DORA-Prüfungen: Ein Weckruf für die Finanzbranche
Knapp ein Jahr nach Inkrafttreten des Digital Operational Resilience Act intensivieren BaFin und EZB ihre Prüfaktivitäten. Zahlreiche Finanzinstitute sind laut Expertenangaben noch nicht ausreichend vorbereitet. Die Regulierung zwingt Banken und Versicherungen, ihre IT-Resilienz umfassend zu hinterfragen – und bietet zugleich strategisches Potenzial für nachhaltige Transformation.
Die Finanzbranche steht unter Zugzwang: Mit dem Digital Operational Resilience Act (DORA) hat die Europäische Union ein umfassendes Regelwerk geschaffen, das Banken und Versicherungen widerstandsfähiger gegenüber IKT-Risiken machen soll. Was lange als theoretische Aufgabe auf der Agenda stand, wird nun Realität: Die ersten Prüfungen durch die Aufsichtsbehörden haben begonnen. Sie sind substanziell und gehen über oberflächliche Absichtserklärungen hinaus. Dabei zeigt sich, dass viele Finanzunternehmen noch nicht bereit sind. Ein hoher Prozentsatz der Institute hatte die Regulierung bis Januar 2025 nicht vollständig umgesetzt. Einige von ihnen wurden als säumig angeschrieben und erhielten Fristen von der Aufsicht, ihren Rückstand bis zum Jahresende aufzuholen.
Die Aufsichtsbehörden (BaFin, EZB und Bundesbank) überprüfen die Einhaltung der DORA-Regeln kritisch. Die Aufsicht agiert dabei strukturiert und nimmt das gelebte Risikomanagement in den Fokus. Im Zentrum steht ein funktionierendes IKT-Risikomanagement, das unter Anderem Risikoanalysen, technische Schutzmaßnahmen, Auslagerungen und Incident-Management in ihrer Wirksamkeit analysiert. Wer hier Lücken aufweist – sei es bei der Risikoeinstufung, der Meldekette für Störungen oder der umgesetzten Sicherheitsmaßnahmen – sollte mit Feststellungen rechnen.
Die Aufsicht klassifiziert Feststellungen in Schweregraden von F1 bis F4, wobei F3 und F4 die gravierendsten Mängel kennzeichnen. Es ist davon auszugehen, dass nur sehr wenige Institute ohne solche schwerwiegenden Feststellungen aus den Prüfungen hervorgehen werden. Der Grund dafür ist, dass viele Unternehmen noch tief in der Umsetzung stecken und vielerorts noch keine Marktstandards existieren. Das zwingt die Unternehmen, nach bestem Wissen und Gewissen zu interpretieren und sich an anderen Marktteilnehmern zu orientieren.
Vom Silo zum Netzwerk: Ein notwendiger Kulturwandel
DORA ist kein reines IT-Thema. Es betrifft die gesamte Bank und erfordert eine funktionsübergreifende Zusammenarbeit, die in der Vergangenheit oft fehlte. Viele Unternehmen scheitern an dem Zusammenspiel der IT- und Fachbereiche. Häufig ist die Governance nicht so aufgestellt, wie es für die Einhaltung des Gesetzes erforderlich wäre. Die historische siloartige Struktur steht diesem Wandel im Weg. Ein zentraler Stolperstein ist auch die Verortung von DORA: Häufig wird die Zuständigkeit zwischen IT und Non-IT hin- und hergeschoben, was die Umsetzung verzögert. Das Gesetz ist zudem nicht bis ins letzte Detail ausformuliert und lässt Interpretationsspielräume offen. Dies erschwert die praktische Anwendung und zwingt die Institute, sich aktiv mit den Anforderungen auseinanderzusetzen.
Die Regulierungstiefe von DORA bedeutet einen erheblichen und spürbaren Mehraufwand für die Unternehmen. Doch die Alternative – die Vernachlässigung der operationalen Resilienz – ist keine Option. DORA fördert den Selbstzweck der Unternehmen, sich auf reale Gefahren vorzubereiten, anstatt nur Vorschriften abzuarbeiten. Es ist eine Top-Down-Management-Aufgabe, die einen Mindset-Shift in der gesamten Organisation erfordert. Nur wenn das Management das Thema als Priorität begreift, kann die notwendige, teamübergreifende Zusammenarbeit gelingen.
Das Informationsregister: Ein klarer Blick auf die Abhängigkeiten
Ein zentrales Element von DORA ist die Meldepflicht des Informationsregisters. Dieses Register dient als Instrument für Aufsichtsbehörden, um die Abhängigkeiten der Finanzbranche von externen Dienstleistern transparent zu machen. Die Erstellung stellte für viele der rund 3.600 betroffenen deutschen Institute eine Herausforderung dar. Die Daten waren oft lückenhaft und dezentral gespeichert. Die Anforderungen, die sich über 120 Datenfelder aufteilen, änderten sich regelmäßig, teils ohne Vorankündigung, was den Prozess mühsam und fehleranfällig machte.
Trotz des Aufwands bietet das Register einen enormen Mehrwert: Es zwingt Unternehmen, ihre Dienstleister-Beziehungen zu inventarisieren und Transparenz herzustellen. Schatten-IT und unbeaufsichtigte Zugangspunkte stellen eine Herausforderung für die Sicherheit von Unternehmen dar. Das Informationsregister bietet Finanzinstituten einen konkreten Anlass, diesem Problem aktiv zu begegnen. DORA kann als Chance gesehen werden, diese längst überfälligen „Hausaufgaben“ zu erledigen und die IT-Landschaft zu bereinigen. Der manuelle Aufbau ist jedoch zeitaufwändig und fehleranfällig. Hier zahlt sich die Investition in eine geeignete Tool-Lösung aus, die Prozesse automatisiert, die Einhaltung von Formatvorgaben sicherstellt und als „single-point-of-truth“ genutzt werden kann.
Ein weiterer, oft unterschätzter Aspekt ist die Sensibilisierung der Belegschaft. Die Erstellung des Registers ist kein rein technisches Projekt, sondern erfordert auch eine koordinierte kommunikative und kulturelle Anstrengung. Viele Mitarbeitende in den Fachbereichen fühlten sich von den zusätzlichen Anforderungen überrollt, da sie Informationen liefern mussten, die außerhalb ihres Verantwortungsbereichs lagen. Die Anfragen des DORA-Projektteams an die Fachbereiche sollten daher gezielt und empathisch formuliert werden, Mehrfachabfragen vermieden und die Belastung für die Beteiligten so gering wie möglich gehalten werden. Eine proaktive Kommunikation, die den Nutzen der Maßnahmen erklärt, macht den Unterschied.
Von der Pflicht zur Kür: DORA als strategischer Vorteil
DORA ist mehr als eine regulatorische Last. Es ist ein Katalysator für eine tiefgreifende Transformation. Statt Sicherheit als teure Notwendigkeit zu betrachten, sollten Finanzinstitute DORA als Chance begreifen, um Prozesse effizienter und widerstandsfähiger zu gestalten und die Organisation vernetzt aufzustellen. Wer die Herausforderungen von DORA annimmt und die Zusammenarbeit über Abteilungsgrenzen hinweg fördert, kann sich nicht nur einen klaren Wettbewerbsvorteil sichern, sondern auch schnellere und qualitativ hochwertigere Entscheidungen treffen.
Ein positives Beispiel aus der Praxis unterstreicht dies: Eine Bereichsleiterin berichtete von einer Mitarbeiterin, die dank des DORA-Projekts einen kritischen Aspekt im Kreditgeschäft identifizierte, der sonst übersehen worden wäre. Die Mitarbeiterin, die eigentlich in einem Fachbereich saß, war durch das DORA-Projekt so sensibilisiert, dass sie bei der Diskussion, einen Prozessschritt über einen Dienstleister abzubilden, Bedenken äußerte. Sie wies darauf hin, dass bestimmte DORA-Aspekte beachtet werden müssten. Ihr Einwand führte schließlich dazu, dass die Auslagerung an den Dienstleister nicht stattfand, da sie ein erhebliches Risiko geborgen hätte. Solche Erfolge zeigen, dass die Bemühungen Früchte tragen und das Thema in die Köpfe der relevanten Personen gelangt ist.
Die Prüfungsergebnisse der Aufsicht werden zeigen, welche Institute die Zeichen der Zeit erkannt und DORA als Chance genutzt haben, um ihr Geschäftsmodell nachhaltig zu stärken. Denn in einer Welt, in der Cyberangriffe zur täglichen Bedrohung gehören, ist die Stärke des Fundaments entscheidend. Mit DORA gibt es endlich ein Regelwerk, das die Löcher im System schließen kann und die Branche zu mehr Resilienz zwingt. Die Zeit und der Aufwand, die für die Umsetzung in vielen Häusern investiert wird, ist hoch. Sie ist aber gut investiert, wenn sie dem Ziel dient, das eigene Geschäftsmodell fit für die Zukunft zu machen.
