Notfallplan auf dem Papier, Lücken in der Praxis: Warum DORA die Banken-IT unter Druck setzt
Seit Januar 2025 gilt die EU-Verordnung DORA für den Finanzsektor. Sie verlangt IT-Resilienz, Notfallmanagement und Kontrolle über IT-Dienstleister – und deckt in der Praxis Lücken auf.
Seit dem 17. Januar 2025 gilt für den europäischen Finanzsektor ein Regelwerk, das lange im Schatten bekannterer Vorschriften stand, inzwischen aber die IT-Abteilungen von Banken, Versicherern und Zahlungsdienstleistern kräftig beschäftigt: der Digital Operational Resilience Act, kurz DORA. Die EU-Verordnung 2022/2554 trat bereits im Januar 2023 in Kraft und ist nach einer zweijährigen Übergangsfrist nun anwendbar. Ihr Ziel ist es, die digitale Widerstandsfähigkeit von Finanzunternehmen EU-weit einheitlich zu regeln – von der Abwehr von Cyberangriffen über das Melden von Störungen bis zum Umgang mit IT-Dienstleistern. Anlass, den Stand der Umsetzung zu betrachten, geben Fortbildungsangebote und Praxisberichte aus der Branche, die auf eine wiederkehrende Beobachtung hinweisen: Auf dem Papier ist vieles vorhanden, in der praktischen Prüfung offenbaren sich Lücken.
Was DORA verlangt
Kern der Verordnung ist ein umfassendes Management von Risiken der Informations- und Kommunikationstechnologie, in der Fachsprache IKT genannt. Finanzunternehmen müssen ihre kritischen Systeme kennen, absichern und regelmäßig testen. Sie sind verpflichtet, einen strukturierten Prozess für IKT-bezogene Vorfälle einzurichten – also für den Fall, dass ein System ausfällt, ein Angriff erfolgt oder Daten kompromittiert werden. Schwerwiegende Vorfälle müssen den Aufsichtsbehörden gemeldet werden. Hinzu kommen Anforderungen an das Testen der Abwehrmaßnahmen und ein besonderes Augenmerk auf das sogenannte Drittparteienrisiko: Weil Banken zunehmend auf externe Cloud- und IT-Dienstleister angewiesen sind, verlangt DORA klare vertragliche Regelungen und eine Überwachung dieser Abhängigkeiten.
Die Verordnung wird schrittweise scharfgestellt. Ein Teil der Meldepflichten gilt seit Januar 2025, während bestimmte Vorgaben – etwa zu bedrohungsgeleiteten Penetrationstests und Teilen des Drittparteienrisikos – nach Angaben der Aufsicht erst zu einem späteren Zeitpunkt vollständig greifen. Für Institute bedeutet das keinen einmaligen Kraftakt, sondern einen fortlaufenden Anpassungsprozess.
Wo es in der Praxis hakt
Aus Fortbildungen und Prüfungserfahrungen zeichnet sich ein Muster ab, das über einzelne Häuser hinausreicht. Notfallkonzepte, Kritikalitätsanalysen und Strukturen für das Business Continuity Management existieren bei vielen Instituten – doch im Prüfungsalltag zeigt sich, dass Dokumentation und gelebte Praxis auseinanderfallen können. Ein Notfallplan, der in der Schublade liegt, aber nie unter realistischen Bedingungen getestet wurde, erfüllt den Buchstaben, nicht aber den Sinn der Verordnung. Ähnlich bei der Kritikalitätsanalyse: Sie soll klären, welche Systeme und Prozesse für den Geschäftsbetrieb wirklich unverzichtbar sind. Ist sie zu grob oder veraltet, verfehlt sie ihren Zweck.
Besonders anspruchsvoll ist das Drittparteienrisiko. Viele Finanzunternehmen haben ihre IT über Jahre ausgelagert, ohne die Abhängigkeiten systematisch zu erfassen. DORA zwingt nun dazu, Verträge zu überprüfen, Ausstiegsszenarien zu durchdenken und die Konzentration auf wenige große Anbieter kritisch zu hinterfragen. Das ist weniger eine technische als eine organisatorische Aufgabe – und genau deshalb für manche Häuser unbequem.
Warum das Thema über die Finanzbranche hinaus zählt
DORA betrifft auf den ersten Blick nur einen abgegrenzten Wirtschaftszweig. Die dahinterstehende Logik ist jedoch von allgemeiner Bedeutung: In einer digitalisierten Wirtschaft ist die Verfügbarkeit von IT-Systemen kein technisches Randthema mehr, sondern eine Frage der Stabilität ganzer Infrastrukturen. Fällt der Zahlungsverkehr aus, spürt das nicht nur eine Bank, sondern potenziell jeder Kunde. Der Regulierungsansatz, Resilienz nicht dem Zufall zu überlassen, sondern verpflichtend zu machen, dürfte deshalb als Vorbild für andere Branchen dienen – etwa bei kritischer Infrastruktur in Energie oder Gesundheit.
Für die Institute selbst bleibt DORA vorerst eine Daueraufgabe. Der Aufwand ist erheblich, doch die Verordnung erzwingt eine Auseinandersetzung mit Risiken, die viele lange verdrängt haben. Ob sie die digitale Widerstandsfähigkeit des Finanzsektors tatsächlich messbar erhöht, wird sich erst zeigen, wenn der nächste größere IT-Vorfall die Belastungsprobe liefert.
Dieser Beitrag ist eine allgemeine redaktionelle Einordnung und ersetzt keine Rechts- oder Steuerberatung. Für die konkrete Anwendung von DORA im eigenen Unternehmen sollten die einschlägigen Vorgaben der Aufsichtsbehörden und fachkundiger Rat herangezogen werden.
- Der blinde Fleck der Krisenvorsorge: Warum Kommunikation im Ernstfall über die Resilienz entscheidet
- Prüfbericht statt Screenshot: Ein Jahr BFSG – und die Abmahnungen werden professioneller
- Schrems III in Sichtweite? Was das US-Urteil zur FTC für Europas Datentransfers bedeutet
- Prüfplakette wird digital: Warum die wiederkehrende Prüfung von Gabelstaplern ins Tablet wandert
- Ein Jahr Barrierefreiheitsstärkungsgesetz: Was sich für Onlineshops geändert hat – und was offen bleibt
- Vom Papier zur Pflicht: Wie die E-Rechnung den Mittelstand zum Umdenken zwingt