Auf den Punkt: DORA verpflichtet Finanzinstitute ab Januar 2025 mit über 350 Anforderungen zu systematischer IKT-Risikobeherrschung entlang ihrer gesamten Lieferkette und erfordert softwaregestützte Drittparteienmanagement-Prozesse.
Seit dem 17. Januar 2025 ist der Digital Operational Resilience Act (DORA) für alle EU-Finanzinstitute verbindlich. Die Verordnung verlangt mit über 350 Einzelanforderungen eine fundamentale Neuausrichtung der IKT-Sicherheitsgovernance, die bestehende Standards wie BAIT oder ISO 27001 deutlich übersteigt.
Die DORA-Verordnung wird durch mehr als 100 zusätzliche Anforderungen in den Regulatory Technical Standards (RTS) von EBA, ESMA und EIOPA konkretisiert. Zum Vergleich: Die bisherige BAIT, der anspruchsvollste Standard im deutschen Bankwesen, enthält etwa 90 Anforderungen. DORA stellt damit keine Erweiterung dar, sondern führt eine neue Komplexitätsstufe ein.
Fünf ineinandergreifende Säulen strukturieren DORA: IKT-Risikomanagement, Incident Management, Resilienz-Testing, Drittparteienmanagement und Informationsaustausch. Eine isolierte Bearbeitung einzelner Bereiche führt zu Lücken, die bei Prüfungen durch BaFin oder EZB schnell offenbar werden. Tabellenkalkulationen und Insellösungen genügen den Anforderungen nicht.
Das Drittparteienmanagement bleibt besonders herausfordernd. DORA fordert eine vollständige Erfassung aller IKT-Dienstleister, ihre Kategorisierung nach Kritikalität, dokumentierte vertragliche Anforderungen, regelmäßige Bewertungen sowie die Abbildung der gesamten Lieferkette inklusive Unterverträge. Institute mit 50 oder 100 externen Dienstleistern müssen jeden strukturiert erfassen und regelmäßig neu bewerten – manuelle Prozesse stoßen dabei an ihre Grenzen. Das DORA-Informationsregister musste bereits im Frühjahr 2026 zum zweiten Mal bei der BaFin eingereicht werden, nunmehr mit Feedback der EBA zur Datenqualität.
Im November 2025 veröffentlichten die europäischen Aufsichtsbehörden (EBA, EIOPA, ESMA) die erste Liste der Critical Third-Party Providers (CTPPs) – systemisch relevante Technologieanbieter des Finanzsektors. Damit aktivierte sich ein paneuropäischer Überwachungsrahmen für diese Dienste. Parallel schlägt die EU-Kommission mit dem „Digital Omnibus“-Paket vor, Meldestrukturen zu vereinfachen und ein zentrales europäisches Meldeportal zu schaffen, über das IKT-Vorfälle künftig gebündelt gemeldet werden können, statt paralleler nationaler Meldewege.
Quelle: www.it-daily.net · Erschienen 6. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.3.