6 Min. Lesezeit

Seit dem 17. Januar 2025 ist DORA geltendes Recht. Die EU-Verordnung zur digitalen operativen Resilienz verpflichtet über 22.000 Finanzunternehmen in der EU zu einem einheitlichen ICT-Risikomanagement. 15 Monate nach Inkrafttreten zeigt sich: Nur die Hälfte der betroffenen Institute hatte zum Stichtag die vollständige Compliance erreicht. Das zweite Register of Information ist im März 2026 fällig – und 46 Prozent der Institute bezeichnen genau diesen Nachweis als ihre größte Herausforderung.

Was DORA von bisherigen IT-Regulierungen unterscheidet

Finanzunternehmen sind Regulierung gewohnt. MaRisk, BAIT, EBA-Guidelines – die Liste der Rahmenwerke für IT-Sicherheit und operatives Risikomanagement ist lang. DORA ist trotzdem ein Paradigmenwechsel, und zwar aus drei Gründen.

Erstens: Unmittelbare Geltung. DORA ist eine EU-Verordnung, keine Richtlinie. Sie gilt direkt und ohne nationale Umsetzung in allen EU-Mitgliedstaaten. Es gibt keinen Interpretationsspielraum, keine nationalen Abschwächungen und keine Übergangsfristen mehr. Was am 17. Januar 2025 galt, gilt heute. Nationale Aufsichtsbehörden wie die BaFin in Deutschland oder die FMA in Österreich setzen DORA direkt durch, ohne dass erst ein nationales Umsetzungsgesetz nötig wäre. Für Institute, die bisher primär mit nationalen Regelwerken gearbeitet haben, bedeutet das eine Verdichtung der Anforderungen bei gleichzeitig engerer Überwachung.

Zweitens: Erfassung der gesamten ICT-Lieferkette. DORA beschränkt sich nicht auf das Finanzinstitut selbst. Sie erfasst explizit alle ICT-Drittanbieter – Cloud-Provider, SaaS-Plattformen, Rechenzentrumsbetreiber, Managed-Service-Anbieter. Finanzunternehmen müssen die Risiken ihrer gesamten ICT-Lieferkette bewerten, dokumentieren und steuern. Verträge mit Drittanbietern müssen verpflichtende Elemente zu Sicherheit, Resilienz und Ausstiegsfähigkeit enthalten.

Drittens: Das Register of Information. DORA verlangt von jedem Finanzinstitut ein vollständiges Register aller ICT-Dienstleistungsverträge mit Drittanbietern. Dieses Register muss auf Anfrage den Aufsichtsbehörden vorgelegt werden können. Die zweite Einreichung ist im März 2026 fällig. Was klingt wie eine Dokumentationspflicht, ist in der Praxis eine Inventur, die viele Organisationen an die Grenzen ihrer Prozesse bringt – weil sie zum ersten Mal vollständig erfassen müssen, welche externen ICT-Dienste sie tatsächlich nutzen. Erschwerend kommt hinzu, dass das Format und die Granularität der Datenlieferung durch technische Regulierungsstandards (RTS) präzise vorgegeben sind. Eine einfache Excel-Liste reicht nicht.

Die Compliance-Lücke: 50 Prozent am Stichtag nicht bereit

Die Deloitte Wave 3 Survey zur DORA-Umsetzung liefert ein ernüchterndes Bild. Nur 50 Prozent der Finanzinstitute rechneten zum Enforcement-Datum im Januar 2025 mit vollständiger Compliance. Weitere 38 Prozent nannten 2026 als Ziel. Die verbleibenden 12 Prozent hatten zum Zeitpunkt der Erhebung noch keinen konkreten Zeitplan.

Das bedeutet nicht, dass die Hälfte der Institute untätig war. Viele haben einzelne Anforderungen erfüllt – ICT-Risikomanagement-Frameworks aufgesetzt, Incident-Reporting-Prozesse definiert, erste Vertragsanpassungen mit Drittanbietern vorgenommen. Aber vollständige Compliance erfordert, dass alle fünf Säulen gleichzeitig stehen: ICT-Risikomanagement, Incident Management, Resilienz-Testing, Third-Party-Risk-Management und das Register of Information. Das Gesamtpaket ist das Problem. Einzelne Säulen isoliert umzusetzen reicht nicht – DORA verlangt ein integriertes Framework, in dem alle Elemente ineinandergreifen und aufsichtsrechtlich nachprüfbar dokumentiert sind.

Die Kosten sind dabei nicht der primäre Engpass. 96 Prozent der Institute haben ihre Compliance-Kosten kalkuliert, die meisten liegen zwischen 2 und 5 Mio. Euro. Für die großen Institute sind das überschaubare Beträge. Was fehlt, sind nicht die Mittel, sondern die organisatorische Kapazität, alle Workstreams parallel voranzutreiben.

Branchenübergreifend zeigt sich ein Muster: Große systemrelevante Institute haben mehr Ressourcen, aber auch mehr Komplexität. Sie unterliegen zusätzlich dem Threat-Led Penetration Testing und werden direkt von den europäischen Aufsichtsbehörden überwacht. Kleinere Institute haben weniger regulatorischen Druck, aber auch weniger spezialisiertes Personal. Die mittlere Größenklasse – regionale Banken, Spezialversicherer, Asset Manager – gerät am häufigsten in die Compliance-Lücke: zu groß für Ausnahmen, zu klein für dedizierte DORA-Teams.

Die Frage, die sich für jede Geschäftsleitung stellt, ist nicht ob DORA-Compliance erreicht werden muss – das steht außer Diskussion. Die Frage ist, ob die Organisation es schafft, die Compliance als strategischen Vorteil zu nutzen statt nur als regulatorische Last. Institute, die ihre ICT-Lieferkette transparent und steuerbar gemacht haben, können schneller auf Störungen reagieren, Anbieter effizienter wechseln und gegenüber Kunden und Partnern höhere Resilienz nachweisen.

Wo die Umsetzung scheitert: Drei Engpässe

Das Register of Information. 46 Prozent der Finanzinstitute nennen das ROI als größte einzelne Herausforderung bei der DORA-Umsetzung. Der Grund: Viele Organisationen wissen nicht vollständig, welche ICT-Dienste sie nutzen. Die Schatten-IT und die Fragmentierung der Beschaffungswege führen dazu, dass Verträge in verschiedenen Abteilungen liegen, teilweise ohne zentrale Erfassung. Das ROI verlangt eine Granularität der Dokumentation, die operative Prozesse in vielen Häusern schlicht nicht hergeben.

ICT-Drittanbieter-Management. DORA verlangt nicht nur eine Inventur, sondern eine aktive Risikobewertung aller Drittanbieter und die Sicherstellung vertraglich verankerter Resilienz-Standards. Für ein durchschnittliches Finanzinstitut mit 50 bis 200 ICT-Dienstleistern ist das ein Projekt, das Einkauf, Rechtsabteilung, IT und Risikomanagement gleichzeitig bindet. 39 Prozent der Institute haben 5 bis 7 Vollzeitkräfte ausschließlich für die DORA-Compliance abgestellt. Acht Prozent haben den Personalbedarf noch nicht einmal geschätzt.

Resilienz-Testing. DORA schreibt regelmäßige Tests der digitalen operativen Resilienz vor, einschließlich Threat-Led Penetration Testing (TLPT) für systemrelevante Institute. Diese Tests erfordern spezialisiertes Know-how, das intern selten vorhanden ist. Die Kapazität qualifizierter externer Tester ist begrenzt, die Vorlaufzeiten lang. Viele Institute stehen vor der Situation, dass sie die Testpflicht kennen, aber weder intern noch extern die Ressourcen haben, sie fristgerecht umzusetzen.

Die Haftungsfrage: Persönlich und empfindlich

DORA verschärft die Haftung auf allen Ebenen. Das Sanktionsregime ist mehrstufig und trifft sowohl die Institution als auch die verantwortlichen Personen.

Finanzinstitute können mit Bußgeldern von bis zu 2 Prozent ihres weltweiten Jahresumsatzes belegt werden. Für eine mittelgroße Bank mit 2 Mrd. Euro Umsatz entspricht das einer potenziellen Strafe von 40 Mio. Euro. Dazu kommt die persönliche Haftung: Senior Management kann mit Strafen von bis zu 1 Mio. Euro persönlich belangt werden, wenn Compliance-Versäumnisse nachgewiesen werden.

Besonders relevant für die IT-Strategie: Auch kritische ICT-Drittanbieter können direkt sanktioniert werden. Lead Overseers können Bußgelder von 1 Prozent des durchschnittlichen täglichen Weltumsatzes verhängen – pro Tag des Verstoßes. Das schafft eine neue Dynamik in der Verhandlung mit Cloud-Providern und Plattformanbietern: DORA-Compliance ist nicht mehr nur ein Thema des Finanzinstituts, sondern der gesamten Lieferkette.

Aufsichtsbehörden verfügen unter DORA über weitreichende Befugnisse: Zugang zu Dokumenten und Daten, Vor-Ort-Inspektionen und die Anordnung von Abhilfemaßnahmen. Die Mitgliedstaaten können zusätzlich strafrechtliche Sanktionen vorsehen. Das Enforcement ist nicht mehr nur theoretisch – es hat begonnen. Die ersten Prüfungen laufen, die Aufsichtsbehörden bauen ihre Kapazitäten aktiv aus und die Sanktionsregime der Mitgliedstaaten werden sukzessive konkretisiert.

Was pragmatische Institute jetzt tun

Die Institute, die ihre Compliance-Lücke systematisch schließen, folgen einem Drei-Phasen-Ansatz.

Phase 1: Das Register of Information priorisieren. Das ROI ist der sichtbarste Compliance-Nachweis und die größte Einzelhürde. Wer hier liefert, signalisiert den Aufsichtsbehörden Handlungsfähigkeit. Der pragmatische Ansatz: Nicht auf vollständige Perfektion warten, sondern mit dem bestehenden Vertragsbestand starten, Lücken dokumentieren und einen nachvollziehbaren Plan zur Vervollständigung vorlegen. Aufsichtsbehörden bewerten den Fortschritt, nicht nur den Status quo.

Phase 2: Drittanbieter-Verträge nach Kritikalität staffeln. Nicht alle 200 ICT-Dienstleister haben das gleiche Risikoprofil. Die Institute, die effizient priorisieren, klassifizieren ihre Anbieter nach Kritikalität und beginnen die Vertragsanpassung bei den Tier-1-Providern – Cloud-Infrastruktur, Kernbanksysteme, Zahlungsverkehr. Tier-2 und Tier-3 folgen nach einem definierten Zeitplan. Das reduziert den parallelen Aufwand und schafft Kapazität für die komplexesten Verhandlungen.

Phase 3: Resilienz-Testing nicht verschieben. TLPT erfordert Vorlauf, spezialisiertes Personal und interne Vorbereitung. Institute, die erst 2026 mit der Planung beginnen, werden Kapazitätsengpässe bei externen Testern erleben. Die pragmatische Lösung: Jetzt Rahmenverträge mit TLPT-Anbietern abschließen und erste Scope-Definitionen erarbeiten, auch wenn das Testing selbst erst später stattfindet. Vorbereitung ist die halbe Compliance.

Über alle drei Phasen hinweg gilt: DORA-Compliance ist kein Projekt mit einem Enddatum, sondern ein dauerhaftes Operating Model. Das Register of Information muss jährlich aktualisiert werden, Resilienz-Tests sind regelmäßig durchzuführen und das ICT-Risikomanagement muss kontinuierlich an neue Bedrohungslagen angepasst werden. Institute, die DORA als einmaliges Compliance-Projekt planen, werden in der nächsten Prüfung scheitern.

Ein Aspekt wird in der Umsetzungsdiskussion häufig unterschätzt: die kulturelle Dimension. DORA verlangt, dass ICT-Risikomanagement als Führungsaufgabe wahrgenommen wird. Die Verantwortung liegt nicht bei der IT-Abteilung allein, sondern beim Leitungsorgan des Finanzinstituts. Vorstandsmitglieder müssen die ICT-Risikostrategie genehmigen, regelmäßig überprüfen und ihre Angemessenheit gegenüber den Aufsichtsbehörden verantworten. Das erfordert ein Maß an ICT-Kompetenz auf Leitungsebene, das in vielen Häusern erst aufgebaut werden muss.

Die ehrliche Einordnung: DORA ist kein Papiertiger. Die Kombination aus persönlicher Haftung, Drittanbieter-Haftung und unmittelbarer Geltung macht sie zur wirkungsvollsten IT-Regulierung die der europäische Finanzsektor je gesehen hat. Wer das als reines Compliance-Projekt der IT-Abteilung behandelt, unterschätzt die strategische Dimension. DORA verändert, wie Finanzinstitute ihre gesamte ICT-Landschaft steuern – von der Beschaffung bis zum Incident Response.

Häufige Fragen

Quelle Titelbild: Pexels / Christian Wasserfallen (px:7327875)