News

DORA in der Praxis: Warum digitale Resilienz für Banken zur Daueraufgabe wird

Seit Januar 2025 gilt mit DORA ein einheitlicher EU-Rahmen für IT-Risiken im Finanzsektor. Warum die Umsetzung für Banken und ihre IT-Dienstleister zur Daueraufgabe wird.

Von Anton · · 3 Min. Lesezeit

Seit dem 17. Januar 2025 gilt im europäischen Finanzsektor ein einheitlicher Rahmen für den Umgang mit IT-Risiken: der Digital Operational Resilience Act, kurz DORA. Was zunächst wie ein weiteres Kürzel im Regulierungsdschungel klingt, markiert für Banken, Versicherer, Zahlungsdienstleister und Vermögensverwalter einen Wendepunkt. Erstmals schreibt eine unmittelbar geltende EU-Verordnung detailliert vor, wie Finanzunternehmen ihre digitale Widerstandsfähigkeit organisieren müssen. Anbieter von Schulungen und Beratung melden seither rege Nachfrage – ein Zeichen dafür, dass die Umsetzung in vielen Häusern noch längst nicht abgeschlossen ist.

Was DORA regelt

Rechtsgrundlage ist die Verordnung (EU) 2022/2554, die das Europäische Parlament und der Rat im Dezember 2022 verabschiedet haben. Als Verordnung gilt sie unmittelbar in allen Mitgliedstaaten, ohne dass ein nationales Umsetzungsgesetz nötig wäre. In Deutschland überwacht die Finanzaufsicht BaFin die Einhaltung. Ziel ist es, den Finanzsektor gegen Ausfälle, Cyberangriffe und Störungen der Informations- und Kommunikationstechnik (IKT) widerstandsfähiger zu machen – also gegen genau jene Risiken, die im zunehmend digitalisierten Bankgeschäft existenziell werden können.

Die Anforderungen lassen sich grob in vier Bereiche gliedern: ein systematisches IKT-Risikomanagement, die fristgerechte Meldung schwerwiegender IT-Vorfälle, regelmäßige Tests der eigenen Systeme sowie die saubere Steuerung von IT-Dienstleistern. Gerade der letzte Punkt hat es in sich, denn viele Institute haben zentrale Funktionen an externe Anbieter ausgelagert – vom Rechenzentrum bis zur Cloud-Plattform.

Vom Papier zur gelebten Steuerung

In der Praxis zeigt sich, dass die formale Erfüllung der Vorgaben und ihre tatsächliche Wirksamkeit zwei verschiedene Dinge sind. Risiken werden erfasst, Berichte erstellt, Kontrollen dokumentiert – doch ob ein Haus im Ernstfall tatsächlich handlungsfähig bleibt, lässt sich allein an Dokumenten schwer ablesen. Branchenbeobachter und Prüfungsdienstleister verweisen darauf, dass es vielen Organisationen weniger an Dokumentation als an echter Steuerungsfähigkeit mangele. Eine Aussage, die sich naturgemäß je nach Institut unterschiedlich darstellt und nicht pauschal auf den gesamten Sektor übertragen werden sollte.

Hinzu kommt, dass DORA kein einmaliges Projekt ist. Die Verordnung verlangt fortlaufende Tests, regelmäßige Berichterstattung und eine kontinuierliche Anpassung an neue Bedrohungslagen. Damit verschiebt sich der Charakter der Aufgabe: weg von einem Stichtag, an dem ein Häkchen gesetzt wird, hin zu einem dauerhaften Prozess, der in der Aufbau- und Ablauforganisation verankert sein muss.

Auch IT-Dienstleister sind betroffen

Bemerkenswert ist die Reichweite der Verordnung. DORA adressiert nicht nur Finanzunternehmen selbst, sondern wirkt über vertragliche Anforderungen bis in die Lieferkette hinein. IT-Dienstleister, die für Banken oder Versicherer arbeiten, müssen mit zusätzlichen Pflichten in ihren Verträgen rechnen. Besonders bedeutende Anbieter – etwa große Cloud-Dienstleister – können zudem einer direkten europäischen Aufsicht unterstellt werden. Für die Tech-Branche bedeutet das: Wer den Finanzsektor beliefert, kommt am Thema Resilienz nicht vorbei.

Einordnung

DORA reiht sich in eine ganze Reihe europäischer Digital- und Sicherheitsregelungen ein, von der NIS2-Richtlinie bis zu sektorspezifischen Vorgaben. Gemeinsam ist ihnen der Grundgedanke, dass digitale Stabilität nicht dem Zufall überlassen werden darf. Für die Finanzbranche dürfte die eigentliche Bewährungsprobe weniger im ersten Geltungsjahr liegen als in der Frage, ob die aufgebauten Strukturen einem echten Vorfall standhalten. Bis dahin bleibt die Umsetzung ein bewegliches Ziel – und ein Wachstumsfeld für Schulung, Beratung und Prüfung.


Dieser Beitrag ist eine redaktionelle Einordnung und ersetzt keine Rechts- oder Steuerberatung. Für die verbindliche Bewertung konkreter Pflichten sollten betroffene Unternehmen fachkundigen Rat einholen.

Mehr zum Thema

  • Cybersicherheit per Gesetz: Was die NIS2-Pflichten für den Mittelstand bedeuten
  • Vom Papier zum Datensatz: Warum die E-Rechnung den Mittelstand unter Zugzwang setzt
  • Barrierefrei ist Pflicht: Was das BFSG seit 2025 von Websites und Webshops verlangt
  • Sicherheitsprüfung bis in die Belegschaft: Was das neue KRITIS-Dachgesetz von Betreibern verlangt
  • Nachweis ohne Enddatum: Warum Medizinproduktehersteller heute lebenslang Daten sammeln müssen
  • Ein Jahr Barrierefreiheitsgesetz: Wie digitale Teilhabe vom Wunsch zur Pflicht wurde