Von der Pflicht zur Kür – Sechs Monate DORA: Wie aus Regulierung echte Resilienz wird

Seit dem 17. Januar 2025 gilt der Digital Operational Resilience Act (DORA) für Finanzunternehmen in der EU. Ziel der Verordnung ist es, die digitale Widerstandsfähigkeit des Finanzsektors zu stärken und einheitliche Standards für Cybersicherheit, IKT-Risikomanagement und Betriebsstabilität zu schaffen.

Ein halbes Jahr nach Inkrafttreten zeigt sich in der Marktbeobachtung ein differenziertes Bild: Viele Institute arbeiten mit Hochdruck an der Umsetzung, doch vollständige Compliance ist branchenweit noch nicht erreicht. Insbesondere kleinere Häuser und Versicherer mussten zunächst Kapazitäten aufbauen und Prozesse strukturell anpassen.

Mehrwert erkennen: DORA als strategischer Hebel

Trotz hoher Anforderungen bietet DORA für Banken einen echten strategischen Mehrwert. In fünf Kernbereichen wirkt die Regulierung weit über reine Compliance hinaus:

Cybersicherheit: Durch strukturierte Vorfallmeldungen, technische Mindeststandards und klare Prozesse wird die Fähigkeit zur Abwehr und Früherkennung digitaler Bedrohungen deutlich gestärkt.
Operative Resilienz: Mit verbindlichen Anforderungen an Notfallpläne, Belastungstests und Wiederanlaufstrategien wird sichergestellt, dass kritische Systeme auch in Krisensituationen funktionsfähig bleiben.
IKT-Risikomanagement: DORA macht digitale Risiken zur Führungsaufgabe. Der Umgang mit IT-Risiken wird professionalisiert – intern wie extern, insbesondere im Drittparteienmanagement.
Kundenvertrauen: Wer Resilienz nachweisen kann, steigert seine Glaubwürdigkeit und Wettbewerbsfähigkeit – insbesondere bei sicherheitsbewussten Kunden und Investoren.
Effizienz durch Harmonisierung: Einheitliche EU-Vorgaben ersetzen fragmentierte nationale Anforderungen und vereinfachen Melde-, Prüf- und Kontrollprozesse spürbar.

Umsetzung in der Praxis: Fortschritte und Hürden

Während große Institute vielfach auf bestehende Programme zurückgreifen konnten, setzen kleinere Häuser häufig auf schrittweise Nachbesserung. Besonders aufwendig ist die Aktualisierung von Auslagerungsverträgen und der Aufbau vollständiger Drittparteienregister.

Auch die Umsetzung der neuen Anforderungen an das Testmanagement operativer Resilienz ist anspruchsvoll: Umfang, Tiefe und Dokumentation der Tests müssen risikobasiert erfolgen, auf die Kritikalität der Systeme abgestimmt sein und regulatorischen Mindeststandards genügen.

Eine strukturierte und nachvollziehbare Behandlung identifizierter Schwächen ist dabei essenziell – nicht nur zur Sicherstellung regulatorischer Anforderungen, sondern auch als Grundlage für nachhaltige Resilienz.

Ablösung nationaler IT-Standards und aufsichtliche Prüfung

Mit DORA beginnt die schrittweise Ablösung nationaler IT-Aufsichtsrahmen wie BAIT, VAIT und ZAIT. Die BaFin plant, diese mittelfristig vollständig durch DORA zu ersetzen – mit dem Ziel einer europaweit einheitlichen Regulierungslandschaft.

Bereits 2025 rücken aufsichtliche Prüfungen stärker in den Fokus: Nationale und europäische Behörden prüfen gezielt die Umsetzung der DORA-Vorgaben – insbesondere im Bereich Resilienztests, IKT-Risikomanagement und Drittparteienregister. Auch Wirtschaftsprüfer integrieren DORA-relevante Fragestellungen zunehmend in ihre Prüfungen, etwa bei IT-Kontrollen und Auslagerungen.

Unternehmen sollten sich frühzeitig vorbereiten, um prüfungsfähig zu sein:

Erstellung eines DORA-Readiness-Statusberichts
Vollständige Pflege des Drittparteienregisters
Revisionssichere Dokumentation aller Test-, Melde- und Steuerungsprozesse
Schulungen und klare Verantwortlichkeiten in relevanten Funktionen

Kulturwandel und Ausblick

Langfristig ist der wohl wichtigste Effekt von DORA der kulturelle Wandel: Weg von reiner Checklisten-Compliance, hin zu gelebter Resilienz. IT, Risiko, Compliance und Geschäftsführung arbeiten enger zusammen, Silos werden aufgebrochen, Resilienz wird organisationsweit verankert.

2025 gilt als Jahr der Konsolidierung: Offene Lücken müssen geschlossen, Prozesse stabilisiert und Fortschritte gegenüber der Aufsicht nachgewiesen werden. Wer DORA über das Pflichtmaß hinaus als strategische Chance begreift, gewinnt – an Sicherheit, Effizienz und Vertrauen.

Die movisco AG begleitet Sie umfassend und sorgen gemeinsam mit Ihnen dafür, dass die DORA-Konformität gewährleistet ist.

Über den Autor

Damla Kocar

Damla Kocar ist Managing Consultant bei der movisco AG im Bereich Financial Risk & Compliance (FRC) in Frankfurt. Sie hat einen Master of Science in Business Economics mit den Fachgebieten Finance und Volkswirtschaftslehre. Seit mehreren Jahren berät sie im Bereich Banksteuerung und Regulatorik, wobei sie sich insbesondere auf Themen der Informations- und Kommunikationstechnologien spezialisiert hat.