Der Bank Blog
Der Bank Blog
Buchen Sie mich als Redner oder Moderator
Sie sind hier:Home »Aktuell »DORA: Regulatorische Pflicht oder strategische Chance?
Regulierung

DORA: Regulatorische Pflicht oder strategische Chance?

Umsetzung des Digital Operational Resilience Acts

von
Abonnieren Sie den kostenlosen Bank Blog Newsletter

Seit Januar gilt der Digital Operational Resilience Act (DORA) zur Stärkung der digitalen Resilienz von Finanzinstituten. Doch die Umsetzung geht an vielen Stellen jetzt erst so richtig los.

Umsetzung des Digital Operational Resilience Acts (DORA)

Aktueller Stand der Umsetzung des Digital Operational Resilience Acts (DORA).

Partner des Bank Blogs

YouGov ist Partner des Bank Blogs

DORA ist Bestandteil des Digital Finance Package der EU-Kommission und richtet sich an ein breites Spektrum regulierter Finanzmarktteilnehmer, darunter Banken, Versicherer, Zahlungsdienstleister, Wertpapierfirmen, Krypto-Dienstleister sowie deren kritische IT-Drittdienstleister. Die Verordnung zielt darauf ab, einheitliche Anforderungen an das IT-Risikomanagement zu schaffen und dabei auch die bislang unregulierten Schnittstellen zu Drittanbietern in den Fokus zu rücken.

Kerninhalte der DORA-Verordnung

Die DORA-Verordnung lässt sich in fünf zentrale Säulen gliedern:

  • IKT-Risikomanagement,
  • Meldung von IKT-bezogenen Vorfällen,
  • Prüfung der digitalen Resilienz,
  • Risikomanagement bei IKT-Drittdienstleistern,
  • Informationsaustausch zwischen Finanzakteuren.

Ziele von DORA

Zentrale Ziele der DORA-Verordnung sind:

  • Harmonisierung der Anforderungen an die digitale Resilienz im gesamten Finanzsektor.
  • Einführung eines einheitlichen Rahmens für das Management von IKT-Risiken (Informations- und Kommunikationstechnologie).
  • Erhöhung der Transparenz und Kontrolle bei der Auslagerung von IKT-Dienstleistungen.
  • Etablierung eines Mechanismus zur Überwachung kritischer IKT-Drittanbieter durch europäische Aufsichtsbehörden.

Aktuelle Umsetzungssituation in der Finanzbranche

Mit dem Inkrafttreten der DORA-Verordnung am 17. Januar 2025 zeigt sich nun ein klareres Bild hinsichtlich des Umsetzungsstands in der Praxis. Während erste Prüfungen der Aufsichtsbehörden angelaufen sind, ringen viele Institute noch mit der vollständigen operativen Umsetzung der Anforderungen.

1. Finalisierung der technischen Regulierungsstandards (RTS)

Die finalen technischen Regulierungsstandards wurden – nach mehrstufigen Konsultationsverfahren – im Juli 2024 veröffentlicht. Diese liefern die notwendigen Detailvorgaben zur praktischen Umsetzung, insbesondere zu Vorfallmanagement, ICT-Risikobewertungen und Testverfahren. Viele Institute hatten ihre internen Programme bewusst auf die Veröffentlichung der finalen RTS abgestimmt und setzen nun mit Hochdruck die operativen Anpassungen um.

2. Status in Großbanken und systemrelevanten Instituten

Großbanken haben ihre DORA-Programme überwiegend strukturiert aufgesetzt und können auf bestehende IKT-Governance-Modelle und ausgebaute Risikomanagementsysteme zurückgreifen. Der Fokus liegt auf der Feinjustierung von Prozessen und der Integration der RTS-Vorgaben in bestehende Kontrollsysteme. Erste interne Audits wurden bereits durchgeführt, um die Reifegrade einzelner Maßnahmen zu überprüfen.

3. Schwierigkeiten bei mittelgroßen und kleinen Instituten

Kleinere Finanzinstitute kämpfen weiterhin mit Ressourcenengpässen und einer hohen Komplexität der Umsetzung. Viele Häuser befinden sich noch inmitten der Implementierung, insbesondere bei der Nachverhandlung von Verträgen mit IT-Dienstleistern sowie beim Aufbau eines funktionsfähigen Incident-Managements. Die vielfach parallel laufenden Regulierungsprojekte (z. B. NIS2, ISO 27001-Rezertifizierungen) erschweren eine konzentrierte Umsetzung zusätzlich.

4. Interne Koordination und Change Management

Die interdisziplinäre Zusammenarbeit – etwa zwischen IT, Compliance, Einkauf und Recht – ist nach wie vor eine der größten Herausforderungen. Einige Institute berichten von Verzögerungen durch fehlende Projektgovernance oder unklare Verantwortlichkeiten. Erfolgreiche Häuser haben eine zentrale Steuerungseinheit etabliert und setzen auf agile Methoden zur Umsetzung.

5. Externe IT-Dienstleister unter Beobachtung

Die regulatorische Aufmerksamkeit richtet sich zunehmend auf kritische Drittanbieter. Erste IT-Dienstleister wurden von den europäischen Aufsichtsbehörden als potenziell direkt überwachungsrelevant identifiziert. Viele Banken berichten von langwierigen Verhandlungen zur Anpassung bestehender Verträge an die DORA-Vorgaben. Besonders schwierig gestaltet sich dies bei internationalen Cloud-Anbietern, die nicht immer bereit sind, EU-spezifische Regelungen vollständig zu übernehmen.

6. Prüfungs- und Testverfahren

Im Bereich der Resilienztests stehen viele Institute erst am Anfang. Während einzelne Großbanken bereits erste TLPT-Pilotprojekte (Threat-Led Penetration Testing) abgeschlossen haben, bereitet die Mehrheit der Häuser aktuell die Infrastruktur vor, um den Anforderungen künftig gerecht zu werden. Es besteht weiterhin erheblicher Nachholbedarf – insbesondere hinsichtlich Testplanung, Szenarioentwicklung und der Einbindung externer Dienstleister.

Strategische Empfehlungen für das Management

Führungskräfte in Finanzinstituten stehen vor der Herausforderung, die regulatorische Umsetzung mit der strategischen Weiterentwicklung der IT- und Risikostruktur zu verknüpfen. Folgende Handlungsfelder sind jetzt entscheidend:

  • Reifegrad prüfen: Die Durchführung eines internen Assessments zur DORA-Readiness hilft bei der Priorisierung der Maßnahmen.
  • Governance stärken: Die klare Definition von Rollen und Verantwortlichkeiten ist Voraussetzung für eine wirksame Umsetzung.
  • Schnittstellen managen: Der Austausch mit IT-Dienstleistern und Aufsichtsbehörden sollte aktiv gestaltet werden.
  • Kompetenz aufbauen: Schulungsprogramme und gezielte Weiterbildungen erhöhen die Umsetzungssicherheit.
  • Synergien nutzen: Bestehende Programme aus BAIT, MaRisk oder NIS2 können als Fundament für die DORA-Compliance dienen.

Fazit: Chancen von DORA nutzen

Seit 17. Januar 2025 ist DORA endgültig in Kraft, doch die vollständige Umsetzung der Verordnung bleibt für viele Finanzinstitute noch eine Herausforderung. Einige Banken und Dienstleister haben bereits strukturierte Programme etabliert und erste Prüfungen erfolgreich durchlaufen, während andere noch mit signifikanten operativen Hürden kämpfen.

Es ist entscheidend, bestehende Lücken schnell zu schließen und DORA nicht nur als Pflichtaufgabe sondern als strategische Chance zu betrachten. Dies bietet die Gelegenheit, die digitale Resilienz nachhaltig zu verbessern und als Wettbewerbsvorteil zu nutzen. Eine effektive Umsetzung kann nicht nur die Compliance sicherstellen, sondern auch das Vertrauen von Kunden und Partnern stärken und die zukünftige Innovationskraft der Finanzinstitute fördern.

Digitales Live-Event des Bank Blogs

Über den Stand der Umsetzung und die aktuellen Herausforderungen für Finanzinstitute diskutieren Experten in einem neuen Live-Webinar des Bank Blogs am 12. Juni 2025, 11:00 – 12:00 Uhr. Melden Sie sich gleich an:

    Über den Autor

    Dr. Hansjörg Leichsenring

    Dr. Hansjörg Leichsenring ist Herausgeber des Bank Blogs und der Finanzbranche seit über 30 Jahren beruflich verbunden. Nach Banklehre und Studium arbeitete er in verschiedenen Positionen, u.a. als Direktor bei der Deutschen Bank, als Vorstand einer Sparkasse und als Geschäftsführer eines Online Brokers. Als Experte für Strategien in den Bereichen Digitalisierung, Innovation und Vertrieb ist er gefragter Referent und Moderator bei internen und externen Veranstaltungen im In- und Ausland.

    Vielen Dank fürs Teilen und Weiterempfehlen


    Mit dem kostenlosen Bank Blog Newsletter immer informiert bleiben:

    Zur Startseite

    Zu den Top Artikeln

    Das könnte ebenfalls für Sie interessant sein:

    Anzeige

    Get Abstract: Zusammenfassungen interessanter Businessbücher

    Kommentare sind geschlossen

    Bank Blog Newsletter abonnieren

    Bank Blog Newsletter abonnieren