Thought Leadership
Seit dem 17. Januar 2025 ist der Digital Operational Resilience Act (DORA) für alle Finanzinstitute in der Europäischen Union verbindlich.
Banken, Versicherungen, Wertpapierfirmen und ihre IKT-Dienstleister sind verpflichtet, die Anforderungen vollständig, nachweisbar und prüfbar umzusetzen. Was auf dem Papier wie ein weiterer regulatorischer Meilenstein wirkt, ist in der Praxis eine fundamentale Neuausrichtung: DORA verlangt die systematische Beherrschung digitaler Risiken, nicht nur im eigenen Haus, sondern entlang der gesamten IKT-Lieferkette.
In meiner täglichen Arbeit erlebe ich, dass viele Institute die Tragweite dieser Anforderung unterschätzen. Die häufigste Reaktion war: „Wir haben doch schon BAIT, VAIT oder ISO 27001.“ Das stimmt. Aber DORA geht weiter. Deutlich weiter. Und die regulatorische Realität von 2026 macht deutlich: Das war keine leere Drohung.
Mehr als 350 Anforderungen – und kein Spielraum für Lücken
DORA umfasst über 350 Einzelanforderungen im Verordnungstext und ergänzt durch mehr als 100 weitere in den Regulatory Technical Standards (RTS) von EBA, ESMA und EIOPA. Zum Vergleich: Die BAIT, bislang anspruchsvoller Standard im deutschen Bankwesen, enthält rund 90 Anforderungen in zwölf Themengebieten. DORA ist damit keine Erweiterung des Bekannten – es ist eine neue Komplexitätsstufe.
Die fünf Säulen von DORA greifen ineinander: IKT-Risikomanagement, Incident Management, Resilienz-Testing, Drittparteienmanagement und Informationsaustausch. Eine isolierte Betrachtung einzelner Bereiche führt zwangsläufig zu Lücken, die regulatorisch nicht toleriert werden. Wer glaubt, bestehende Tabellenkalkulationen oder Insellösungen seien ausreichend, wird bei einer Prüfung durch die BaFin oder die EZB schnell eines Besseren belehrt.
Die unterschätzte Herausforderung: Drittparteien
Besonders herausfordernd bleibt das Drittparteienmanagement. DORA fordert nicht nur die Erfassung aller IKT-Dienstleister, sondern deren vollständige Bewertung nach Kritikalität, die Dokumentation vertraglicher Anforderungen, regelmäßige Assessments sowie die Abbildung von Unterverträgen, also der gesamten Lieferkette. Ein Institut mit 50 oder 100 externen Dienstleistern muss jeden einzelnen strukturiert erfassen, kategorisieren und regelmäßig neu bewerten. Mit manuellen Prozessen ist das kaum leistbar.
Das zeigt sich in der Praxis: Das DORA-Informationsregister – das strukturierte Verzeichnis aller genutzten IKT-Drittdienstleistungen inklusive Verträge und Subauslagerungen – musste im Frühjahr 2026 bereits zum zweiten Mal bei der BaFin eingereicht werden. Erstmals erhielten Finanzunternehmen dabei auch ein Feedback der Europäischen Bankenaufsicht (EBA) zur Datenqualität. Wer das Register nicht softwaregestützt pflegt, kam 2025 wie 2026 schnell an die Grenzen manueller Verwaltung. Die Botschaft ist klar: Das Register ist kein einmaliges Dokument, sondern ein dauerhafter operativer Prozess.
Im November 2025 haben die die europäischen Aufsichtsbehörden (EBA, EIOPAm ESMA) darüber hinaus die erste Liste der kritischen IKT-Drittdienstleister (Critical Third-Party Providers, CTPPs) veröffentlich. Damit ist der paneuropäische Überwachungsrahmen für die systemisch relevantesten Technologieanbieter des Finanzsektors aktiviert – ein weiterer Schritt in Richtung echter Aufsicht, nicht nur Dokumentationspflicht.
Das regulatorische Umfeld entwickelt sich weiter
Wer glaubt, mit der DORA-Erstimplementierung sei die Arbeit getan, unterschätzt die Dynamik des regulatorischen Umfelds. Die EU-Kommission hat im November 2025 das sogenannte „Digital Omnibus“-Paket vorgeschlagen, ein Gesetzesvorhaben, das unter anderem die Meldestrukturen unter DORA vereinfachen soll. Konkret ist ein zentrales europäisches Meldeportal geplant, über das Finanzunternehmen IKT-Vorfälle künftig gebündelt melden können, ohne parallele Meldewege an verschiedene nationale Behörden. Die Trilog-Verhandlungen zwischen Kommission, Rat und Parlament laufen, eine Einigung steht noch aus.
Für Compliance-Verantwortliche bedeutet das: Die Grundstruktur von DORA ist stabil, aber einzelne operative Anforderungen können sich noch verschieben. Wer seine DORA-Architektur auf einer flexiblen, regelbasierten Plattform aufgebaut hat, kann solche Anpassungen ohne Neustart bewältigen.
Technologie als Enabler – aber nur wenn sie integriert denkt
Genau hier setzen integrierte GRC-Plattformen an. Bei TopEase verfolgen wir dabei einen ganzheitlichen Ansatz: Das Herzstück unserer GRC-Plattform ist der digitale Zwilling der Organisation – eine vernetzte Abbildung aller Geschäftsprozesse, IKT-Assets, Drittparteien, Verträge und Funktionen. Dieser digitale Zwilling ist keine statische Dokumentation, sondern ein lebendiges Abbild der Realität: aktuell, konsistent und durch automatisierte Prozesse gepflegt.
Für die DORA-Umsetzung bedeutet das konkret: Drittanbieter werden zentral erfasst und mit Verträgen, Unterverträgen und Dienstleistungen verknüpft. Assessments laufen regelbasiert und automatisiert. Risiken werden in einer individualisierbaren Risikomatrix visualisiert, die Zusammenhänge und Abhängigkeiten unmittelbar sichtbar macht. Vorfälle werden strukturiert dokumentiert und direkt mit betroffenen IKT-Assets verknüpft – und Meldungen an Aufsichtsbehörden können revisionssicher nachgewiesen werden, unabhängig davon, ob künftig ein nationales oder ein zentrales EU-Portal genutzt wird.
Das Ergebnis: Compliance-Verantwortliche wissen zu jedem Zeitpunkt, wo Lücken bestehen. Das Management erhält Echtzeit-Dashboards ohne Excel-Akrobatik. Und bei regulatorischen Anpassungen sind keine grundlegenden Systemwechsel erforderlich, sondern Konfigurationsanpassungen.
Das DORA Modul der GRC-Sofwarelösung TopEase. (Bildquelle: F24 AG)
Fazit: DORA ist kein Endpunkt – es ist ein neuer Standard
Die Übergangsfrist ist abgelaufen. Das Informationsregister wird bereits zum zweiten Mal geprüft. Die Liste der kritischen IKT-Drittdienstleister ist veröffentlicht. Und das regulatorische Umfeld entwickelt sich weiter. Wer jetzt noch auf manuelle Prozesse oder Insellösungen setzt, geht nicht nur ein regulatorisches Risiko ein, er verliert auch die Fähigkeit, auf Veränderungen flexibel zu reagieren.
Die Frage ist nicht mehr, ob DORA umgesetzt werden muss. Die Frage ist, wie nachhaltig und wie anpassungsfähig. Wer auf eine integrierte Plattform setzt, die Daten zentral, konsistent und regelbasiert pflegt, ist nicht nur für die aktuelle Prüfungsrunde gerüstet – sondern auch für das, was als nächstes kommt.
