern ein umfangreicher Maßnahmenkatalog, der ab sofort im Tagesgeschäft umgesetzt werden müsse und vom Gesetzgeber eingefordert werde. „Die Branche steht jetzt wieder am Startpunkt”, sagt Seibert.

„Wir gehen für 2026 nicht von einem signifikanten Rückgang der Bedrohungslage aus – ganz im Gegenteil. Im Interesse der Institute müssen die Erfordernisse der DORA-Verordnung stringent in die Geschäftsroutinen integriert werden, sonst drohen über die lange Distanz Reibungsverluste und damit eine Schwächung der operationellen Resilienz”, ist sich Andreas Bruckner von PPI sicher.

Institute, die DORA konsequent in ihre Governance und Prozesse integriert hätten, würden durch stabile Compliance und geringere Prüfungsrisiken respektive optimale Ressourcenallokation in kommenden Prüfungen profitieren. „DORA ist weniger ein IT-Regelwerk als ein Transformationsimpuls”, betont Bruckner. Bei einer bewussten Anwendung sichere es die IKT-Kronjuwelen eines Finanzinstituts.

Die Ramp-up-Phase ist abgeschlossen

„Wir stehen mit DORA am Anfang einer Entwicklung, die operative Resilienz in allen Prozessen zu einem Schwerpunkt für Banken und Versicherungen macht, vergleichbar mit kritischen Infrastrukturen (KRITIS)”, sagt Michael Baldauf von Pegaystems (Website). Dafür bräuchten Banken digitale Kontroll-und Warnsysteme, nicht nur für das Onboarding von Drittparteien, sondern auch für die laufende Überwachung und Prüfung ihrer Prozesse.

Vorstände und Aufsichtsräte müssten sich des Themas annehmen, delegieren allein reiche nicht mehr. Resilienz müsse als Kernelement ihres Geschäftsmodells begriffen, verstanden und gesteuert werden. Sie sei nicht mehr nur ein operatives, sondern ab sofort auch ein zentrales strategisches Thema.

Andreas Seibert von NTT DATA (Website) bringt es auf den Punkt: „Die Ramp-up-Phase ist abgeschlossen. Wer das verstanden hat, kann die Verordnung zu dem machen, wofür sie gedacht ist: Eine gute Gelegenheit, die eigene operationale Resilienz zu stärken.”dw