Cybersicherheit für den Finanzsektor – darauf zielt der Digital Operational Resilience Act (DORA) der EU ab. 2025 ging es um den Aufbau von Strukturen und Prozessen. In diesem Jahr muss das geforderte Risikomanagement nun im Tagesgeschäft umgesetzt werden.
DORA Umsetzung 2026: Zwölf Monate ist der Digital Operational Resilience Act (DORA) inzwischen in Kraft. In dieser Zeit ist klargeworden: Die Verordnung hat ihre Feuertaufe vielleicht hinter sich – die eigentliche Arbeit für die Finanzinstitute beginnt jedoch erst jetzt. Das erste Jahr war geprägt von Aufbauarbeit, Orientierung und dem Versuch, Ordnung in ein komplexes Regelwerk zu bringen. Mit Blick auf die DORA Umsetzung 2026 zeigt sich, dass Register gefüllt, Prozesse beschrieben und Zuständigkeiten definiert wurden. Das ist gelungen – es war aber auch der vergleichsweise bequeme Teil.
2026 geht es nicht mehr nur um Strukturen, sondern um Routine und Belastbarkeit. Die BaFin beziehungsweise die europäischen Aufsichtsbehörden haben schließlich ein klares Ziel: operationale Resilienz statt lediglich Compliance. DORA ist also kein Projekt mit Enddatum, sondern ein umfangreicher Maßnahmenkatalog, der ab sofort im Tagesgeschäft umgesetzt werden muss und vom Gesetzgeber eingefordert wird. Die Branche steht demnach erneut am Startpunkt. Zwei Themen kristallisieren sich aktuell heraus:
Critical Third Party Provider – die gefährliche Illusion der Auslagerung
Die europäische Benennung von Drittanbietern für Dienste in kritischer Informations- und Kommunikationstechnologien stellt eine Zäsur dar. Erstmals wird dort angesetzt, wo sich Abhängigkeiten real bündeln. Das sorgt für mehr Transparenz, Vergleichbarkeit und zusätzliche Eingriffsmöglichkeiten der Aufsicht. Zwar schafft dieser Schritt für viele Institute eine gewisse Entlastung, aber keine Entwarnung. Denn die Verantwortung bleibt dort, wo sie nach Auffassung der Aufsicht hingehört: bei den Instituten selbst. Die neue Aufsicht über kritische Dienstleister ergänzt das eigene Risikomanagement, ersetzt es aber nicht. Institute müssen weiterhin begründen, warum sie bestimmte Anbieter für kritische Funktionen einsetzen, wie sie die Substituierbarkeit bewerten und welche Exit-Szenarien tragfähig sind. DORA schafft hierfür den Rahmen und die Vergleichbarkeit – die konkrete Steuerung bleibt Teil der unternehmerischen Verantwortung.
Auch die auf der BaFin-Veranstaltung „IT-Aufsicht im Finanzsektor“ genannte Zahl von über 600 schwerwiegenden Vorfällen im ersten DORA-Jahr ist in diesem Kontext zu sehen. Sie klingt dramatisch, ist aber vor allem Ausdruck von Cluster-Effekten: ein Vorfall bei einem großen Dienstleister, viele betroffene Institute, viele Meldungen. Das Problem ist nicht die Meldequote, sondern die strukturelle Abhängigkeit. Und die lässt sich nicht outsourcen, auch nicht unter europäischer Aufsicht. Die Konzentrationsrisiken, die sich heute bei Cloud-Computing und Softwarelösungen bemerkbar machen, dürften sich zudem über kurz oder lang auch rund um Künstliche Intelligenz ergeben.
Anzeige
KI-basierte Software-Auswahl
Mit smartRFI bringen Sie Tempo und Struktur in Ihre Software-Vorauswahl:
- KI-gestützte Erstellung professioneller RFIs
- Assistentin TIA hilft bei Anforderungen & Struktur
- Anbieter liefern vergleichbare Antworten mit Kostenschätzung
- Schnellere Shortlist dank klarer Entscheidungsgrundlage
Resilienz-Testing – der unterschätzte Kraftakt
In den kommenden Jahren wird sich der Charakter von DORA verstärkt beim Thema Resilienz-Testing zeigen. Zwar haben viele Institute Testprogramme aufgesetzt und methodisch sauber beschrieben. Der nächste Schritt ist jedoch anspruchsvoll: Die Tests müssen regelmäßig, realitätsnah und wirksam durchgeführt werden. Allein im Rahmen des Drittparteienrisikomanagements müssen die Institute alle drei Jahre bedrohungsorientierte Penetrationstests durchführen. Diese stellen eine extreme organisatorische und finanzielle Belastung dar.
Der Maßstab hat sich dabei verschoben. Es zählt nicht mehr die Frage „Ist das System sicher?“, sondern „Kann das Institut weiterarbeiten, während es angegriffen wird?“. Dies lässt sich nicht simulieren, ohne die Finanzbranche massiv unter Druck zu setzen. Threat-Led-Penetrationstests im laufenden Betrieb, End-to-End-Szenarien und Purple Teaming – also das Zusammenspiel der eigenen IT-Security-Spezialisten als angreifendes und verteidigendes Team – beschäftigen Sicherheits-, Betriebs- und Fachbereiche über Monate hinweg. Spätestens hier zeigt sich, ob Rollen, Schwellenwerte und Eskalationswege tatsächlich gelebt werden oder nur beschrieben sind. Die Ergebnisse lassen sich auch nicht wegdokumentieren. Sie verlangen vielmehr nach Priorisierung, Budget, Umsetzung und Management-Entscheidungen. Genau hier wird die Aufsicht in den kommenden Jahren hinschauen: nicht auf die Existenz von Konzepten, sondern auf deren Wirksamkeit. Das heißt, auf Ergebnisse, abgeleitete Maßnahmen und deren tatsächliche Umsetzung.
2026 ist der eigentliche Startpunkt von DORA
Die Signale sind eindeutig: Die Ramp-up-Phase von DORA ist abgeschlossen. Wer das verstanden hat, kann die DORA Umsetzung 2026 zu dem machen, wofür sie gedacht ist: eine gute Gelegenheit, die eigene operationale Resilienz zu stärken. jf
Der Autor
Andreas Seibert, Head of FSI Regulatory & Compliance DACH bei NTT DATA
